Sign in to follow this  
Followers 0
GamerX

Como analisar log corretamente ?

23 posts in this topic

Estou estudando sobre o Hijackthis, mais estou vendo q nem todos os arquivos que são acusados como vírus, não são vírus e as vezes alguns vírus são passados despercebidamente. Sera que poderiam me ajudar a identificar os vírus com mais precisão ?

Share this post


Link to post
Share on other sites

Olá GamerX,

O Hijackthis não acusa nada como vírus, ele apenas mostra algumas chaves onde frequentemente malwares costumam alterar valores, ou adicionar valores.

Você pode dar uma lida nesse texto:

http://www.linhadefensiva.org/2005/06/hijackthis-completo/

E em outros que você encontra pela internet para aprender a identificar entradas maliciosas.

Abraços

Share this post


Link to post
Share on other sites

Olá Kenta09 ...

Desculpe pela ignorância, eu pulei a primeira página" vou imprimir e ler tudo novamente" ...

Mais a respeito das chaves contaminadas, as vezes Hijackthis.de mostra como se estivesse contaminada mais na verdade não esta "ai já complica as coisas", agora tem outros que ele acusa como uma chave valida "como se não estivesse contaminada" mas na verdade a chave está contaminada, ai fica difícil de identificar as vezes. Esse é o maior problema, eu não consigo identificar essas chaves.

Share this post


Link to post
Share on other sites
Olá Kenta09 ...

Desculpe pela ignorância, eu pulei a primeira página" vou imprimir e ler tudo novamente" ...

Mais a respeito das chaves contaminadas, as vezes Hijackthis.de mostra como se estivesse contaminada mais na verdade não esta "ai já complica as coisas", agora tem outros que ele acusa como uma chave valida "como se não estivesse contaminada" mas na verdade a chave está contaminada, ai fica difícil de identificar as vezes. Esse é o maior problema, eu não consigo identificar essas chaves.

Um post de hoje, questionou o JoseMelo sobre a eficácia do Hijackthis.de:

Aproveito para fazer mais uma pergunta, se for possível responder, sites como o hijackthis.de que analisa logs do Hijack são confiáveis?

E a resposta de JoseMelo foi a seguinte:

Não. É uma análise automatizada e alguns processos/entradas podem ser consideradas ruins ou boas, quando na verdade não são. Veja na imagem do seu primeiro log postado, as 3 entradas destacadas do banker consideradas como confiáveis.

Se referindo sobre alguns arquivos infectados numa verificação de rotina.

Então, não é muito bom estudar usando o Hijackthis.de.

Share this post


Link to post
Share on other sites

Olá Dyego Bustorff ...

Para chaves você pode usar o velho Google para saber se são maliciosas ou não e para processos tem um site muito bom o SystemLookup.

Obrigado por me informar de como analisar essas chaves e os processos .

Olá JRibeiro ...

Então, não é muito bom estudar usando o Hijackthis.de

Obrigado pela informação .

Share this post


Link to post
Share on other sites

Jamais que uma análise automatizada como Hijackthis.de, http://www.help2go.com/content/home/31-hel...-detective.html e outros programas que prometem o mesmo, pode ser comparada a analise manual, de um especialista.

Analises desses sites costumam deixar muita coisa passar, e também apitar pra muita coisa legítima, outro problema é que eles levam em conta a avaliação do público, que muitas vezes pode estar errada, levando em conta que um arquivo em uma pasta pode ser legítimo, mas em outra malicioso.

Estudar como analisar logs do hijackthis, usando sites de análise automatizada como base, não é muito recomendável.

Abraços

Share this post


Link to post
Share on other sites

Muitas vezes nem os sites especializados como o systemlookup são suficientes para a analise.

É necessário o conhecimento das entradas e chaves no registro, o que fazem e porque o malwares criaram estas chaves.

Testes em VMs (Virtual Machine - Máquina Virtual) é de extrema importância para o aprendizado, sem contar com o auxilo de analistas experientes, no caso de duvidas, pois duvidas é o que mais se tem no inicio das analises.

E com relação ao log do hijackthis é apenas para uma analise superficial, pois hoje existem ferramentas que nos fornecem logs muito mais completos. Ex: OTL/OTS, DDS, etc.

E isso é somente o inicio de tudo. É um aprendizado constante! :D

Edited by Elias Pereira

Share this post


Link to post
Share on other sites

kenta09

Verdade, muitas pessoas indicam um determinada chave como vírus mais na verdade não é ...

Só vou usar o hijackthis só quando houver necessidade.

Elias Pereira

E com relação ao log do hijackthis é apenas para uma analise superficial, pois hoje existem ferramentas que nos fornecem logs muito mais completos. Ex: OTL/OTS, DDS, etc.

