Koncept offline analyzy systemu

[KEO]

Na zaklade prispevku jedneho uzivatela ma napadol koncept offline analyzy systemu na malware, ktory by sa dal pripadne pouzit aj pre dialkovu aplikaciu, bez miesta zasahu a to aj v pripade, ze na PC je absolutne nefunkcny system.

Staci vytvorenie zalohy, image a uz sa da detekovat v offline mode rozny malware.
To je ta lahsia cast, pretoze to odstrani haved, ktoru najde, naviac rozne rootkity nemaju sancu, lebo nie su aktivne.

Lenze horsie je - ako robit forenznu analyzu systemu. Utilitky ako HJT, proces explorer, autotuns, atd. pracuju iba so spustenym systemom.

Daju sa pouzit rozne upravy, ktore pred zalohovou zresetuju urcite nastavenia a image sa da obnovit na vacsine konfiguracii, vratane virtualneho PC.

Lenze, ako pracovat tak, aby sa dal image, vratane registrov - odvirit, malware odstranit - aj negativne zapisy v registroch ? Bud by SW musel zvladat offline kontrolu a pripajat si registry v offline mode, alebo by sa musel dat virtualizovat cely PC a to tak, ze nedojde k zmene HW, co je asi problem.

Keby to fungovalo takto, potom odvireny image suboru, by sa dal nahrat a v priebehu okamziku by to zlikvidoval vsetok malware. Pouzitie roznych skriptov na dialku by nemuselo byt uspesne, ak by bol inteligentnejsi malware a menil by svoje umiestnenie a sposob spustania.

Nejake napady ?

[KEO]

Pozeram, ze to zacina byt realnejsie.

Autoruns uz ma v novsich verziach File/Analyse Offline system.

a

LiveView sa vraj da pouzit na nabootovanie urobeneho image.
http://liveview.sourceforge.net/

[KEO]

Uzivatel moze urobit zalohu registrov cez freeware ERUNT

http://www.larshederer.homepage.t-online.de/erunt/

je tam aj softik na optimalizaciu registrov, co sa moze tiez niekedy hodit.

a uz to len pripojit cez autoruns Tam sa to da opravit a potom cez ERUNT prepisat upravena zaloha a obnovit

Poslanie registrov moze byt celkom rychle, nemusel by sa robit mozno ani image systemu.
Ak sa rootkit ukryje a neexportoval by seba do registrov, pri naslednej obnove, ked sa prepisu registry, by bol asi neaktivny, lebo by sa neodkazoval na spustanie.

Tak ako tak, dalo by sa takto pomoct, celkom sikovne aj na dialku

[KEO]

Samozrejmostou je pouzit offline system na kontrolu.

Napr. zdarma slusna Avira integrovana v Linuxovom prostredi a spustajuca sa priamo ako aplikacia z bootovatelneho CD. Dobre je mat siet v ktorej je DHCP server - bezny router na internet, kde nastavi IP adresy a moze si stiahnut nove aktualizacie. Pripadne sa to da nastavovat aj manualne, o trochu zlozitejsie.

http://www.avira.com/en/support-downloa ... cue-system

Podobny, slusny system od Kasperskeho
http://support.kaspersky.com/faq/?qid=208282129

Vyuzivat asi to iste, co oblubeny AVPTool tu na fore, len verzia s bootCD.

Hmm, pozeram, ze ESET na svojich ruskych strankach ma rusku verziu livecd tiez. Ale kde je nejaka SK,CZ,ENG...?
http://www.esetnod32.ru/.download/livecd/#

Alebo sudruhovia v Rusku idu vlastnou cestou ?

[KEO]

Dalsie utilitky, ktore sa daju pouzit pri offline analyze a porovnavani systemu.

Porovnavanie registrov - ak sa urobi snapshot registrov:

RegShot - vie porovnavat zmeny v registroch a aj v suboroch. Subory vsak nie podla zmeny obsahu, ale len podla velkostnych a casovych parametrov. Nerobi checksum.
http://www.nirmaltv.com/2009/08/25/back ... h-regshot/

Podobny program je tiez
http://www.lcibrossolutions.com/spymetools

V kombinacii s ERUNT-om sa da pouzit
RegistryViewer
http://paullee.ru/regstry.html

Ono to dokaze aj editorovat kopie registrov v OFFLINE mode. Pomocou ERUNTu sa potom daju obnovit. Ak sa nastavi ERUNTom pravidleny backup registrov, moze sa system obnovit do ktorehokolvek dna, ak clovek nerobil nejake podstatne zmeny v systeme. Potom by mal byt pre vela druhov malware, problem skryt sa v registroch, pretoze ak sa obnovi zaloha, kde este neboli instalovane, nemali by sa nacitat pri starte systemu - tie, co su zavisle na registroch.

