Отправляет email-рассылки с помощью сервиса Sendsay

RFpro.ru: Защита информации, шифрование данных

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 1.833 RSS
  Июнь 2006  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт рассылки: http://rusfaq.ru
Открыта: 19-07-2005

Автор
Калашников О.А.

Статистика

1.833 подписчиков
0 за неделю
  Все выпуски  

RusFAQ.ru: Защита информации


РАССЫЛКИ ПОРТАЛА RUSFAQ.RU

/ КОМПЬЮТЕРЫ И ПО / Защита информации / Защита информации

Выпуск № 123
от 25.06.2006, 05:35

Администратор:Калашников О.А.
В рассылке:Подписчиков: 449, Экспертов: 45
В номере:Вопросов: 1, Ответов: 1

Вопрос № 46761: Здравствуйте! Расскажите пожалуйста, как можно точно выяснить взлом системы? Я подозреваю наличие в своей системе неопределяющегося антивирусом трояна. Как можно точно определить его наличие, не проверяя все сетевые соединения компьютера (есл...

Вопрос № 46.761
Здравствуйте!
Расскажите пожалуйста, как можно точно выяснить взлом системы?
Я подозреваю наличие в своей системе неопределяющегося антивирусом трояна. Как можно точно определить его наличие, не проверяя все сетевые соединения компьютера (если он запускает передачу данных не от имени своего процесса, а от имени, к примеру Macromedia flash player) и обязательно ли должен быть виден запущенный трояном процес, а также где можно узнать имена всех процессов, запускаемых Windows.
Большое спасибо.
Отправлен: 20.06.2006, 05:27
Вопрос задал: Rok-set (статус: 2-ой класс)
Всего ответов: 1
Мини-форум вопроса >>> (сообщений: 0)
Отвечает: LastSoul
Здравствуйте, Rok-set!

Для всего этого необходимы два инструмента:
1. Персональный Файрвол, умеющий разграничивать доступ не только по адресам/портам, но и по прилодениям. (Рекомендую - Outpost)
2. Программа, умеющая показывать список всех процессов, с том числе скрытых, а также их фирмы-производители и пути запуска. (Рекомендую - Process Explorer из пакета SystemInternals)

Все сетевые подключения проверять не надо, просто надо заблокировать лишние.
Для этого в файрволе устанавливаются правила разрешающие доступ только известным приложениям, только по их стандартным портам и только исходящие, остальные блокируются. (В частности Macromedia Flash player с сетью работать не должен вообще).

По поводу соединений, запущенных от имени другого процесса - тот же Outpost их более менее успешно пресекает, хотя полной гарантии не дает.

Далее, по поводу процессов:
В Process Explorer прекрасно видно все процессы, - кем и откуда они были запущены и фирму производитель.

Из списка подозрительных сразу можно исключить все процессы фирмы Microsoft, а также других фирм, в которых вы уверены (например, - Ati,Nvidia,Realtek и др.)

Особое подозрение должны вызвать процессы у которых фирма производитель не указана.

Подробную информацию о любом процессе можно получить по адресам:
http://www.neuber.com/taskmanager/process/
http://www.liutilities.com/products/wintaskspro/processlibrary/
Ответ отправил: LastSoul (статус: 3-ий класс)
Ответ отправлен: 20.06.2006, 11:48
Оценка за ответ: 5
Комментарий оценки:
вот ещё бы такие сайты на русском языке найти...

Отправить вопрос экспертам этой рассылки

Приложение (если необходимо):

* Код программы, выдержки из закона и т.п. дополнение к вопросу.
Эта информация будет отображена в аналогичном окне как есть.

Обратите внимание!
Вопрос будет отправлен всем экспертам данной рассылки!
Для того, чтобы отправить вопрос выбранным экспертам этой рассылки или
экспертам другой рассылки портала RusFAQ.ru, зайдите непосредственно на RusFAQ.ru.


Форма НЕ работает в почтовых программах The BAT! и MS Outlook (кроме версии 2003+)!
Чтобы отправить вопрос, откройте это письмо в браузере или зайдите на сайт RusFAQ.ru.

© 2001-2006, Портал RusFAQ.ru, Россия, Москва.
Идея, дизайн, программирование: Калашников О.А.
Email: adm@rusfaq.ru, Тел.: +7 (926) 535-23-31
Авторские права | Реклама на портале
Версия системы: 4.34 от 01.06.2006 		Яндекс Rambler's Top100
В избранное