Перейти к содержанию

Выявление и нейтрализация шпионского софта


Рекомендуемые сообщения

  • Ответов 63
  • Создана
  • Последний ответ

Что касается выявления (поиск) то использую 2-а основных метода:

1. Антивирус и всякие Spyware-сканеры

2. Изучение исходящего трафика (линки)

 

Если есть еще что-то, то с удовольствием выслушаю тоже.

Ссылка на комментарий
Поделиться на другие сайты

Что касается выявления (поиск) то использую 2-а основных метода:

1. Антивирус и всякие Spyware-сканеры

 

Если не ошибаюсь, то далеко не все шпионское ПО они видят. Есть мнение - http://www.xakep.ru/post/35563/

 

 

2. Изучение исходящего трафика (линки)

 

Поделитесь,пожалуйста, опытом, как именно это делается.

 

Вопрос ко всем: также хотелось бы узнать, как может отслеживать данное ПО пользователь ПК, работающий во внутрикорпоративной сети, если ПО установлено сисадмином по указнию руководства.

Ссылка на комментарий
Поделиться на другие сайты

Если не ошибаюсь, то далеко не все шпионское ПО они видят. Есть мнение - http://www.xakep.ru/post/35563/

ЕСТЕСТВЕННО!

 

Поделитесь,пожалуйста, опытом, как именно это делается.

Вопрос ко всем: также хотелось бы узнать, как может отслеживать данное ПО пользователь ПК, работающий во внутрикорпоративной сети, если ПО установлено сисадмином по указнию руководства.

 

Это очень подробно и хорошо описано в статье Евгения Ющука о Поисковике Гугл, поищите у нас на форуме она активно обсуждалась.

Там довольно подробно рассказывалось о том что и куда передает данные гугл.

 

Технология приблизительно таже.

 

Ссылка на комментарий
Поделиться на другие сайты

2 темы разные на самом деле. Первая это нейтрализация шпионского софта и вторая, безусловно пересекающаяся, про софт легально установленный системным администратором. Поясню, с Вашего разрешения, почему. Если абстрагироваться отбросить в сторону вопросы о легальности установки такого софта, то оба вопроса пересекаются в том, что необходимо определить момент компрометации информации на компьютере. Защитить на 100% это утопия, я за такие моменты не смогу подписаться например. Видел примеры знаете ли, снятия информации с защищенного по самым высоким стандартам, отключенного от сети терминала. Писать про "противодействие" хорошему системному администратору, тема огромная, универсальных решений нет (ну вернее я не знаю) и вообще не очень этично в открытом доступе. Ну есть всякие тулзы на питоне, работающие на низком уровне, но под Линукс, и сложно привязанные к ядру и так далее. Ну а с парвми администратора под Win, безусловно можно попробовать

Ссылка на комментарий
Поделиться на другие сайты

Вопрос ко всем: также хотелось бы узнать, как может отслеживать данное ПО пользователь ПК, работающий во внутрикорпоративной сети, если ПО установлено сисадмином по указнию руководства.

 

 

... Писать про "противодействие" хорошему системному администратору, тема огромная, универсальных решений нет (ну вернее я не знаю) и вообще не очень этично в открытом доступе...

Уважаемый Loo! Полностью разделяю Вашу точку зрения по данному вопросу. Должно же быть и у нас что-то святое! :smile20:

Ссылка на комментарий
Поделиться на другие сайты

Опытный пользователь заметит в системе практически любой посторонний процесс, если только он действительно следит за своей системой. Есть такие программы, как Wireshark, FileMon, RegMon - их, в принципе, уже достаточно в большинстве случаев. Однако, если ваш компьютер кому-то очень сильно понадобится... В этом плане, я согласен с Loo: 100% защита - это утопия.

Ссылка на комментарий
Поделиться на другие сайты

Уважаемый Николаич! Мне если честно, по фигу на святое для сисадминов. Меня даже напрягает, когда мне внаглую деймваре ставят, и даже не заботятся о том, чтобы ее в трее не светить. Я работаю фиником, мне "совершенно не интересно ходить с такими людьми по одной Одессе" -(с)

Никоим образом не хотел обидеть. CIO обычно занимаются совершенно другими вещами, а SIO у нас либо нет в конторах, либо им не платят, столько сколько среднему финику :о)) Поэтому я гдето внутри и очень хотел бы в ИТ поработать, но ...

Ссылка на комментарий
Поделиться на другие сайты

В этом плане, я согласен с Loo: 100% защита - это утопия.

+1

 

Но можно попробовать следующее (если у пользователя права локального администратора машины :smile3: о чем сказал мастер Лу) - поставить программу-ревизор (например, avz) и зафиксировать эталонное состояние системы. Потом проверять надо так - загружаться не с жесткого диска, а с USB-шки или CD, и с него же запускать программу сравнения текущих контрольных сумм с эталонными. Собственно это называется контроль целостности системы и прописано для серьезных серверов во всех методиках по защите серверов. Именно так обычно борются с руткитами и ищут их (обратите внимание на разносторонние возможности avz :smile14: ). Хотя есть руткиты, которые и таким образом не обнаружить...

А про нетрализацию я тоже не стал бы открыто говорить - хотя, конечно, есть способы защиты от сетевых админов (групповые политики отключить и т.д. :smile19: )

 

 

Ссылка на комментарий
Поделиться на другие сайты

Уважаемый Николаич! Мне если честно, по фигу на святое для сисадминов.

Уважаемый Loo! Также честно - мне тоже. Никогда сисадмином не был, и уже не стану - годы, знаете ли...

 

Никоим образом не хотел обидеть.

Поэтому и не обидели :smile4:

 

Я вот о чем хотел сказать. Может я просто мнительным становлюсь, но первоначально речь шла о выявлении шпионского ПО на собственном ПК. Тема важная, и хотя есть специализированные форумы, нелишне и полезно обсудить ее и здесь. Но как-то быстро всплыла и вторая тема, и, подозреваю, изначально более важная для любопытствующего:

 

Вопрос ко всем: также хотелось бы узнать, как может отслеживать данное ПО пользователь ПК, работающий во внутрикорпоративной сети, если ПО установлено сисадмином по указнию руководства.

 

А это еще зачем? Что Вы делаете на ПК, работающем во внутрикорпоративной сети, такого, что стыдно показать сисадмину? Вернее, что собираетесь сделать? Тут, в соседней ветке, мы сутки выясняли откуда пришло анонимное письмо, помните? Так вот, сдается мне, что письмо это только пишется.

Плох тот сисадмин, который не знает, что у него в локалке творится, кто, куда и что отправляет, какие пароли использует и т.д. и т.п. Во внутрикорпоративной сети нет права на личную жизнь и частную переписку, есть только права доступа.

Уважаемый vbl! Если бы Вы написали, что собираетесь исследовать корпоративную сеть конкурента, я бы тоже попытался Вам помочь, а при таком раскладе отреагировал как сотрудник СБ. Извините.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...