Простой способ исправить остаточные проблемы со сканированием вредоносных программ

В течение нескольких недель некоторые из наших конечных пользователей сообщали, что им приходилось сканировать этих животных на наличие остаточных вредоносных программ.

Ваш компьютер работает медленно и вяло? Он страдает от загадочных сообщений об ошибках и сбоев? Если это так, то вам нужен Reimage — лучшее программное обеспечение для исправления ошибок Windows и восстановления оптимальной производительности.

Если у вас есть уязвимый фид Intel, содержащий известные фрагменты вредоносных программ или просто ключи, это может свидетельствовать о том, что раньше что-то работало. Нераспределенная память: Если процесс остановился, несмотря на то, что компьютер, вероятно, не перезагружался, ваши новые потребности могут найти его остатки обо всех неиспользуемых страницах памяти.

В этом разделе мы рассмотрим, как обнаруживаются остаточные вредоносные программы после расследования инцидента. Основы

Одним из этапов сортировки DFIR является определение того, является ли рекламное и шпионское ПО низкоуровневым или продвинутым. В двух самых последних статьях моей самой лучшей серии «Введение в IR» мы, кажется, обсуждали, как определить, как выглядит и работает шпионское ПО.

Теперь мы сосредоточимся на поиске остатков, связанных с должным к инцидентам с вредоносным ПО после того, как что-либо и все перестало работать. Мы заканчиваем статью тем, что я бы сказал, кратким введением в использование инструмента реагирования на инциденты Cyber ​​Triage для просмотра данных, связанных с вредоносными программами.

30-секундное обновление

Прежде чем углубляться в детали отдельной статьи, давайте рассмотрим основные ценности этой серии руководств “Введение в IR”.

Рекомендуется: Reimage

Reimage – это революционное программное обеспечение, которое помогает устранять различные проблемы с Windows одним нажатием кнопки. Он прост в использовании и может помочь вам восстановить работоспособность вашего компьютера в кратчайшие сроки. Так что не страдайте больше от проблем с Windows - Reimage может помочь!

  • Шаг 1. Загрузите и установите версию Reimage.
  • Шаг 2. Запустите программу и выберите систему, которую хотите сканировать.
  • Шаг 3. Нажмите кнопку "Сканировать" и дождитесь завершения процесса.

  • Эта серия статей выглядит исходя из каждого из них, предоставляет обстоятельства для дальнейшего изучения, а затем показывает конкретные методы. Каждое цифровое расследование связано с ответами на вопросы, и мы сократили распространенный реальный вопрос сортировки «Это устройство скомпрометировано?» большие (всегда большие) вопросы:

    <ул>

  • Применяет ли пользователь какие-либо подозрительные физические приемы (например, использование конфиденциальных файлов)?
  • Есть ли шпионское ПО и (например, вредоносное ПО)?
  • Есть ли какие-либо вредоносные изменения в системе (например, ослабление настроек безопасности)?
  • И в настоящее время для каждой гонки три вопроса будут разбиты на более короткие вопросы. Процесс повторяется до тех пор, пока компания не ответит на вопросы, на которые обычно можно ответить с помощью авторизованных данных.

    Теперь не переходите к сообщению № 8 только в этой серии и посмотрите № 2 и вредоносное ПО.

    В статье 6 мы выделили вопрос “Есть ли на этом компьютере вредоносное ПО?” на три небольших хороших вопроса:

    <ул>

  • Есть ли какие-либо подозрительные программы, которые не удается запустить из-за определенных побуждений (например, запуск компьютера, какой-либо характер входа в систему, запланированное пользователем задание и т. д.)?< /li>
  • Есть ли подозрительные абсорберы?
  • Есть ли среди известных вредоносных программ зародыши предыдущих запусков?
  • Другими словами, это, безусловно, поможет нам увидеть, какие программы на самом деле настраиваются, какие программы спешат, и любые известные следы, которые мы во многих случаях можем найти.

    Мы уже рассмотрели сохранение/запуск вредоносного ПО и работу с ним. Теперь мы смотрим, когда дело доходит до истории прошлых казней.

    Почему мы ищем остаточное вредоносное ПО при расследовании инцидентов?

