Ett Enkelt Sätt Att åtgärda återstående Skanningsproblem Med Skadlig Programvara

Under de senaste veckorna har några av våra användare ätit rapporterat att de måste skanna företaget efter kvarvarande skadlig programvara.

Går din dator långsamt och trögt? Är det plågat av mystiska felmeddelanden och krascher? Om så är fallet behöver du Reimage � den ultimata programvaran för att fixa Windows-fel och återställa optimal prestanda.

Om ditt företag har en sårbar Intel måltid som innehåller kända skadliga sökvägar till bara nycklar, kan detta indikera vilka ofta något har fungerat tidigare. Oallokerat minne: Om processen avbröts men vanligtvis datorn förmodligen inte startade om, kan dina nödvändigheter hitta sina rester i nästan oanvända minnessidor.

I det här färdighetsavsnittet kommer vi att titta på insikter om hur kvarvarande skadlig programvara upptäcks efter att utmärkt incident har undersökts. Grunderna

En trappa i ett DFIR-triage-scenario kan avgöra om skadlig programvara kan beskrivas som lågnivå eller avancerad. I de senaste två artiklarna i min “Introduktion till IR”-serie tittade vi på hur man avgör vad skadlig programvara är och fungerar.

Nu kommer vi att fokusera efter att ha hittat rester relaterade till att svara för dig på incidenter med skadlig programvara efter att allt har slutat fungera. Vi avslutar artikeln tillsammans med vad jag skulle säga en snabb introduktion till att använda Cyber ​​​​Triage Incident Response-verktyget för att granska skadlig programvara.

30 sekunders uppdatering

Innan vi går in på detaljerna i det här stycket, låt oss gå igenom de grundläggande standarderna i denna “Introduktion till IR”-serien.

Rekommenderas: Reimage

Reimage är en revolutionerande mjukvara som hjälper dig att fixa en mängd olika Windows-problem med bara en knapptryckning. Det är lätt att använda och det kan hjälpa dig att få igång din dator igen på nolltid. Så lid inte av Windows-problem längre - Reimage kan hjälpa!

  • Steg 1: Ladda ner och installera Reimage
  • Steg 2: Starta programmet och välj det system du vill skanna
  • Steg 3: Klicka på knappen Skanna och vänta tills processen är klar

  • Denna artikelserie tittar på dem samtidigt, ger en ram genom ytterligare studier och ger sedan en mängd olika metoder. Digitala utredningar är alla relaterade till att svara på frågor, och vi har brutit ner den vanliga sorteringsfrågan “Är typen av enhet äventyrad?” stora (alltid stora) frågor:

  • Finns det några misstänkta fysiska handlingar som skapats av användaren (som att komma åt subtila filer)?
  • Finns det någon skadlig programvara (t.ex. skadlig programvara)?
  • Finns det några skadliga systemvändningar (som förenklade säkerhetsinställningar)?
  • Och idag, avsedda för varje lopp, bör de tre frågorna delas upp i de mindre frågorna. Processen upprepas tills ditt lilla företag svarar på frågor som ofta automatiskt kan besvaras med auktoriserad data.

    Låt oss nu gå vidare till inlägg #8 i den här typen av serier och titta på #2 och även skadlig programvara.

    I artikel 6 delar vi upp den faktiska frågan “Gör den här datorn skadlig programvara?” till tre små positiva frågor:

  • Finns flera misstänkta program som misslyckas och som kan starta på grund av vissa uppmuntran (till exempel datorstart, någon form relaterad till inloggning, schemalagd uppgift, etc.)?< /li>
  • Körs några misstänkta processer vid den tidpunkten?
  • Finns det nu bakterier från tidigare lanseringar av allmänt känd skadlig programvara?
  • Med andra ord kommer det att hjälpa oss att se vilka program som har konfigurerats, vilka program som körs, med alla kända spår som vi lätt kan hitta.

    Vi har redan täckt att spara/köra och köra skadlig programvara. Nu letar vi efter vilken historia av tidigare avrättningar.

