на одном из форумов. (спасибо откликнувшимуся. жаль не помню имени..) мне написали вот этот список:
По умолчанию Своя антивирусная лаборатория
Пак программ для мини антивирусной лаборатории
API Monitor
HijackThis 2.0.3 (Beta)
MandiantRedCurtain 1.01
OSAM Autorun Manager 5.0
PDF tools
pefile
PEiD
Sandboxie
SysAnalyzer
далее я его дополнил:
Служебными программами от компании Sysinternals:
перечислять их не буду... их можно найти на ***/technet.microsoft.com/ru-ru/sysinternals/bb795533.aspx
которые кстати не юзал ..что конечно же надо было сделать, ибо весь ответ мог быть именно там...
дак вот.... перекачав и перерыв кучу ссылок и сборок с первого списка. я честно ни*уя там ничего не понял за исключением пары программ, по которым кстати мне удалось выявить некоторую активность подопытного трояна. какие ключи в реестре были созданы, какие файлы в папке Windows либо где то еще - появились- и еще там некоторые моменты... но половина програм нивкакую не поддавалсь на поиск в Google - тобишь - русский интерфейс и portable запуск. (что конечно можно было все таки найти, если бы не лопнуло терпение) пришлось юзать на интуицию с английскми интерфесом. еще некоторые на VMware совсем не запустились и в итоге получилось не очень удовлетворительная лаборатория ( что конечно можно было исправить при должных знаниях - но откуда они? как раз их бы найти надо на таких опытах )
дак вот .. может быть.. кто нибудь.. расскажет , если есть время, более подробное юзание прог. даст ссылки с русским интерфейсом, portable.(что немаловажно) чтобы наконец злорадные кидалы которые подсовывают трояны лишились своих админок.
как выявить записанные в (криптованном) ехе, ссылки на домены -
не имея подключения к интернету тоже бы очень хотелось узнать. потому что кажеться что очень умные трояны могут и не долбиться по сетевым адресам палясь через оутпосты и файрволы - если нет
подключения к интернету. а могут и долбиться - только быть свеже написанными и вследствии посылать на*уй все брандмауэры и прочие шведские стенки
можно конечно смотреть там перхваты функций API, выявлять где там место в котором происходит обман файрвола - но слова словами - а на деле ниче не получаеться. задайтесь вопросом... какие шаги надо выполнять , в подробностях и нюансах, чтоб адрес отстука узнать и список соданных ключей реестра и выставленные хуки, процесс в который трой внедрился. и там все прочее... иначе заражают и заражают.. даже уличить не получаеться. все просовывают и просовывают под разными предлогами своих зверей, вместо обещанного рабочего трояна .. мол для опыта.. паблик.... но рабочий...
либо здесь либо в пм
спасибо
По умолчанию Своя антивирусная лаборатория
Пак программ для мини антивирусной лаборатории
API Monitor
HijackThis 2.0.3 (Beta)
MandiantRedCurtain 1.01
OSAM Autorun Manager 5.0
PDF tools
pefile
PEiD
Sandboxie
SysAnalyzer
далее я его дополнил:
Служебными программами от компании Sysinternals:
перечислять их не буду... их можно найти на ***/technet.microsoft.com/ru-ru/sysinternals/bb795533.aspx
которые кстати не юзал ..что конечно же надо было сделать, ибо весь ответ мог быть именно там...
дак вот.... перекачав и перерыв кучу ссылок и сборок с первого списка. я честно ни*уя там ничего не понял за исключением пары программ, по которым кстати мне удалось выявить некоторую активность подопытного трояна. какие ключи в реестре были созданы, какие файлы в папке Windows либо где то еще - появились- и еще там некоторые моменты... но половина програм нивкакую не поддавалсь на поиск в Google - тобишь - русский интерфейс и portable запуск. (что конечно можно было все таки найти, если бы не лопнуло терпение) пришлось юзать на интуицию с английскми интерфесом. еще некоторые на VMware совсем не запустились и в итоге получилось не очень удовлетворительная лаборатория ( что конечно можно было исправить при должных знаниях - но откуда они? как раз их бы найти надо на таких опытах )
дак вот .. может быть.. кто нибудь.. расскажет , если есть время, более подробное юзание прог. даст ссылки с русским интерфейсом, portable.(что немаловажно) чтобы наконец злорадные кидалы которые подсовывают трояны лишились своих админок.
как выявить записанные в (криптованном) ехе, ссылки на домены -
не имея подключения к интернету тоже бы очень хотелось узнать. потому что кажеться что очень умные трояны могут и не долбиться по сетевым адресам палясь через оутпосты и файрволы - если нет
подключения к интернету. а могут и долбиться - только быть свеже написанными и вследствии посылать на*уй все брандмауэры и прочие шведские стенки
можно конечно смотреть там перхваты функций API, выявлять где там место в котором происходит обман файрвола - но слова словами - а на деле ниче не получаеться. задайтесь вопросом... какие шаги надо выполнять , в подробностях и нюансах, чтоб адрес отстука узнать и список соданных ключей реестра и выставленные хуки, процесс в который трой внедрился. и там все прочее... иначе заражают и заражают.. даже уличить не получаеться. все просовывают и просовывают под разными предлогами своих зверей, вместо обещанного рабочего трояна .. мол для опыта.. паблик.... но рабочий...
либо здесь либо в пм
спасибо
Последнее редактирование: