¿Analizar manualmente la infección de archivos maliciosos?

Navega tus respuestas
0

Sé que hay opciones de software de seguridad gratuito que funcionan bien como malwarebytes, pero realmente quiero aprender a analizar posibles amenazas de archivos maliciosos en tu PC de forma manual. Sé que puede verificar actividades y procesos irregulares y desconocidos en la computadora con el administrador de procesos en Windows, pero me preocupa que algunos archivos maliciosos puedan ocultar sus procesos o que abandonen sus procesos cuando detectan que ha abierto el administrador de procesos o los programas de seguridad tales como malwarebytes o software antivirus. ¿Hay alguna forma de acceder a un registro de todos los cambios realizados y se están realizando en Windows, procesos recientes y en curso para poder limitar los archivos sospechosos en lugar de tener que mantener la vigilancia en el administrador de procesos todo el tiempo? Y hay otras formas de buscar amenazas en la PC manualmente, como revisar algunos archivos del sistema. Además, ¿podría alguien decirme cómo los programas de seguridad buscan amenazas por sí mismos? ¿Y cómo puedo saber si el método de escaneo empleado por ellos es exhaustivo y confiable? ¿Y los programas de seguridad como kaspersky, avg, sophos son eficientes para encontrar amenazas?

Y generalmente, ¿cómo encuentra la manera de eliminar las amenazas? por Google solo? ¿Hay algunos foros o comunidades en línea donde pueda encontrar personas para pedir ayuda para reparar su PC infectada, o alguna base de datos para los métodos de eliminación de archivos maliciosos? Y si no puede estar seguro de qué tipo de archivos maliciosos ha infectado su sistema después de buscar en Google y escanear con software de seguridad, ¿dónde debería acudir para obtener ayuda?

    
pregunta Jack the Ripper 17.10.2018 - 22:46
fuente

3 respuestas

2

Básicamente, lo que preguntas es cómo puedes convertirte en el antivirus de tu computadora. Respuesta simple: no puedes.

Puede crear o encontrar secuencias de comandos que le darán algunos indicadores de compromiso para su sistema y comenzar a mirarlos de forma sospechosa, puede explorar a través de los procesos y sus conocimientos, puede analizar el tráfico de su red y ver qué no funciona aquí. Puede aprender a monitorear su sistema con la Interfaz de administración de Windows y PowerShell (supongo que trabaja en Windows para esta). También puede tomar instantáneas de su sistema y compararlas. También puede usar o escribir herramientas para verificar las firmas de sus archivos con las reglas de Yara y ver si recibe algún impacto malicioso. Aprenderás toneladas de cosas, pero aún así, es posible que te estés perdiendo algo. No vale la pena comprometer su sistema por algo como esto.

Básicamente, harás a mano lo que hace un buen AV. Escanear archivos en base a su base de datos de firmas y / o comportamiento del proceso. Compruebe si hay cambios en el sistema de archivos y las claves de registro, el tráfico de red sospechoso y cadenas extrañas. La diferencia es que lo hará más lento, menos eficiente y no en tiempo real.

Si desea aprender cosas sobre el análisis y, por lo tanto, abordar el malware, establezca un entorno virtual agradable, aprenda sobre análisis estáticos y dinámicos, algunas herramientas que lo ayudarán y comience a conocer las ideas de su sistema operativo. Encuentra una buena lista de muestra de malware y listo. Pero no puedes reemplazar un AV y tampoco deberías. Para eso está hecho, la velocidad y la eficiencia para detectar y bloquear toneladas de ataques conocidos y tratar de detectar ataques desconocidos, basados en el comportamiento.

P.S. Siéntase libre de preguntar cualquier cosa a continuación :)

    
respondido por el Chris Tsiakoulas 17.10.2018 - 23:56
fuente
1

Quizás te interese la caza de amenazas y la ingeniería inversa. Aprender los fundamentos de la búsqueda de amenazas lo ayudará a entender qué buscar en su sistema en términos de posibles amenazas de seguridad, y aprender ingeniería inversa lo ayudará a familiarizarse con la forma en que su sistema y los programas diseñados para ejecutarse en su sistema funcionan. Parece que está utilizando un sistema de Windows, por lo que pueden resultarle útiles:

Estos recursos le permitirán responder muchas de sus propias preguntas. Feliz caza.

    
respondido por el SYS_V 18.10.2018 - 01:07
fuente
0

Ya hay muchas respuestas buenas que recomendaría que analicen. Mi única sugerencia es trabajar con una combinación de herramientas y conocimientos obtenidos de varios libros / PDF / videos sobre cómo encontrar y evaluar archivos, saber qué está buscando.

Una vez encontré una variante de criptografía en un servidor prod de un cliente porque noté que la CPU tenía un pico y una búsqueda superficial de la palabra "bitcoin" o "BTC" o de archivos con puntos después de su extensión, por ejemplo. "file_name.exe.WHATEVER"

    
respondido por el Matt 25.10.2018 - 17:13
fuente

Lea otras preguntas en las etiquetas

¿Por qué la técnica de Inyección de SQL INTO OUTFILE a veces no funciona? [cerrado] ¿Cómo se puede restablecer un UEFI completamente en caso de una infección de firmware?