[Davidov]

Dobry den neni nelegalni nebo v rosporu s licenci vlastnit tyto rescue disky kdyz nemate originalni produkt od vyrobce?

[KEO]

Su to jednoucelove antivirove produkty, ktore AV spolocnosti poskytuju zadarmo pre diagnostiku. Je to pre nich dobra reklama, ze produkt dokaze nieco detekovat, lebo je potom vacsia sanca, ze zakaznik si moze kupit plnu verziu s pokrocilymi funkciami. Ulohou antiviru je ZABRANIT infekcii. Tu na fore je odkaz na prevaznu cast funkcne podobnych programov.

Preto existuju aj rozne online sluzby, ci jednorazove utilitky na detekciu /alebo jednoucelove bootovacie CD na detekciu/.

Keby to vyrobca nechcel poskytovat, tak si to z ich stranky nestiahne nikto. Alebo ak ano, bude si to pytat seriove cislo, pripadne nejaky kluc pre spustenie alebo aktualizaciu.

Mimo toho, pri kazdom softveri byva vacsinou pri instalacii, alebo spusteni, licencna zmluva, kde to vysvetluju. Staci si ju len precitat. Kazdy softver moze mat rozne podmienky.

[james008]

Nejake napady ?

Tak za mne..nemam moc casu to komentovat, a mam dojem ze jsme to jiz spolu probrali kdysi v minulosti.
Navrhl jsem av spolecnostem pred mnoha lety a s predstihem...nez se v realu se objevily prvni rootkity....
reseni v podobe specialniho neprepisovatelneho cipu na desce...vymenitelneho, distribuovaneho postou,
s obsahem jadra av... updatovaneho treba jednou za mesic... beziciho virtualne mimo os soubezne s nim....
stahujici si pouze update databazi, nikoliv jadra. to by bylo napevno..menit by hom ohli jen ve fabrice
Presne si to jiz nepamatuji, je to radka let, a dnes uz se tim nezabyvam..jelikoz........
av spolecnosti se takovym vecem spis zasmeji... delaji tak..aby byli vsude o krok zpatky. Spojuje to pro ne malo nakladu,
staci to trhu, nikomu to nevadi. Tema tak muzeme uzavrit, protoze do toho nikdo nepujde, a teoreticka debata
je celkem ztratou casu. Jsem presvedcen, ze pokud na to jeste nekdo na svete neprisel, nebo nekde nevede debatu, je dosti
malo pravdepodobne, ze zrovna ty...potazmo ja, neco zmenime nebo vymyslime
Pockam s cim prijdou nasi konzervativni vyvojari v budoucnu.
Jina vec by byla, kdyby jsi mel prebytecnou..traba...ehm.....miliardu navic, to bychom pokecali
(ve smyslu, ze na realizaci takove veci je potreba zakladni kapital)

PS: jakekoliv softwarove reseni, navazane bez hw na os, je "obchcatelne", a je jen otazkou casu, nez to nekdo nejak
prospikuje.

[james008]

Samozrejmostou je pouzit offline system na kontrolu.

Napr. zdarma slusna Avira integrovana v Linuxovom prostredi a spustajuca sa priamo ako aplikacia z bootovatelneho CD. Dobre je mat siet v ktorej je DHCP server - bezny router na internet, kde nastavi IP adresy a moze si stiahnut nove aktualizacie. Pripadne sa to da nastavovat aj manualne, o trochu zlozitejsie.

http://www.avira.com/en/support-downloa ... cue-system

Podobny, slusny system od Kasperskeho
http://support.kaspersky.com/faq/?qid=208282129

Vyuzivat asi to iste, co oblubeny AVPTool tu na fore, len verzia s bootCD.

Hmm, pozeram, ze ESET na svojich ruskych strankach ma rusku verziu livecd tiez. Ale kde je nejaka SK,CZ,ENG...?
http://www.esetnod32.ru/.download/livecd/#

Alebo sudruhovia v Rusku idu vlastnou cestou ?

Avira je tusim nepouzitelna protoze potrebuje aviru na hostitelskem pc a hdd.
Kapsersky tusim neumel proxy server....

Ja mam vyzkouseny standalone a funkcni s proxy podporou jen Bitdefender a povazuju jej za nejlepsi cd pro opravu os.

[james008]

Dobry den neni nelegalni nebo v rosporu s licenci vlastnit tyto rescue disky kdyz nemate originalni produkt od vyrobce?

Mate castecne pravdu, u nekterych produktu tomu tak byva, nektere dokonce vyzaduji nainstalovany software vyrobce v pc, bez nehoz nefunguji.
Je vhodne nechat reseni techto veci odbornikovi, ktery si licenci zjisti a pouzije vhodny produkt, a ohlida si, aby se nestalo to, co se obcas stava
lidem s boot rescue cd, ...a to ze nechtene systemu ublizi vice nezli havet sama. Odbornik vetsinou i vi co se smazat muze a co ne.
Scan automatama s hodnotovu delete v auto. akci, neni nejstastnejsi u zadneho z produktu

[KEO]

Samozrejmostou je pouzit offline system na kontrolu.

