ช่วยแนะนำโปรแกรมตรวจสอบหาพวกโปรแกรม keylog กับ trojan ในเครื่องหน่อยครับ

[angra]

ช่วยแนะนำโปรแกรมตรวจสอบหาพวกโปรแกรม keylog กับ trojan ในเครื่องหน่อยครับ
คือกลัวใครเอาพวกโปรแกรม keylog หรือ trojan มาลงในเครื่องเราแล้วเราไม่รุ้อะครับ

[asylu3]

anti virus ธรรมดาๆทั่วไปก็เจอแล้วครับ (แต่ไม่ได้บอกว่าจะตรวจได้ทั้งหมดนะครับบางตัวที่ซ่อนตัวด้วยการ encryption ใหม่ๆอาจจะไม่เจอ)
นอกเหนือจากนั้นก็ต้องใช้ทักษะส่วนตัวตรวจดูว่ามี Process แปลกๆอะไรหรือเปล่าตรงนี้อาจจะใช้ Process Explorer ช่วยได้

[rutji_pong]

ขอเสริมคุณ asylu3 หน่อยนะครับ

**Hidden Content: To see this hidden content your post count must be 2 or greater.**

[asylu3]

เพิ่มเติมครับ หากอยากจะให้ช่วยวิเคราะห์ว่ามีโปรแกรมใดน่าสงสัยในเครื่องหรือไม่ให้ส่ง log จากโปรแกรมนี้
http://www.download.com/Trend-Micro-Hijack...4-10227353.html
มาให้ช่วยวิเคาระห์ดูได้ครับ

[akira]

แนะนำให้ลองใช้ Grouped Access Tools ช่วยดูด้วยในกรณีที่แอนตี้ไวรัสไม่เจอว่ามันเป็นโทรจันแต่คุณมั่นใจว่าใช่แน่ๆ หรือแอนตี้ไวรัสไม่สามารถลบออกได้เนื่องจาก process ของมันยังทำงานอยู่ เนื่องจากสามารถสแกนหา hidden process และตำแหน่งที่อยู่ของไฟล์ต้องสงสัยได้ สามารถเลือกหยุดโพรเซสได้หลายเทคนิค รวมถึงมีเทคนิคการลบไฟล์หลากหลายแบบ สามารถนำเอาโพรเซสต้องสงสัยไปค้นกับกูเกิ้ล เพื่อหาข้อมูลเพิ่มเติม ประกอบการตัดสินใจก่อนได้แต่สิ่งที่สำคัญ คือการใช้งานลักษณะนี้ต้องอาศัยประสบการณ์และการสังเกตสูง คูณต้องค่อยๆทยอยเก็บ list ของ process มาคอยตรวจเช็คเสมอๆตั้งแต่ที่ระบบยังปกติดีก่อนที่จะติดไวรัส วิธีนี้สามารถป้องกันได้ดีมากๆในระดับหนึ่งทีเดียวหากคุณเชี่ยวชาญแล้ว

Grouped Access Tools (GAT) is a very powerful tool that is designed to fight malware, debug applications, software and games, by a means of accessing, editing, analyzing, and manipulating the software. It is able to open processes that are running or start new programs. The user can do very many tasks to the process, such as: suspend, wipe it's memory, terminate, crash, force close, edit it's memory, search for values, and memory dump. Grouped Access Tools has other tools such as running in system mode, running Explorer in system mode, logging processes, and a format converter.[/b]

ตารางเปรียบเทียบเมื่อเทียบกับ task manager และ security task manager



รายละเอียดของโปรแกรมให้ไปที่นี่

**Hidden Content: To see this hidden content your post count must be 10 or greater.**

[asylu3]

ย้ายไปห้อง Protection & Tuning

[akira]

หากคุณบอกว่าการต้องมานั่งเก็บ list ของ process แบบนี้ทุกวันให้มันปวดกบาลทำไมกันล่ะ ไม่มีอะไรที่มันง่ายๆหน่อยเหรอพี่น้อง

เราลองมาดูการทำงานทำนองนี้ใน ESS 4.0.68.0 ซึ่งจะมีไฟร์วอลล์และ ESETSysInspector มาช่วยทำงานให้
ทำให้เราสามารถมอนิเตอร์ โพรเซสต่างๆ รวมถึงการเชื่อมต่ออินเตอร์เน็ต ว่ามี port เปิดและโปรแกรมไหนใช้งาน
ขั้นแรกเริ่มจากเครื่องเพิ่งลงวินโดวส์เสร็จหมาดๆ
ก็ให้สร้าง snapshot ไว้ โดยคอมเมนต์ไว้ว่า "เครื่องปกติดีจ้า"



โปรแกรมจะ generate Log เป็นไฟล์ xml เก็บไว้ เป็นข้อมูลระบบที่ละเอียดโคตรๆ



ซึ่งจะเห็นได้ว่ามันยาวโคตรๆ แต่ถ้าเราเลื่อนสไลด์บาร์ด้านบนไปทางขวาจนถึงระดับ Unknown (Level 4-9) เป็นสีเขียวขี้ม้าไฟล์ที่แสดงจะลดลงกว่านี้



และเมื่อมองไปทางด้านขวาจะให้ข้อมูลขนาดไฟล์พร้อมค่า SHA1 ของไฟล์ไว้ด้วย รับรองว่าถ้ามีการเปลี่ยนแปลงต่อไฟล์ไฟล์นั้นคุณต้องทราบแน่ๆ
ให้คุณเก็บไว้ดีๆ เพื่อเอาไว้เปรียบเทียบ



หลังจากนั้นเมื่อเวลาผ่านไป นานเท่าไหร่ก็แล้วแต่จะว่างมาทำนะครับ ก็ให้สร้าง snapshot ของเครื่องขึ้นอีกครั้ง
เมื่ออยากจะเปรียบเทียบสถานะของเครื่องตอนนี้ กับ snapshot เก่าๆเมื่อเครื่องยังปกติดีก็ให้คุณกด Ctrl ค้างไว้ แล้วเลือกเปรียบเทียบ







ให้คุณมองหา ไอคอนแดงๆ ที่บอกว่า Status was rised



คุณค่อย submit file นั้นไปให้ ESET ตรวจสอบว่าเป็นโทรจันหรือเปล่า เพราะเป็นไปได้ว่าไฟล์นั้นอาจโดนเปลี่ยนแปลงจาก static injection ของ malware การตัดสินใจว่าใช่หรือไม่ใช่มัลแวร์จึงอยู่ที่การตัดสินใจของคุณไม่ใช่แอนตี้ไวรัส อันนี้น่าจะชัวร์กว่า