Gå til innhold

[Løst]Lage antivirus - minnepenn


Anbefalte innlegg

Jeg har bestemt meg for å lage antivirus-minnepenn.

 

- Kan jeg installere programmet på pennen? Hvis ikke kan pennen på virus og jeg drar med meg videre.

 

- Kan jeg ha det slik at jeg stapper inn pennen, så begynner den full scan? (uten å trykke på så mye)

 

- Finnes det "boot cd" egnet for virusfjerning?

Lenke til kommentar
Videoannonse
Annonse

Det er ikke fullt så enkelt. Du er fremdeles avhengig av at viruset du skal kurere ikke har skjult seg fra OS-et.

 

Finn en portabel versjon av et antivirusprogram du liker godt, og sleng det sammen med HJT og combofix på en minnepenn. Skru på skrivebeskyttelse (må være minnepenn med fysisk skrivebeskyttelses-knapp for at det skal være sikkert) - og godta det faktum at du ikke får til en løsning som går helt av seg selv om du skal ta absolutt alt av virus med denne pennen.

Lenke til kommentar
Sjekk ut dette :)

 

Da funker Hiren's Boot CD like bra.

 

Det er ikke fullt så enkelt. Du er fremdeles avhengig av at viruset du skal kurere ikke har skjult seg fra OS-et.

 

Finn en portabel versjon av et antivirusprogram du liker godt, og sleng det sammen med HJT og combofix på en minnepenn. Skru på skrivebeskyttelse (må være minnepenn med fysisk skrivebeskyttelses-knapp for at det skal være sikkert) - og godta det faktum at du ikke får til en løsning som går helt av seg selv om du skal ta absolutt alt av virus med denne pennen.

 

Jeg foretrekker: Spybot S&D, MBAM, AVG Free, HJT. Finner ikke dem portable, finner bare andre ting som feks. super anti spyware.

 

For Hijack This, trenger jeg å lagre logfila. Legger jeg den på PCen, kan den bli infisert, minnepennen kan jeg ikke legge den på da det kan komme virus dit også.

Lenke til kommentar

Det er jo ikke værre enn at du tar med deg to minnepenner - en som er skrivebeskyttet med fysisk knapp, og en som du lagrer loggen på - og formaterer mellom hver bruk.

 

Bare det å plugge i en skrivbar minnepenn kan være nok til at et virus får spredt seg dit... Risikoen blir ikke større ved å lagre en HJT-logg der.

Lenke til kommentar

Kjangsen for at malware skal infisere en txt-fil og spre seg på den måten er så liten at å overhodet tenke på det er absurd. Når du plugger inn en usb-penn som det går ann å skrive til så er det helt andre steder som blir infisert.

 

Å angripe en maskin med en infisert txt-fil er så vanskelig og så lite fleksibelt at det ikke blir gjort, så trikset er å finne en sikker måte å hente ut tekstfilen uten å infisere maskinen du bruker til å stille diagnosen med. En måte å gjøre det på er å ha en dedikert maskin som ikke kan bli infisert, (typ. linux eller lignende, sikre operativsystem) - eller en måte å isolere minnepennen fra det som kjører på maskinen. En meget kurrant måte å gjøre det på er å bruke vmware usb-passthrough og en virtuell linuxmaskin.

 

Jeg foretrekker å hoppe over hele det gammeldagse konseptet med fysisk medium for datalagring og heller sende alt over nett. Kjør diagnoseverktøy som tar unna de værste rootkit-ene, og instaler deretter et brukbart antivirusprogram som henter ned ferske definisjoner før det skanner den infiserte maskinen.

 

Det høres ut som om du overhodet ikke har peiling på hva du prater om. Sett deg inn i strukturen på hvordan virus fungerer, og hvordan diagnoseverktøyene du benytter fungerer. Forstå angriperen for å fostå hvordan man skal forsvare seg.

Lenke til kommentar
Alle filer kan inneholde virus. Vanskelig eller ikke. .exe er nok mer utsatt men.

En sannhet med modifikasjoner. Alle filer kan inneholde virus, ja - men ikke i kjørbar form. Med en tekstfil, så er man avhengig av å treffe på et leseprogram som er sårbart, og av å klare å holde exploiten nede i filstørrelse og gjøre det vanskelig å oppdage den med manuell inspeksjon. Altså er det totalt ugjennomførbart i praksis.

 

Tar du derimot f.eks et jpg-bilde - så er parsingen og dekodingen før visning så mye mer komplisert at det blir enklere, samtidig som den gjerne gjøres av standardbiblotek. Man tenker ikke over noen kb ekstra i en jpg-fil som blir lagret. Det er nok til å skjule et exploit.

 

Exe-filer er kjørbare i seg selv, og man er dermed ikke avhengig av sårbarheter i kode andre steder for å få kjørt noe. Man kan lure inn kode direkte. Et par diskre jumps og litt søppeldata rett plassert i en exe-fil, og man får lurt unna hva man vil uten at det er umiddelbart synlig. Kode-biblotek ala dll og ocx går litt for det samme - dog er det en exe-fil som står for lastingen av koden da og - men det er mulig å lure exe-filer som sjekker at de selv ikke har blitt tuklet med om man lar exploiten ligge i en dll-fil.

 

Så, tekstfilen med en logg fra f.eks HJT er ikke det man skal bekymre seg for når det gjelder virusspredning. Det værste et typisk virus kan gjøre med en slik logg er å være så godt kamuflert at det ikke vises. Men, på en virusinfisert maskin, så har viruset full tilgang til minnepennen - og kan dermed både leke seg med de råe sektorene, og eksisterende filer uhemmet. Skrivebeskyttelse gjort i software er dermed ubrukelig.

 

Den "beste" måten å overføre en slik loggfil til en ren maskin for videre analyse er over nettet. Eneste feilkilde du ikke kan garantere deg mot om du gjør det er at viruset er så skjult at det ikke vises i loggen, resten kan elimineres ved å sjekke at filstørrelsen på tekstfilen ikke er helt på jordet.

 

Tonen min er krass og konstruktiv. Skal man først uttale seg bastant og skråsikkert om hvordan ting henger sammen i virus-verdenen, så bør man ha et visst nivå av kunnskap. For å nevne litt: grunnleggende logikk og statistikk, et snev av forståelse for psykologien rundt det å lure et lett mål, forståelse for hvordan privilegier fordeles i moderne operativsystem, og en grunnleggende forståelse for anatomien av typiske exploits.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...