Weapon 1: Antivirus og antispyware
First off, må du antivirus og antispyware verktøy som kan skanne et system, oppdage malware og fjerne den fra maskinen. Min favoritt gratis antivirus skanner er ClamAV, et verktøy kjøpt av Source i august 2007. Signaturer oppdateringer, men bør lastes ned regelmessig.
For antispyware, min favoritt gratisverktøy inkluderer Lavasoft AB Ad-Aware, Spybot Search and Destroy, og Trend Micro Inc. er HijackThis. Selv om kommersielle leverandører er swooping i å kjøpe en rekke av disse verktøyene, så lenge de forblir gratis, høy kvalitet og up-to-date, det er ingenting galt med å bruke dem.
våpen 2: Maskin analysatorer
En av de beste kildene for inngående analyse av Windows-systemer er Sysinternals, en organisasjon kjøpt opp av Microsoft i juli 2006. Jeg er håpefull at mange av de Sysinternals verktøy vil etter hvert bli innarbeidet i Windows selv, men inntil det skjer, laste dem ned er en stor hjelp. Her er noen viktige Sysinternals verktøy:
Process Explorer
er alt som Windows Task Manager burde ha vært. Det viser alle prosesser som kjører, indikerer deres hierarki av relasjoner, samt DLL-filer som de har lastet.
Filemon Hotell og Regmon registrere alle interaksjoner med filsystemet og registeret, henholdsvis, og gjøre det i sanntid
Process Monitor
, en nyere tillegg til Sysinternals stabil, i utgangspunktet kombinerer. tre, detaljering stort sett alle en maskin kjørende prosesser.
Autoruns
programmet viser alle et systems autostart programmer som aktiveres når systemet starter opp eller når en bruker logger seg på. Fordi spyware tweaks ofte autostart kataloger eller registernøkler, er dette programmet avgjørende i å analysere status for en maskin.
TCPView
gir en grafisk visning av TCP og UDP portbruk, knytte hver port til prosessen som bruker det.
Strings
viser en fil tegnstrenger på skjermen. Malware forfattere uforsiktig nok til å forlate strenger i koden sin vil ganske ofte forlate ASCII-strenger. For å gjøre Sysinternals program ser for ASCII, snarere enn Unicode-strenger som standard, kan du kjøre den med -a.
Slutt Rootkitrevealer
ser etter en rootkit ved å bestemme når et system gir feilinformasjon om hvilke filer og register Tastene er til stede.
For mer informasjon
Ed Skoudis forklarer hvordan du bruker kommandolinjen for å finne malware på en Windows box.In vår Intrusion Defense School, lære andre måter å fange Windows malware.Read mer om ormer, keyloggers, rootkits og annen skadelig programvare. Innsikter sanket fra disse verktøyene - med litt søkemotor hjelp for spesifikke prosess, DLL og filnavn - kan bidra til å identifisere skadelig aktivitet på en maskin.
våpen 3: Microsoft Baseline Security Analyzer (MBSA)
Microsofts gratis hendig diagnose verktøyet ser på hundrevis av innstillingene på en Windows-maskin, bestemmer sin sikkerhet tilstand og gir anbefalinger. MBSA kan avsløre svakheter, som out-of-date patcher, som gjør det mulig malware infeksjoner. Jeg også bære rundt på en kopi av NetCat, ærverdige nettverkskommunikasjon widget som sender vilkårlige data over et TCP-tilkobling eller over en UDP port. Netcat kan flytte filer rundt (slik som rapporten genereres av MBSA eller ClamAV) eller oppnå ekstern shell tilgang.
våpen 4: LADS (Liste alternativ dataflyt)
Dette freeware verktøyet ved Frank Heyne skurer NTFS-baserte filsystemer for alternative datastrømmer (ADSes), filer som er skjult som standard, og noen ganger brukes av angripere til å skjule sin onde. Et nytt alternativ er lagt til Windows Vista som kan vise strømmer ved hjelp av den innebygde "dir" kommandoen kombinert med /r flagget. Siden pre-Vista boksene er fortsatt en realitet, bør verktøy som LADS være en annen viktig del av din verktøykasse.
Weapon 5: VMware Player /VMware sikker surfing apparatet
VMware Player er en gratis virtualisering program, som gjør at en gjest maskin for å kjøre på toppen av en Windows boks. VMware sikker surfing apparatet inkluderer en gratis Ubuntu operativsystem med en løpende nettleseren Firefox.
Noen ganger Internett-tilgang er nødvendig for å laste ned et ekstra verktøy. Hvis ingen andre maskinen er praktisk (vi snakker om et cocktailparty her), kan VMware installeres på messed-up boks. Kjører den virtuelle maskinen vil gi tilgang til Internett.
Når du bygger din malware-kampene USB arsenal, sørg for at den er satt til skrivebeskyttet. Mange USB tokens har litt hardware bryter for skrivebeskyttet tilgang. Flip at bryteren, fordi det siste du ønsker er for malware å infisere din kit. Jeg rett og slett unngå å kjøpe USB tokens som mangler slik maskinvarestøtte for skrivebeskyttet tilgang.
Til slutt, ikke la disse verktøyene være grensen for en USB-analyse kit. Føl deg fri til å forsterke det med andre komponenter som er spesifikke for dine egne behov. Men ikke bare dumpe elementer på en USB token uten å forstå hva de gjør; å kjøre et verktøy feil kan føre til enda mer skade på en maskin. Øve med dem i et laboratorium på eksperimentelle maskiner og tenke nøye gjennom hvordan hvert verktøy kan bidra til å løse en infisert boks. Med litt planlegging og mye trening, vil en malware-kampene USB token tjene deg godt.