Napr. zdarma slusna Avira integrovana v Linuxovom prostredi a spustajuca sa priamo ako aplikacia z bootovatelneho CD. Dobre je mat siet v ktorej je DHCP server - bezny router na internet, kde nastavi IP adresy a moze si stiahnut nove aktualizacie. Pripadne sa to da nastavovat aj manualne, o trochu zlozitejsie.

http://www.avira.com/en/support-downloa ... cue-system

Podobny, slusny system od Kasperskeho
http://support.kaspersky.com/faq/?qid=208282129

Vyuzivat asi to iste, co oblubeny AVPTool tu na fore, len verzia s bootCD.

Hmm, pozeram, ze ESET na svojich ruskych strankach ma rusku verziu livecd tiez. Ale kde je nejaka SK,CZ,ENG...?
http://www.esetnod32.ru/.download/livecd/#

Alebo sudruhovia v Rusku idu vlastnou cestou ?

Avira je tusim nepouzitelna protoze potrebuje aviru na hostitelskem pc a hdd.
Kapsersky tusim neumel proxy server....

Ja mam vyzkouseny standalone a funkcni s proxy podporou jen Bitdefender a povazuju jej za nejlepsi cd pro opravu os.

Myslis funkcne, alebo licencne nepouzitelna ? Lebo funkcne funguje aj s proxy, nezavisle na HDD. Idem pozriet este licencne podmienky, ci nieco zmenili, ale vystavuju ju na volne pouzitie....

[KEO]

Ad OFFLINE analyza systemu som skor myslel ako REMOTE OFFLINE analyzu - teda na dialku.

Urobit trebars image disku, alebo backup registrov, spustit si to v PC, preskenovat, vycistit. Vytvorit novy image a aplikovat ho na dialku a na jeden klik je system vycisteny...

[james008]

Myslis funkcne, alebo licencne nepouzitelna ? Lebo funkcne funguje aj s proxy, nezavisle na HDD. Idem pozriet este licencne podmienky, ci nieco zmenili, ale vystavuju ju na volne pouzitie....

Funkcne - Naposledy po mne chtela naisntalovanou aviru v pc neznam tui posledni verzi, zda to uz maji jinak..ale predpokladam ze to je stejne porad

[james008]

Ad OFFLINE analyza systemu som skor myslel ako REMOTE OFFLINE analyzu - teda na dialku.

Urobit trebars image disku, alebo backup registrov, spustit si to v PC, preskenovat, vycistit. Vytvorit novy image a aplikovat ho na dialku a na jeden klik je system vycisteny...

Remote? no nevim.. posilat nekde obsah sveho pc... to by se mi nechtelo...
Ad jednu vec jsem nezminil.... dalsi uhel pohledu.....v budoucnu bys mel mit stejne vse podle trendu v cloudu, takze nahodit
holy system nebude problem, a nebude treba jej nejak hlidat...neb to mozna nebude os, ale nejaky firmware.... jako mnou navrhovany av kdysi.....
vse by se by se mohlo pak nahodit do tovarniho nastaveni... jednim tlacitkem.... logovat do cloudu by ses mohl otiskem prstu...nebo scanem sitnice....
a nemusis zalohovat tim padem ani hesla....,,, a scanvoat av ...na prachanty......ti to bude delat server, kde budes mit ulozeno vsechno...nekde na taiwanu..
na akmaii.... v zatuchle serverovne, kde budou hrat v kostky strasne spinavi a smrduti fousati cinani, co obcas prijdou zmacknout tlacitko delete, pokud nekdo umre

[KEO]

Myslis funkcne, alebo licencne nepouzitelna ? Lebo funkcne funguje aj s proxy, nezavisle na HDD. Idem pozriet este licencne podmienky, ci nieco zmenili, ale vystavuju ju na volne pouzitie....

Funkcne - Naposledy po mne chtela naisntalovanou aviru v pc neznam tui posledni verzi, zda to uz maji jinak..ale predpokladam ze to je stejne porad

Tak neviem, naposledy, asi pred rokom som kontroloval jedno zavirene PC kamaratovi. Stiahol som Aviru LiveCD, spustil. Chcelo to cez DHCP na internet. Priradil som mu IP manualne, dal nastavit spojenie cez proxynu vonku, stiahol aktualizacie a zacalo to kontrolovat bezne NTFS HDD. Ziadna vyzva na instalovany SW sa nekonala, to som este nevidel, ak to nepridali do novsich verzi....