Как правильно проверить, является ли программа вирусом / трояном в VMware?

1684
Peter Mortensen

Как мне проверить, является ли программа вирусом в VMware? Некоторые программы мне нужно установить администратором, и это имеет смысл. Но как я узнаю, что он делает больше, чем я хочу? Некоторые мысли:

  • Сколько процессов открывается при запуске приложения
  • Что добавлено на вкладку автозагрузки в msconfig
  • Если какие-либо услуги добавляются.

Это почти все мои идеи. Даже если бы я узнал что-то, я бы не знал, нужно это или нет. Какое эмпирическое правило?

-Edit- Как насчет реестров, могу ли я использовать эту информацию, чтобы помочь? Может быть, сканер скажет мне, если приложение, которое я только что использовал, испортило разделы (например, при загрузке), чего не должно быть?

4
Создайте снимок хэша каждого файла в системе перед запуском и после запуска. Это позволяет определить, какие файлы были изменены. Chloe 9 лет назад 0

3 ответа на вопрос

2
ChrisF

Запустите исходящий брандмауэр, который запрашивает новые подключения.

Если программное обеспечение пытается установить много исходящих соединений, это может быть бесполезно. Многие программы проверяют наличие обновлений либо при первом запуске, либо периодически, поэтому вам придется пропустить первое. Не устанавливайте флажок «запомнить мой ответ для этого приложения» (он должен существовать), чтобы вы могли видеть, когда в следующий раз он «позвонит домой».

Это также предупредит вас о попытках исходящего соединения от программного обеспечения, которое вы не запустили напрямую - еще один признак того, что у вас установлено вредоносное ПО.

1
Phoshi

Wireshark для мониторинга трафика, Process Explorer для мониторинга файлов и изменений в реестре. Сохраняйте «заведомо удачный» снимок для загрузки каждый раз, чтобы уменьшить возможное загрязнение. Не подключайте интернет, если вам это не нужно.

0
nik

В соответствии с вашим анализом (хотя всегда безопаснее проверить, откуда вы его скачали и использовать локальное антивирусное программное обеспечение),

  1. Проверьте, какие сетевые коммуникации он пытается.
    Всегда довольно легко перечислить, какая сетевая активность вероятна из описания программы.
    Вы можете использовать Sysinternals TCPView, чтобы следовать ему или просто делать часто netstat.
    Некоторые антивирусные / брандмауэры Host также позволяют настроить блок для процесса.
    • Большинство вредоносных программ фокусируется на «повреждении» других приложений в вашей системе.
      Это означает, что просто следовать только что установленному приложению будет недостаточно.
      Вам нужен способ определить, когда он начинает воспроизводиться с другими исполняемыми файлами в ваших системах.
tcpview отлично. Это одно приложение выглядит хорошо и, похоже, не отправляет никаких данных. 14 лет назад 0
Hijackthis (http://free.antivirus.com/hijackthis) очень полезен для проверки реестра и настроек файлов не в режиме реального времени, а до / после указанной установки. invert 14 лет назад 1

Похожие вопросы