Ir para conteúdo

Foto

Como analisar log corretamente ?


  • Por favor, faça o login para responder
22 respostas neste tópico

#1
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
Estou estudando sobre o Hijackthis, mais estou vendo q nem todos os arquivos que são acusados como vírus, não são vírus e as vezes alguns vírus são passados despercebidamente. Sera que poderiam me ajudar a identificar os vírus com mais precisão ?

#2
kenta09

kenta09

    Membro

  • Membro
  • PipPipPipPip
  • 1.351 posts
  • Sexo:Masculino
  • Local:São Paulo
Olá GamerX,

O Hijackthis não acusa nada como vírus, ele apenas mostra algumas chaves onde frequentemente malwares costumam alterar valores, ou adicionar valores.

Você pode dar uma lida nesse texto:

http://www.linhadefe...kthis-completo/

E em outros que você encontra pela internet para aprender a identificar entradas maliciosas.

Abraços
Mantenha seu PC protegido !
Imagem Postada
Respeite quem o ajuda, não abandone o seu tópico.
Postei no seu tópico e esqueci de voltar para responder? Mande-me uma MP

#3
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
Olá Kenta09 ...
Desculpe pela ignorância, eu pulei a primeira página" vou imprimir e ler tudo novamente" ...
Mais a respeito das chaves contaminadas, as vezes Hijackthis.de mostra como se estivesse contaminada mais na verdade não esta "ai já complica as coisas", agora tem outros que ele acusa como uma chave valida "como se não estivesse contaminada" mas na verdade a chave está contaminada, ai fica difícil de identificar as vezes. Esse é o maior problema, eu não consigo identificar essas chaves.

#4
Dyego Bustorff

Dyego Bustorff

    Monitor - ARIS

  • ARIS-LD
  • 1.483 posts
  • Sexo:Masculino
Olá GamerX,

Para chaves você pode usar o velho Google para saber se são maliciosas ou não e para processos tem um site muito bom o System Lookup. :legal:

#5
JRibeiro

JRibeiro

    Novato

  • Novato
  • Pip
  • 16 posts
  • Sexo:Masculino
  • Local:Bahia

Olá Kenta09 ...
Desculpe pela ignorância, eu pulei a primeira página" vou imprimir e ler tudo novamente" ...
Mais a respeito das chaves contaminadas, as vezes Hijackthis.de mostra como se estivesse contaminada mais na verdade não esta "ai já complica as coisas", agora tem outros que ele acusa como uma chave valida "como se não estivesse contaminada" mas na verdade a chave está contaminada, ai fica difícil de identificar as vezes. Esse é o maior problema, eu não consigo identificar essas chaves.

Um post de hoje, questionou o JoseMelo sobre a eficácia do Hijackthis.de:

Aproveito para fazer mais uma pergunta, se for possível responder, sites como o hijackthis.de que analisa logs do Hijack são confiáveis?

E a resposta de JoseMelo foi a seguinte:

Não. É uma análise automatizada e alguns processos/entradas podem ser consideradas ruins ou boas, quando na verdade não são. Veja na imagem do seu primeiro log postado, as 3 entradas destacadas do banker consideradas como confiáveis.

Se referindo sobre alguns arquivos infectados numa verificação de rotina.

Então, não é muito bom estudar usando o Hijackthis.de.

#6
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
Olá Dyego Bustorff ...

Para chaves você pode usar o velho Google para saber se são maliciosas ou não e para processos tem um site muito bom o SystemLookup.

Obrigado por me informar de como analisar essas chaves e os processos .

Olá JRibeiro ...

Então, não é muito bom estudar usando o Hijackthis.de

Obrigado pela informação .

#7
kenta09

kenta09

    Membro

  • Membro
  • PipPipPipPip
  • 1.351 posts
  • Sexo:Masculino
  • Local:São Paulo
Jamais que uma análise automatizada como Hijackthis.de, http://www.help2go.c...-detective.html e outros programas que prometem o mesmo, pode ser comparada a analise manual, de um especialista.

Analises desses sites costumam deixar muita coisa passar, e também apitar pra muita coisa legítima, outro problema é que eles levam em conta a avaliação do público, que muitas vezes pode estar errada, levando em conta que um arquivo em uma pasta pode ser legítimo, mas em outra malicioso.

Estudar como analisar logs do hijackthis, usando sites de análise automatizada como base, não é muito recomendável.

