Wie überprüfe ich ordnungsgemäß, ob ein Programm ein Virus / Trojaner in VMware ist?

1774
Peter Mortensen

Wie soll ich prüfen, ob ein Programm in VMware ein Virus ist? Einige Programme, die ich zur Installation von Administratoren benötige, sind sinnvoll. Aber woher weiß ich, ob es mehr tut, als ich will? Einige Gedanken sind:

  • Wie viele Prozesse werden beim Start der Anwendung geöffnet?
  • Was wird der Startregisterkarte in msconfig hinzugefügt?
  • Wenn Dienste hinzugefügt werden.

Das sind so ziemlich alle meine Ideen. Selbst wenn es etwas tut, weiß ich nicht, ob es notwendig ist oder nicht. Was sind einige Faustregeln?

-Edit- Was ist mit Registries? Kann ich diese Informationen zur Hilfe verwenden? Vielleicht sollte mir ein Scanner mitteilen, ob die Anwendung, die ich gerade verwendet habe, mit Abschnitten (wie dem Booten) durcheinander geraten ist, die es nicht haben sollte?

4
Erstellen Sie vor der Ausführung und nach der Ausführung eine Momentaufnahme des Hashs jeder Datei im System. So können Sie feststellen, welche Dateien geändert wurden. Chloe vor 9 Jahren 0

3 Antworten auf die Frage

2
ChrisF

Führen Sie eine ausgehende Firewall aus, die zur Eingabe neuer Verbindungen auffordert.

Wenn die Software versucht, viele ausgehende Verbindungen herzustellen, ist dies möglicherweise nicht sinnvoll. Eine Menge Software wird entweder beim ersten Start oder in regelmäßigen Abständen nach Updates suchen. Daher müssen Sie die erste durchlassen. Aktivieren Sie nicht die Option "Meine Antwort für diese Anwendung merken" (eine sollte vorhanden sein), damit Sie sehen können, wann das nächste Mal "nach Hause" gerufen wird.

Auf diese Weise werden Sie auch auf ausgehende Verbindungsversuche von Software aufmerksam gemacht, die Sie nicht direkt gestartet haben - ein weiteres Zeichen, dass Sie Malware installiert haben.

1
Phoshi

Wireshark zur Überwachung des Datenverkehrs, Process Explorer zur Überwachung von Datei- und Registrierungsänderungen. Bewahren Sie einen "bekannten guten" Schnappschuss auf, in dem Sie jedes Mal booten, um mögliche Kontaminationen zu reduzieren. Vergeben Sie keine Internetverbindung, wenn Sie nicht müssen.

0
nik

Im Sinne Ihrer Analyse (es ist jedoch immer sicherer, zu überprüfen, wo Sie sie heruntergeladen haben, und lokale Antivirensoftware zu verwenden),

  1. Prüfen Sie, welche Netzwerkkommunikation versucht wird.
    Es ist immer relativ einfach, aus der Programmbeschreibung zu ermitteln, welche Netzwerkaktivität wahrscheinlich ist.
    Sie können Sysinternals TCPView verwenden, um es zu verfolgen oder es häufig zu tun netstat.
    Einige Antiviren- / Firewall-Tools von Host ermöglichen auch das Konfigurieren eines Blocks für einen Prozess.
    • Die meisten Schadprogramme konzentrieren sich auf das Beschädigen anderer Anwendungen auf Ihrem System.
      Dies bedeutet, dass es nicht ausreicht, nur die neu installierte Anwendung zu verfolgen.
      Sie benötigen eine Möglichkeit, zu erkennen, wann die Wiedergabe mit anderen ausführbaren Dateien in Ihren Systemen beginnt.
tcpview ist ausgezeichnet. Diese eine App sieht gut aus und scheint keine Daten zu senden. vor 14 Jahren 0
Hijackthis (http://free.antivirus.com/hijackthis) ist sehr nützlich, um die Registrierungs- und Dateieinstellungen zu überprüfen, nicht in Echtzeit, sondern vor oder nach der Installation. invert vor 14 Jahren 1

Verwandte Probleme