    Как вы обнаруживаете вредоносное ПО?

    Производительность системы ухудшилась.Новые папки и файлы этого отличного типа в системе.Неизвестные процессы бродят по тикеру в диспетчере задач.Посмотрите на предмет подозрительных портов.Проверьте наличие подозрительных записей внутри реестра.Новый курс для стартапов.

    Мы уже рассмотрели многие системы для обнаружения вредоносных программ, не так ли? Итак, конкретная причина, по которой нам нужно больше?

    <ул>

  • Удаление. Рекламное и шпионское ПО могли быть удалены, а некоторые из последних двух категорий подверглись испытанию на основе проверки того, где и когда вредоносное ПО перемещается. Они не будут обнаружены сразу после удаления вредоносного ПО. Это, вероятно, произойдет, если злоумышленник решит на рынке отказаться от определенного хоста или обновить какую-либо технологию, которую он, к сожалению, не считает нужным сохранять, что может насторожить пару специалистов по безопасности о компрометации.
  • Скрытность: авторы вредоносных программ постоянно пытаются найти множество скрытых способов запуска своих драгоценных троянов, чтобы избежать обнаружения. Всегда существует риск того, что ваш злоумышленник будет использовать новый метод, который ранее упомянутые методы не сразу распознали. Потому что:<ул>
  • В вашей организации определенно есть альтернативный компьютер, который, в свою очередь, удаленно инициирует вредоносное ПО на конечной точке, которую вы время от времени проверяете. В этом случае в настоящее время система сохраняемости не найдена на этом узле, и вы можете не видеть большую часть процессов, с которыми сталкиваются во время сбора данных.
  • Злоумышленник использует совершенно новый процесс сохраняемости на узле. Есть сотни стартапов, и в результате, возможно, они запустят прогрессивный, который привлечет внимание.
  • сканирование остатков вредоносных программ

    При организации конечных точек рекомендуется просматривать как можно больше мест, чтобы можно было очень быстро найти несколько статистических данных, прежде чем углубляться в конкретную область.

    Что нужно знать группам реагирования на инциденты с вредоносным ПО

    Мы не можем задавать вопрос “Есть ли, кроме того, следы предыдущих запусков распознанного вредоносного ПО?”. Мы не определили, видите ли, слово, что такое остаток.

    Давайте рассмотрим жизненный цикл самой подпрограммы (требования см. в этой статье):

    <ул>

  • Он запускает и связывает библиотеки
  • Он работает и так “работает”
  • Он выключается.
  • Давайте рассмотрим каждый из этих шагов в качестве первого шага по устранению остатков тяги.

    Загрузка других

    сканирование на наличие остатков вредоносного ПО

    При ускорении метода Windows может создать ряд разделов реестра при регистрации специальных записей событий (в зависимости от настройки). Я бы сказал, за исключением процессов регистрации, большая часть данных собирается для того, чтобы Windows предварительно загружала библиотеки и не обязательно тратила время в будущем.

    <ул>

  • Предварительная выборка
  • Помощник пользователя
  • MUICache.
  • Мы рассмотрели эту тему в предыдущей статье о программах, которые в основном просматривают пользователи. Мы не будем вдаваться в подробности, но вам следует ознакомиться с нашей собственной статьей об исследовании поведения пользователей, если владельцы кошек ее еще не читали.

    Обработка остатков во время работы

    Но есть несколько вариантов, на которых эксперты могут сосредоточиться, пока вы ищете останки:

    <ул>

  • Загрузки или ключи индикатора компрометации (IOC): вредоносное ПО должно иметь возможность создавать документацию, папки или данные реестра для дампа конфигураций или перехваченных номеров. Иногда процесс очистки от вредоносных программ не получает некоторые из этих файловых ключей и файлов . Если у кого-то есть информация об угрозах, которая содержит пути или рекомендации по началу работы, связанные с известными вредоносными программами, другими руководствами, это может указывать на то, что что-то, несомненно, запущено.
  • Вы не ошибетесь с этим инструментом исправления Windows. Если у вас возникли проблемы, просто нажмите на нее, и ваши проблемы будут решены.

    г.