Abraços
Mantenha seu PC protegido !
Imagem Postada
Respeite quem o ajuda, não abandone o seu tópico.
Postei no seu tópico e esqueci de voltar para responder? Mande-me uma MP

#8
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.850 posts
  • Sexo:Masculino
Muitas vezes nem os sites especializados como o systemlookup são suficientes para a analise.

É necessário o conhecimento das entradas e chaves no registro, o que fazem e porque o malwares criaram estas chaves.

Testes em VMs (Virtual Machine - Máquina Virtual) é de extrema importância para o aprendizado, sem contar com o auxilo de analistas experientes, no caso de duvidas, pois duvidas é o que mais se tem no inicio das analises.

E com relação ao log do hijackthis é apenas para uma analise superficial, pois hoje existem ferramentas que nos fornecem logs muito mais completos. Ex: OTL/OTS, DDS, etc.

E isso é somente o inicio de tudo. É um aprendizado constante! :D

Editado por Elias Pereira, 18 novembro 2011 - 21:38.

st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#9
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
kenta09
Verdade, muitas pessoas indicam um determinada chave como vírus mais na verdade não é ...
Só vou usar o hijackthis só quando houver necessidade.

Elias Pereira

E com relação ao log do hijackthis é apenas para uma analise superficial, pois hoje existem ferramentas que nos fornecem logs muito mais completos. Ex: OTL/OTS, DDS, etc.

A respeito do DDS e do OTL, simplesmente não acho nenhum tutorial ou explicação, por esse o motivo de estar estudando com o hijackthis. Mas se tivesse um tutorial, com concertesa ia estudar direto para o OTL ou até msm o DDS.

#10
Dyego Bustorff

Dyego Bustorff

    Monitor - ARIS

  • ARIS-LD
  • 1.483 posts
  • Sexo:Masculino
GamerX,

O Hijackthis é usado por padrão na areá de Remoção de Malware, então é bom saber usar ele e as funções dele.

Aqui tem um tutroial completo do hijackthis nesse site aqui-> Hardware - Hijackthis Tutorial

E aqui o tutorial do OTL, mas está em inglês (nada que o google tradutor não resolva ;) ) é só prestar atenção nas áreas do log do programa e etc que não deve ser traduzida deve ler normal, porque os logs que você pegar dele irão estar em inglês.

Smokey - Tutorial OTL completo e como usar.

Como disse o amigo Elias Pereira faça os testes em Máquinas virtuais como por exemplo a Microsoft Virtual PC [free], VMWare [pago] ou Virtualbox [Free].

Bom estudo. :legal:

#11
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
Dyego Bustorff,

O Hijackthis é usado por padrão na areá de Remoção de Malware, então é bom saber usar ele e as funções dele.

Aqui tem um tutroial completo do hijackthis nesse site aqui-> Hardware - Hijackthis Tutorial

E aqui o tutorial do OTL, mas está em inglês (nada que o google tradutor não resolva  ) é só prestar atenção nas áreas do log do programa e etc que não deve ser traduzida deve ler normal, porque os logs que você pegar dele irão estar em inglês.

Smokey - Tutorial OTL completo e como usar.

Como disse o amigo Elias Pereira faça os testes em Máquinas virtuais como por exemplo a Microsoft Virtual PC [free], VMWare [pago] ou Virtualbox [Free].

Bom estudo. 


Obrigado pelo tutorial do OTL e do Hijackthis. Agora na hora de testar fica meio difícil, pois o meu pc não esta rodando maquinas virtuais e o pc antigo q iria usar para estudar esta com o Windows 8 "simplesmente não desinstala" não podendo botar nem o Windows XP ou o 98 .

#12
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.850 posts
  • Sexo:Masculino
Leia este link abaixo:
http://www.linhadefe...hp?showtopic=10

Boa sorte! :legal:

st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#13
Cassio.

Cassio.

    ARIS-LD / Análise

  • ARIS-LD
  • 96 posts
  • Sexo:Masculino
  • Local:São Paulo - SP
Aproveitando o tópico, vocês mais experientes, podiam fazer um tutorial, de por onde começar, de como fazer tal coisa, porque eu que estou perdido nisso, não sei nem por onde começar, então fica meio dificil.
Obrigado :)

st-cs.jpg
Não abandone o seu tópico, alguém dedicou parte do seu tempo para ajudá-lo.


#14
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino

Aproveitando o tópico, vocês mais experientes, podiam fazer um tutorial, de por onde começar, de como fazer tal coisa, porque eu que estou perdido nisso, não sei nem por onde começar, então fica meio dificil.
Obrigado :)

Amigo, o único jeito de aprender analisar logs e analisando logs mais atuais "que todos os dias são postadas no fórum (mais sem respondermos, apenas analisando)". Caso queira ajudar algumas pessoas, entre em contato.

