Вредоносные программы присоединяются к программам и передают другим программам, используя некоторые события. Им нужно, чтобы эти события происходили, потому что они не могут запускаться самостоятельно, передавать себя с помощью неисполняемых файлов и заражать другие сети или компьютер.
Чтобы подготовиться к этапу удаления, мы должны сначала понять, какие все компьютерные процессы используются вредоносной программой для их уничтожения. Какие порты трафика используются ими для их блокировки? Какие файлы связаны с этими вредоносными программами, поэтому мы можем иметь возможность восстановить их или удалить. Все это включает в себя набор инструментов, которые помогут нам собрать эту информацию.
Процесс расследования
Исходя из вышеупомянутых выводов, мы должны знать, что когда некоторые необычные процессы или сервисы запускаются сами собой, нам следует дополнительно исследовать их связь с возможным вирусом. Процесс расследования выглядит следующим образом —
Чтобы исследовать процессы, мы должны начать с использования следующих инструментов —
- fport.exe
- pslist.exe
- Handle.exe
- netstat.exe
Listdll.exe показывает все файлы DLL , которые используются. Файл netstat.exe с его переменными показывает все процессы, запущенные с соответствующими портами. В следующем примере показано, как процесс Kaspersky Antivirus отображается на команду netstat-ano для просмотра номеров процессов. Чтобы проверить, к какому процессу он принадлежит, мы будем использовать диспетчер задач.
Для Listdll.exe мы можем загрузить его по следующей ссылке — https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx, и мы можем запустить его, чтобы проверить, какие процессы связаны с DLL, которые находятся в процессе используемый.
Мы открываем CMD и идем по пути Listdll.exe, как показано на следующем снимке экрана, затем запускаем его.
Мы получим результат, как показано на следующем скриншоте.
Например, dllhost.exe использует PID 16320, который имеет описание COM Surrogate и слева. Он показал все библиотеки DLL, отображаемые этим процессом, который мы можем проверить в Google.
Теперь мы будем использовать Fport, который можно скачать по следующей ссылке — https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# для сопоставления сервисов и PID с портами.
Еще один инструмент для мониторинга служб и определения количества потребляемых ими ресурсов называется «Process Explorer», который можно загрузить по следующей ссылке — https://download.sysinternals.com/files/ProcessExplorer.zip и после. скачав его, вы должны запустить исполняемый файл, и вы увидите следующий результат —