Những công cụ nào người ta có thể sử dụng để phát hiện một hoạt động độc hại trên máy tính, ngoài các chương trình chống vi-rút?

-1

Cách đây một thời gian, tôi bị nhiễm virus trên máy tính, chương trình chống vi-rút không phát hiện được. Tuy nhiên, tôi có thể thấy hoạt động độc hại trong Nhật ký sự kiện Windows và trong TcpLogView:

Xem xét rằng các bản cập nhật của cơ sở dữ liệu chống vi-rút luôn tụt hậu so với việc tạo ra vi-rút mới, công cụ chương trình nào phù hợp nhất để phát hiện kịp thời các mối đe dọa không có ngày như vậy?

— và con chó của anh ấy
nguồn

Các chương trình bảo mật có chữ ký dựa trên hành vi chữ ký

— Ramhound

Một tường lửa riêng không hoạt động trong các cửa sổ. Nói một máy tính khác có 2 NIC. tường lửa pfSense và chạy snort hoặc một số IPS khác. Nó có thể phát hiện và chặn lưu lượng trước khi đến PC của bạn. Ngay cả một rootkit cũng sẽ không thể tránh được khối tường lửa (của IP đích) như trên PC của chính nó. Tường lửa cuối cùng sẽ chặn mọi IP được sử dụng trong cuộc tấn công, cộng với nó nên có danh sách đen / trắng riêng. Thông thường, bạn cần phải có một loạt hơn 4 công cụ cho các công cụ cứng đầu hoặc rootkit như các công cụ.

— gian mạng

@cybernard Một phiên bản mở rộng này sẽ tạo ra một câu trả lời thú vị.

— jpaugh

Guy @andhisdog Tôi tò mò làm thế nào bạn biết rằng các sự kiện trên được tạo ra bởi một loại virus. Tôi không thấy bất cứ điều gì rõ ràng sai với họ.

— jpaugh

Cổng 445 là một cổng liên quan đến SMB. Ngoài ra, nhật ký của bạn hiển thị hoạt động bắt đầu từ 2017-05-03. Và địa chỉ IP 14.100.9.209dường như được kết nối với dải địa chỉ IP viễn thông Singapore.

— JakeGould

Một bộ phần mềm chống virus tốt không thể được phát hiện bởi bất kỳ phần mềm chống vi-rút nào đang chạy trên máy chủ. Tuy nhiên, hầu hết các rootkit phụ thuộc vào một máy chủ chỉ huy và kiểm soát ở đâu đó. Vì nó đang truyền qua internet, các địa chỉ IP và tên dns có thể bị chặn bởi một máy tính giữa ISP và máy tính của bạn.

Tôi đã thiết lập VM bằng máy tính dành riêng cho máy chủ vmware esxi. Internet đi vào VM đó trước khi được cho phép trên mạng của tôi. Tôi cũng đã có một tường lửa pfSense chạy trong một VM khác. pfSense đã snort tích hợp vào nó như một công cụ. Snort là một công cụ phát hiện kẻ xấu được công nhận. Nó có thể tự động chặn IP hoặc tên dns.

Các nhà cung cấp bổ sung có thêm danh sách đen trắng mà họ tự động cập nhật.

Tường lửa của riêng tôi cũng có thể phát hiện và chặn các địa chỉ IP đáng ngờ ngẫu nhiên liên lạc với tôi để xem nếu một số cổng nhất định được mở. Đây là giai đoạn đầu tiên của một cuộc tấn công gọi là trinh thám, nó không gây thiệt hại nhưng họ xây dựng cơ sở dữ liệu để họ biết ai sẽ tấn công và sau này như thế nào.

Nhiều nhà cung cấp AV hiện cung cấp hình ảnh CD / DVD, USB hoặc ISO có thể khởi động để quét các cửa sổ mà không có cửa sổ đang chạy để họ ít nhất có thể hy vọng tìm thấy rootkit. Tôi thường xuyên sử dụng một số công cụ như Norton và Malwarebytes để quét hệ thống của mình, nhưng trong một số trường hợp, bạn có thể cần 2 hoặc 3 sản phẩm khác nhau để tìm virus.

Tuy nhiên, người viết vi-rút đang kiểm tra các sản phẩm AV của họ chống lại vi-rút của họ để đảm bảo họ không thể tìm thấy chúng.

Nhiều sản phẩm AV dựa vào chữ ký của vi-rút để phát hiện vi-rút, nhưng ngày nay chúng không hữu ích và bạn cần AV phát hiện các hành vi của vi-rút chứ không phải chữ ký.

— không gian mạng
nguồn

Cho đến nay tôi đã quét máy tính của mình bằng Hijack This, RogueKiller, Junkware Removal Tool, Malwarebytes Antimalware, Malwarebytes Anti-Rootkit, COMODO Cleaning Essentials, Farbar Recovery Scan Tool, - chưa có may mắn nào. TcpLogView có vẻ hữu ích, nhưng nó chỉ hoạt động cho TCP, trong khi virus cũng sử dụng các giao thức khác. Và tôi không biết chuyện gì đang xảy ra ở đó. Họ chiếm quyền điều khiển HỆ THỐNG với thông tin bị đánh cắp, Tường lửa cho phép họ ra vì HỆ THỐNG là một quy trình đáng tin cậy. Họ dường như chiếm quyền điều khiển Svchost và lsass.

— và con chó của anh ấy