#15
Cassio.

Cassio.

    ARIS-LD / Análise

  • ARIS-LD
  • 96 posts
  • Sexo:Masculino
  • Local:São Paulo - SP

Amigo, o único jeito de aprender analisar logs e analisando logs mais atuais "que todos os dias são postadas no fórum (mais sem respondermos, apenas analisando)". Caso queira ajudar algumas pessoas, entre em contato.

Mandei uma mensagem p/ você.
:legal:

st-cs.jpg
Não abandone o seu tópico, alguém dedicou parte do seu tempo para ajudá-lo.


#16
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL

Agora na hora de testar fica meio difícil, pois o meu pc não esta rodando maquinas virtuais e o pc antigo q iria usar para estudar esta com o Windows 8 "simplesmente não desinstala" não podendo botar nem o Windows XP ou o 98 .

.

Amigo GamerX, sugeria que experimentasse o excelente freeware sandboxie:
http://www.linhadefe...48&hl=sandboxie
(por favor assista ao excelente vídeo indicado num post do link acima pelo amigo Dyego Bustorff) e
http://www.baixaki.c...d/sandboxie.htm

Abraços.

Editado por Anthmann, 02 fevereiro 2012 - 06:53.

Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/

#17
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
Vou voltar a estudar.
Agora a respeito das pragas, teria como eu baixar algumas para infectar o PC antigo, sem infectar esse :D, já que o PC antigo não tem acesso a internet :(.

Editado por GamerX, 09 março 2012 - 12:17.


#18
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL
Olá, amigo e colega.

Sim, tem. E não é difícil obter essas pragas:

1a-) Basta "googlear" um pouco - ou usar outro browser ou pesquisador. Geralmente vêm em rar ou zip, quando obtidas em certos sites que as disponibilizam para baixar - geralmente para estudo.
1b-) Guarde-as de preferência numa disquete protegida contra escrita, elas não costumam ser muito grandes, mas a disquete BEM ASSINALADA! Ou num cd, aqui não serão apagadas pelo antivírus ou outros antimalwares que tenha.

2a-) Comece a guardar aqueles "programinhas" sacanas que vêm anexos a emails de scam. Cuidadosamente, baixe para o computador - MAS SEM CORRER!!! -, e aí ponha logo em rar ou zip, não vá o diabo tecê-las.
EDIT
2b-) Crie um email APENAS pra isso, e inscreva-o em tudo o que se lembrar. Deixe-o bem à vista em chats e etc. Em breve começará uma colecção bem jeitosa com o que começar a receber! RSRSRSRSRS

3a-) Ah, terá que desabilitar momentaneamente o antivirus que usar, ou então adeus praga, ao baixar da net.
3b-) USE UM ANTIVIRUS, ok?!

Abraço.

Editado por Anthmann, 09 março 2012 - 18:21.

Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/

#19
GamerX

GamerX

    Membro

  • Membro
  • PipPip
  • 133 posts
  • Sexo:Masculino
As pragas do Email eu não baixo mesmo Anthmann.

Vou procurar no Google umas pragas para estudar nesse final de semana.

Qualquer dúvida eu posto aqui.

Abraço.

#20
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL

As pragas do Email eu não baixo mesmo Anthmann.

Vou procurar no Google umas pragas para estudar nesse final de semana.

Qualquer dúvida eu posto aqui.

Abraço.

Olá de novo, amigo e colega.

Pra estudar, sugeria que se inscrevesse como aprendiz aqui no LD, e em breve poderia começar a ajudar pessoal, já como elemento da equipa.
Lembro-me em especial dos Especialistas killer e Majuluan e do Moderador Dyego Bustorff: os amigos Killer e Dyego inscreveram-se mais ou menos na minha altura, e o amigo Majuluan um pouco depois de mim. Chegámos a entreajudar-nos bastantes vezes, aliás, ainda antes deles fazerem parte do "staff" do Linha Defensiva.

Aprendiz, moderador, ARIS-LD, etc. --> http://www.linhadefe...showtopic=63259

Faz bem em não querer arriscar. Mas com o sandboxie não haveria problemas, e apenas precisaria de passar para zip ou rar sem infectar o pc.

Como googlear --> escreva no google
virus collection
ou
virus collection download
exemplo --> http://www.google.pt...irus collection

Abraço.

PS
[OFFTOPIC - Não me poderia dar uma ajudinha nesta dúvida, por favor? --> http://www.linhadefe...howtopic=140268
Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos