Как обнаружить троян? Методика и утилиты.

Обнаружить троян, который не определяется антивирусом и обошёл ваш фаервол, порой задача не из тривиальных. Но не невозможная — любое действие оставляет в системе следы. Принцип обнаружения трояна в том и состоит. Предупреждаю сразу — в статье лёгких и быстрых решений не будет. Извините, что ссылок на программы будет немного — названий немало, придётся вам искать их вручную. И пригодятся вам не все. Я покажу как троян найти. Но обнаружить троян — не значит вылечить. Об этом в следующей статье.

Как обнаружить троян? Проверим открытые порты.

Если троян есть, он, скорее всего, нужен для отправки некой информации хакеру. Значит, ему понадобится для этого специальный канал, вход в который открывает один из портов системы. И порт этот (скорее всего) будет из числа тех, какие системой не используются, то есть из числа зарезервированных. Следовательно, задача на этом этапе проста: внимательно изучить открытые порты и проследить за процессами, которые этими портами пользуются, и на какие адреса информация отправляется.





Для операционной системы Windows вам в этом процессе на скорую руку может помочь команда netstat с флагом -an (если для выхода в интернет вы используете роутер, принцип поиска будет немного неполноценным, но читайте до конца). Наберите её прямо сейчас в консоли команд:

обнаружить троян через netstat

Внешний адрес описан по типу IP-адрес:интернет-порт

Однако более развёрнутую информацию вам предоставят сторонние программы. Лично я пользуюсь утилитами TCPView, CurrPorts и IceSword. Не всегда эта информация объективна, так как процесс может затаиться до поры до времени, и не факт, что порт откроется прямо сейчас, но проверять иногда стоит.

Как обнаружить троян? Проверьте запущенные процессы.

Троян вполне способен замаскироваться под легальный процесс или даже службу Windows. Троян способен инфицировать процесс, загружаясь с процессом Windows и паразитируя на нём. Здесь выход только один — нам нужны специальные программы для сканирования запущенных процессов. Одним из вариантов таких программ служит What’s Running («Уотс Ранинг» — «Что сейчас запущено«). В разное время мне приходилось использовать несколько утилит, которые зарекомендовали себя одинаково хорошо. И вот их список, приглядитесь:

  • Autoruns
  • KillProcess
  • HijackThis
  • PrcView
  • Winsonar
  • HiddenFinder
  • Security Task Manager
  • Yet Another Process Monitor

Как обнаружить троян? Проверьте реестр.

Что первым делом сделает троян? Ему нужно запускаться, а в Windows для этого  существует несколько директорий и настроек. И все они находят своё отражение в настройках реестра. Windows автоматически исполняет инструкции, определяемые вот этими разделами реестра:

Run

RunServices

RunOnce

RunServicesOnes

HKEY_CLASSES_ROOT\exefile\shell\open\command

command registry

Таким образом, сканируя ключи и разделы реестра на подозрительные записи можно выявить инфекцию трояном: тот может вставить свои инструкции в эти разделы реестра для того, чтобы развернуть свою деятельность. И для того, чтобы обнаружить троян в реестре, также существует немало утилит, например:

  • SysAnalyzer
  • All-Seeing Eyes
  • Tiny Watcher
  • Registry Shower
  • Active Registry Monitor

Как обнаружить троян? Он может быть в драйверах устройств.

Трояны часто загружаются под эгидой загрузки драйверов к каким-то устройствам и используют эти самые устройства как прикрытие. Этим грешат непонятные источники «драйверов для скачивания» в сети. Ничего не напоминает? А система часто предупреждает о том, что цифровая подпись драйвера отсутствует. И не зря.

цифровая подпись драйвера

Так что не спешите устанавливать скачанное из сети и не верьте глазам своим — доверяйте только официальным источникам. Для мониторинга драйверов сеть предлагает следующие утилиты:

  • DriverView
  • Driver Detective
  • Unknown Device Identifier
  • DriverScanner
  • Double Driver

Как обнаружить троян? Службы и сервисы.

Трояны могут запускать некоторые системные службы Windows самостоятельно, позволяя хакеру захватить контроль над машиной. Для этого троян присваивает себе имя служебного процесса с целью избежать детектирования со стороны антивируса. Применяется техника руткита с целью манипуляции разделом реестра, в котором, к сожалению, есть где спрятаться:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services

А значит, нам придётся запастись утилитами мониторинга запущенных сервисов. Это:

  • Smart Utility
  • Process Hacker
  • Netwrix Service Monitor
  • Service Manager Plus
  • Anvir Task Manager и др.

Как обнаружить троян? Нет ли его в автозагрузке?

Что мы подразумеваем под автозагрузкой? Нет, мои хорошие, это не только список записей в одноимённой папке — это было бы совсем просто. Прежде всего, это следующие разделы Windows:

  • полный список служб Windows, выдаваемый одноимённой консолью. Команда быстрого запуска консоли: Выполнить (WIN + R) — services.msc. Советую открыть, отсортировать по Типу запуска и внимательно изучить все запускаемые Автоматически службы.
  • папка с автоматически загружаемыми драйверами: знаменитая C:\Windows\System32\Drivers (были времена я проверял каждый из драйверов вручную)
  • бывает всякое, так что загляните и в файл bootmgr (для Windows XP это boot.ini) на предмет посторонних вкраплений. Самый простой способ это сделать — вызвать утилиту Конфигурации системы: WIN + R- msconfig — вкладка Загрузка
  • а раз уж вы здесь, перейдите и во вкладку загружаемых программ. Во вкладке Автозапуск мы часто ищем программы, которые тормозят запуск системы. Однако вы можете там обнаружить и трояна
msconfig

msconfig в Windows XP (для других версий почти не изменился)

msconfig windows 7

а вот окно Конфигурации для Windows 7

  •  а вот теперь и папку Автозагрузки проверьте (убедитесь, что системе приказано отображать Системные файлы и папки, а также Скрытые):

hidden folders files

  • Локальный диск С: - Program Data - Microsoft - Windows - Главное меню - Программы - Автозагрузка
  • C:\Пользователи\имя-записи\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка





Это не полный список ветвей. Если хотите узнать о программах, которые запускаются вместе с Windows, вы можете посмотреть на их список в статье «Опасные ветви реестра«. Из числа утилит, с помощью которых можно проводить мониторинг разделов загрузки можно выделить:

  • Starter
  • Security Autorun
  • Startup Tracker
  • Program Starter
  • Autoruns

Как обнаружить троян? Проверьте подозрительные папки.

Для трояна обычное дело изменять системные папки и файлы. Проверить это можно несколькими способами:

  • FCIV — командная утилита для расчёта MD5 или SHA1 файловых хешей
  • SIGVERIF — проверяет целостность критических файлов, имеющих цифровую подпись Microsoft
  • TRIPWIRE — сканирует и сообщает об изменениях в критических файлах Windows
  • MD5 Checksum Verifier
  • SysInspect
  • Sentinel
  • Verisys
  • WinMD5
  • FastSum

Как обнаружить троян? Проверьте сетевую активность приложений

В трояне нет смысла, если он не запускает сетевую активность. Чтобы проверить, какого рода информация утекает из системы, необходимо использовать сетевые сканеры и пакетные сниферы для мониторинга сетевого трафика, отправляющего данные на подозрительные адреса. Неплохим инструментом здесь является Capsa Network Analyzer — интуитивный движок представит детальную информацию, чтобы проверить, работает ли на вашем компьютере троян.

Успехов нам всем.

Запись опубликована в рубрике Чтобы знать. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

7 − пять =