Tham gia Đăng nhập
Điểm:0
avatar Server

Có cách nào (pháp lý) để liệt kê các sự kiện/hành động trong quá khứ của một chương trình phần mềm độc hại *.exe nhất định (PUP-Proxygate, có thể là một Trojan) không?

lá cờ jp
David.P

Có một thư mục chứa các tệp *.exe đáng ngờ trên PC chạy Win 10 và có các giao thức (bên ngoài) có khả năng hành động bất hợp pháp đến từ PC đó vào một thời điểm nhất định trong quá khứ. Hành động đáng ngờ đầu tiên là lưu lượng mạng đến một hố sụt Địa chỉ IP điển hình cho hupigon trojan, trang thứ hai (vài ngày sau) đã đăng một nỗ lực lừa đảo trên nền tảng thương mại Internet.

PC trong câu hỏi đã được tắt nguồn chỉ bằng cách kéo cáp nguồn ngay sau khi hành động thứ hai được chú ý.

Ngay sau đó, PC đã thu giữ bởi chính quyền địa phương (những người đã được thông báo về hành động thứ hai bởi một nạn nhân tiềm năng của vụ lừa đảo).

Một hình ảnh có thể khởi động của PC tồn tại đã được kéo ra khỏi ổ C: sau khi tắt cứng.Hình ảnh đã được khởi động trên một PC tương tự. Quét Trendmicro AV và kiểm tra Virustotal tiếp theo đã tiết lộ (chỉ có) sau đây.

Kết quả quét AV của Trendmicro: Kết quả quét AV của Trendmicro

Thư mục "Proxygate" với các tệp thực thi: Thư mục proxygate với các tập tin thực thi

kiểm tra virus

Là gì PUP-Proxygate ("Chương trình có khả năng không mong muốn")

Tôi đã bị nhiễm phần mềm quảng cáo ProxyGate như thế nào

Lưu trữ Internet http://proxygate.net

Cách xóa ProxyGate

Ngoài ra, tôi đã quét toàn bộ hệ thống hình ảnh ổ đĩa hệ thống của PC được đề cập bằng cách sử dụng Khám nghiệm tử thi/Bộ thám tử. Tuy nhiên, tôi không có kinh nghiệm phân tích thêm bằng Autopsy và sẽ cần hỗ trợ bắt đầu từ đâu: Khám nghiệm tử thi/Kết quả quét của Sleuth Kit

tôi có những điều sau đây danh sách ID sự kiện theo một số công ty bảo mật AV nên được kiểm tra trong Trình xem sự kiện trong các sự kiện "Bảo mật":

1006, 1007, 1125, 4624, 4625, 4634, 4648, 4670, 4672, 4672, 4688, 4704, 4720, 4722, 4725, 4726, 4728, 4731, 4732, 4733, 4735, 4740, 4756, 4765, 4766, 4767, 4776, 4781, 4782, 4793, 5376, 5377

Có cách nào khác để tra cứu xem có bất kỳ tệp exe đáng ngờ nào đang hoạt động theo bất kỳ cách nào vào thời điểm đó hay không và nếu có, nó đang làm gì (ví dụ: mở tệp, truy cập địa chỉ internet, v.v.)?

Ngoài ra, có cách nào để xem bất kỳ hành động nào của bất kỳ chương trình nào tại các thời điểm cụ thể được đề cập (ngoài việc tìm kiếm Trình xem sự kiện) không?

584
1 + 2
Tilman Schmidt avatar
lá cờ bd
Tilman Schmidt
@anx Bạn nên nhập câu trả lời đó làm câu trả lời chứ không phải nhận xét.
0
Hồi đáp
joeqwerty avatar
lá cờ cv
joeqwerty
Là một câu hỏi giả định, điều này là tốt. Nếu bạn là nạn nhân của vi phạm, mã độc tống tiền, v.v. thì hãy liên hệ với cơ quan thực thi pháp luật tại địa phương, liên hệ với nhà cung cấp bảo hiểm doanh nghiệp của bạn và không thực hiện hành động nào có thể hủy hoại bằng chứng.Ngắt kết nối internet và tìm kiếm sự hướng dẫn của những người có kinh nghiệm trong việc này. Có bất kỳ số lượng các công ty chuyên về lĩnh vực này.
2
Hồi đáp
Điểm:1
anx avatar Server
lá cờ fr
anx

Nếu bạn phải hỏi .. sau đó nó có lẽ sẽ không đủ để trả lời các câu hỏi thú vị:

  1. các hệ thống bổ sung có bị xâm phạm không?
  2. làm thế nào & khi nào nguyên thỏa hiệp xảy ra, trước sự kiện cụ thể làm bạn nghi ngờ?

Chắc chắn có nhiều cách để thiết lập hệ thống sao cho chúng truyền một lượng lớn các sự kiện có liên quan đến một vị trí an toàn (sao cho nhật ký không thể bị sửa đổi hồi tố), thường liên quan đến một số thứ như sysmon.

Nếu bạn không có điều đó vào thời điểm nghi ngờ, thì vẫn có khả năng có một số lượng bằng chứng hữu ích về chính hệ thống bị ảnh hưởng. Tùy thuộc vào môi trường của bạn và kỹ năng & ý định của bên độc hại, cách tốt nhất của bạn có thể là một trong

  • tắt nguồn máy để ngăn chặn bằng chứng bị phá hủy hoặc
  • ngăn chặn tắt nguồn máy để ngăn chặn bằng chứng bị tiêu hủy.

Một quyết định khó khăn tốt nhất được thực hiện bởi một chuyên gia pháp y. Dù sao đi nữa, bạn có thể muốn ký hợp đồng, bởi vì khi bạn khám phá thêm chi tiết về sự cố này, nó có thể yêu cầu các thủ tục hoặc kỹ năng mà bạn có thể không quen.

0 + 4
lá cờ jp
David.P
Cảm ơn. Theo hiểu biết của tôi, các hệ thống khác đã không bị xâm phạm. Người ta không biết thỏa hiệp ban đầu xảy ra như thế nào và khi nào. Đây là những gì tôi đang cố gắng tìm hiểu. Tôi đã thêm chi tiết hơn cho câu hỏi.
0
Hồi đáp
lá cờ jp
David.P
[@]anx và [@]all, tôi đã thêm tất cả thông tin mà tôi có cho đến nay về vụ việc.
0
Hồi đáp
anx avatar
lá cờ fr
anx
Mặc dù các chi tiết hơi thú vị .. như joeqwerty đã gợi ý, nhưng đối với các câu hỏi thực tế hơn về các tình huống đã quá muộn để áp dụng các phương pháp hay nhất về quản trị hệ thống, thì không có nhiều [trang web này](https://serverfault.com/help/ về chủ đề) có thể giúp bạn, ngoài những gì đã được đề cập trong [câu hỏi chính tắc](https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server/218019 #218019)
0
Hồi đáp
lá cờ jp
David.P
Tôi không cố gắng cứu thứ gì đó khi đã quá muộn, mà là cố gắng hiểu làm thế nào phần mềm độc hại có thể xâm nhập vào PC đó và liệu nó có thực sự có thể là phần mềm quảng cáo tương đối vô hại này đã kích hoạt các hành động tội phạm tiềm ẩn đó hay không.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.