    Varför letar vi efter kvarvarande skadlig programvara när vi undersöker incidenter?

    Hur upptäcker du skadlig skadlig programvara?

    Systemprestandan är definitivt försämrad.Nya mappar och filer av denna version i systemet.Okända processer körs till ticker i Aktivitetshanteraren.Leta efter tveksamma hamnar.Kontrollera om det finns misstänkta poster i en del av registret.The New Deal för nystartade företag.

    Vi har redan täckta många sätt att detektera trojaner, eller hur? Så varför skulle vi behöva mer?

  • Borttagning: Annonsprogrammet kan kanske ha tagits bort, och vissa av de två sista kategorierna baserades mest på en undersökning av var eller till och med en stund skadlig programvara körs. De kommer inte att upptäckas efter att vår skadliga programvara har tagits bort. Detta kan inträffa om en angripare bestämmer sig för att falla en viss värd eller uppgradera en hel del teknik som de tyvärr inte vill behålla, vilket kan varna en säkerhetsåtgärd som är kopplad till kompromissen.
  • Stealth: Skadlig programvara försöker ständigt hitta så många dolda sätt att köra sina trojaner för att undvika upptäckt. Det finns hela tiden en risk att din motståndare använder en ny behandling som de viktigaste tidigare nämnda teknikerna inte riktigt kände igen. Eftersom:
  • Det finns definitivt en annan mekanism i din organisation som i början fjärrinitierar skadlig programvara på vår slutpunkt som du kontrollerar då och då. I det här fallet är envishetssystemet inte på denna värdinna, och du kanske inte har hört talas om det mesta av processen som körs med hjälp av datainsamling.
  • En angripare använder en helt ny beständighetsprocess på denna nod. Det finns hundratals startups, och det är möjligt att de kommer att lansera den nya enda som får mest uppmärksamhet.
  • skanning med avseende på rester av skadlig programvara

    När du sorterar slutpunkter är det en bra idé att söka när så många platser som möjligt och därmed kan du hitta flera resultat riktigt snabbt innan du går för djupt på en specifikt område.

    Vad beredskapsteam för skadlig programvara behöver veta

    Vi ställer inte frågan “Finns det veck av tidigare körningar av märkt skadlig programvara?”. Vi har inte definierat yttrandet vad som är resten.

    Låt oss bara titta på livscykeln för en subrutin (se artikelartikeln för processkrav):

  • Den kan köra och paketera bibliotek
  • Det fungerar och/eller “fungerar”
  • Den stängs av.
  • Som ett första stegs kurs över överblivna cravings, låt oss titta på per av dessa steg.

    Laddar andra

    söker efter rester av skadlig programvara

    När den typ av metod körs, kan Windows skapa olika registernycklar för datorn när du loggar händelsefakta (beroende på inställning). Med undantag för registreringsprocesser, samlas de flesta av dessas data in för att göra det möjligt för Windows att förinstallera bibliotek och inte slöseri med tid i framtiden.

  • Förhämta
  • Användarassistent
  • MUICache.
  • Vi skyddade detta ämne i ett historiskt innehåll om program som användare vanligtvis tänker på. Vi kommer inte att gå in på detaljer, tyvärr bör du kolla in ägarbeteendeforskningsartikeln om ägarna inte redan har läst den.

    Hantera rester under lång tid

    Men det finns några saker som experterna ofta kan fokusera på när individer letar efter lämningar:

  • Nedladdningar eller indikator som har att göra med kompromissnycklar (IOC): Skadlig programvara kan komma med dokumentation, mappar eller registret förstår att dumpa konfigurationer eller fångad data. Ibland missar saneringsprocessen för skadlig programvara en hel del av dessa filnycklar eller så. Om någon har information om gissel som innehåller sökvägar eller nycklar som är synonyma med känd skadlig programvara och andra program, kan detta tyda på att något utan tvekan är igång.
  • Du kan inte gå fel med detta Windows-fixverktyg. Om du har problem klickar du bara på den så kommer dina problem att lösas.