Rozmiar: 1353 bajtów
Rozmiar: 1578 bajtów

Porady komputerowe.

Strona główna .................................................................................................... Porady komputerowe-powrót



Wykrywanie koni trojańskich (backdoor'ów)



.................................................Wykrywanie trojanów we własnym komputerze wcale nie jest łatwą sprawą. Najczęściej zauważamy, że system zaczyna czasami spowalniać, wiesza się, wykonuje nieoczekiwane zadania, pojawiają się ikony lub skróty do programów których nie instalowaliśmy.
................................................Aby skutecznie wykrywać i zwalczać te szkodniki należy dobrze poznać własny system oraz programy zabezpieczające. Do podstawowych metod wykrywania i zwalczanie trojanów należy zaliczyć:
    1. Używanie programów antywirusowych i antytrojanowych
    2. Podgląd używanych procesów i programów (znajomość programów używanych)
    3. Kontrola portów oraz połączeń komputera z siecią
    4. Kontrola ilości zajmowanej pamięci operacyjnej.
........................................Wszystkie powyższe metody pozwalają wykryć różnego rodzaju szkodliwe programy, za pomocą oprogramowania antywirusowego i antytrojanowego zwalczać można szkodniki wykrywalne, punkty 2 , 3 , 4 dotyczą wykrywania oprogramowania szpiegującego, które jest jeszcze niewykrywane przez antywirusy.


Metody wykrywania trojanów.

1) Używanie programów antywirusowych.

          Używanie programów typu antywirus, antytrojan, antyspyware itp..jest najprostszą i podstawową metodą zwalczania i zapobiegania działalności szkodliwych programów na naszych komputerach. Dzięki tego typu programom można skutecznie uniemożliwić instalację oraz działalność większości programów szkodliwych i szpiegujących nasze systemy. Ponadto jeśli nawet w usuwaniu lub zablokowaniu wykazują niską lub żadną skutecznośc można skożystać z informacji jaką udzielają o rodzaju infekcji i nazwie pliku (plików) które są przyczyną infekcji.Jeżeli zostanie wykryty szkodliwy program należy zanotować jego nazwę, nazwę pliku (często nazwa pliku może być inna niż nazwa wirusa)oraz ścieżkę dostępu do tego pliku (umiejscowienie w komputerze). Dane te będą wykożystane w usuwaniu zagrożenia.

2) Podgląd używanych procesów i programów (znajomość programów używanych)

          Znajomość własnego systemu i oprogramowania jest dużym atutem przy wykrywaniu szkodliwych programów w naszym komputerze. Pozwala w szybki i sprawny sposób wyszukać wśród pracujących programów oraz uruchomionych procesów (tych widocznych i tych co działają w tle) procesy i funkcje które należą do programów pasożytniczych (trojany, backdoory, spywary itp.).
         Do tego celu można wykorzystać najprostsze metody, wciskając równocześnie klawisze na klawiaturze Ctrl + Alt + Delete otworzymy okno aktywnych programów i w nim należy zobaczyć czy nie ma programu który jest wirusem, w tym celu należy uwzględnić jakie programy mamy aktualnie używane , jakie programy używamy z autostartu pracujące w zasobniku systemowym oraz programy związane z pracą systemu działające w tle.
Niestety duża częśc trojanów potrafi się zamaskować przed oknem podglądu programów i bardziej skuteczną metodą jest jakikolwiek program do podglądu procesów, np. darmowy ProcessViewer.
W oknie podglądu procesów z regóły można zobaczyć do jakich programów odwołują się aktywne procesy, jakie pliki je wywołują i jakiej produkcji są to programy.W ten sposób możemy ustalić czy któryś z procesów należeć może do wirusa i ewentualnie zamknąć proces (zabić proces).

3) Kontrola portów oraz połączeń komputera z siecią

          Kontrolując otwarte porty na swoim komputerze jest możliwośc ustalenia czy nie jest nawiązywane połączenie z internetem służące do inwigilacji bądź transferu plików z naszego komputera wywołane przez inny komputer bez naszej zgody i wiedzy.
Najprostszą metodą jest wydanie polecenia

00000000000netstat -a

wówczas zostaną przeskanowane nasze porty i wyniki zobaczymy w oknie dosowskim.
A tam wyświetli się protokół, adres lokalny z numerem portu, obcy adres, stan. Na podstawie tej prostej czynności można ustalić czy nasz komputer nie jest połączony z adresem z którym nie mieliśmy się zamiaru łączyć i na dodatek za pomocą jakiego protokołu. Oprócz tej metody można wykorzystać dane z firewalla (bardziej szczegółowe) oraz różnego rodzaju kontrolerów portów.
Dzięki temu możemy poznać nazwę pliku, nazwę wirusa oraz numer portu przez który się łączy, wówczas wystarczy sprawdzić jaki numer portu dany trojan ma jako domyślny i zablokować numer portu przez który się łączy oraz numer domyślny portu połaczenia trojana (czasem po zablokowaniu portu połączenia trojan może nawiązać ponownie połączenie przez port domyślny dzięki czemu zostanie przekonfigurowany na połączenie przez inny port). Jest to bardzo skuteczna metoda wyszukiwania połączeń wywoływanych różnego rodzaju szkodliwymi programami.

4)Kontrola ilości zajmowanej pamięci operacyjnej.

          Tej metody nie będę omawiał ponieważ jest to metoda dla zwykłego użytkownika komputera dość skomplikowana i raczej częściej wykorzystywana przez programy antywirusowe (moduły takiego programu analizują pamięć operacyjną zajmowaną przez niektóre programy i przydzielane im adresy).
Wspomnę jedynie o prostym teście lecz mało skutecznym i głównie dotyczy on wirusów bootsektorów.
                   Restartując komputer wciskamy klawisz Ctrl lub klawisz F8, po chwili zobaczymy menu startowe Windows. Wybieramy opcję
          Tylko linia poleceń trybu awaryjnego
w oknie msdos po znaku zachęty wpisujemy polecenie
          chkdsk
klikamy Enter i zobaczymy wówczas ile jest pamięci, prawidłowo powinno być :
          655 360 B
jeżeli jest mniej to znaczy, że jest w komputerze wirus, lecz muszę wyjaśnić, że jeżeli wskaże wynik 655 360 to wcale nie oznacza, że mamy komputer bez wirusów, jedynie wiemy iż nie mamy takich w bootsektorach.
                   Moim zdaniem badanie pamięci nie jest metodą godną polecenia ale musiałem o tej metodzie jednak napomknąć aby uświadomić ,że coś takiego istnieje.


Podsumowanie

..................................................Reasumując, najważniejszą sprawą jest zdobycie informacji o tym czy :
-mamy zainstalowany w komputerze szkodliwy program (backdoor (trojan), spyware)
-jaka jest jego nazwa (nazwa trojana) wówczas można poszukać informacji o zagrożeniach jakie może wywoływać oraz o sposobie jego usunięcia
-jaka jest nazwa pliku (często plik ma nazwę inną niż trojan) oraz jego umiejscowienie (ścieżka dostępu do pliku [plików])

.................................................Na następnych stronach zostały opisane:

-----------------------------------------------------------------------------------------------------------------------------

Opracował
TadeuszFantom
www.haker.prokuratura.com






Strona główna ........................................................................................................Porady komputerowe-powrót