A respeito do DDS e do OTL, simplesmente não acho nenhum tutorial ou explicação, por esse o motivo de estar estudando com o hijackthis. Mas se tivesse um tutorial, com concertesa ia estudar direto para o OTL ou até msm o DDS.

Share this post


Link to post
Share on other sites

GamerX,

O Hijackthis é usado por padrão na areá de Remoção de Malware, então é bom saber usar ele e as funções dele.

Aqui tem um tutroial completo do hijackthis nesse site aqui-> Hardware - Hijackthis Tutorial

E aqui o tutorial do OTL, mas está em inglês (nada que o google tradutor não resolva ;) ) é só prestar atenção nas áreas do log do programa e etc que não deve ser traduzida deve ler normal, porque os logs que você pegar dele irão estar em inglês.

Smokey - Tutorial OTL completo e como usar.

Como disse o amigo Elias Pereira faça os testes em Máquinas virtuais como por exemplo a Microsoft Virtual PC [free], VMWare [pago] ou Virtualbox [Free].

Bom estudo. :legal:

Share this post


Link to post
Share on other sites

Dyego Bustorff,

O Hijackthis é usado por padrão na areá de Remoção de Malware, então é bom saber usar ele e as funções dele.

Aqui tem um tutroial completo do hijackthis nesse site aqui-> Hardware - Hijackthis Tutorial

E aqui o tutorial do OTL, mas está em inglês (nada que o google tradutor não resolva  ) é só prestar atenção nas áreas do log do programa e etc que não deve ser traduzida deve ler normal, porque os logs que você pegar dele irão estar em inglês.

Smokey - Tutorial OTL completo e como usar.

Como disse o amigo Elias Pereira faça os testes em Máquinas virtuais como por exemplo a Microsoft Virtual PC [free], VMWare [pago] ou Virtualbox [Free].

Bom estudo. 

Obrigado pelo tutorial do OTL e do Hijackthis. Agora na hora de testar fica meio difícil, pois o meu pc não esta rodando maquinas virtuais e o pc antigo q iria usar para estudar esta com o Windows 8 "simplesmente não desinstala" não podendo botar nem o Windows XP ou o 98 .

Share this post


Link to post
Share on other sites

Aproveitando o tópico, vocês mais experientes, podiam fazer um tutorial, de por onde começar, de como fazer tal coisa, porque eu que estou perdido nisso, não sei nem por onde começar, então fica meio dificil.

Obrigado :)

Share this post


Link to post
Share on other sites
Aproveitando o tópico, vocês mais experientes, podiam fazer um tutorial, de por onde começar, de como fazer tal coisa, porque eu que estou perdido nisso, não sei nem por onde começar, então fica meio dificil.

Obrigado :)

Amigo, o único jeito de aprender analisar logs e analisando logs mais atuais "que todos os dias são postadas no fórum (mais sem respondermos, apenas analisando)". Caso queira ajudar algumas pessoas, entre em contato.

Share this post


Link to post
Share on other sites
Amigo, o único jeito de aprender analisar logs e analisando logs mais atuais "que todos os dias são postadas no fórum (mais sem respondermos, apenas analisando)". Caso queira ajudar algumas pessoas, entre em contato.

Mandei uma mensagem p/ você.

:legal:

Share this post


Link to post
Share on other sites
Agora na hora de testar fica meio difícil, pois o meu pc não esta rodando maquinas virtuais e o pc antigo q iria usar para estudar esta com o Windows 8 "simplesmente não desinstala" não podendo botar nem o Windows XP ou o 98 .
.

Amigo GamerX, sugeria que experimentasse o excelente freeware sandboxie:

http://www.linhadefensiva.org/forum/index....48&hl=sandboxie

(por favor assista ao excelente vídeo indicado num post do link acima pelo amigo Dyego Bustorff) e

http://www.baixaki.com.br/download/sandboxie.htm

Abraços.

Edited by Anthmann

Share this post


Link to post
Share on other sites

Vou voltar a estudar.

Agora a respeito das pragas, teria como eu baixar algumas para infectar o PC antigo, sem infectar esse :D, já que o PC antigo não tem acesso a internet :(.

Edited by GamerX

Share this post


Link to post
Share on other sites

Olá, amigo e colega.

Sim, tem. E não é difícil obter essas pragas:

1a-) Basta "googlear" um pouco - ou usar outro browser ou pesquisador. Geralmente vêm em rar ou zip, quando obtidas em certos sites que as disponibilizam para baixar - geralmente para estudo.

1b-) Guarde-as de preferência numa disquete protegida contra escrita, elas não costumam ser muito grandes, mas a disquete BEM ASSINALADA! Ou num cd, aqui não serão apagadas pelo antivírus ou outros antimalwares que tenha.

2a-) Comece a guardar aqueles "programinhas" sacanas que vêm anexos a emails de scam. Cuidadosamente, baixe para o computador - MAS SEM CORRER!!! -, e aí ponha logo em rar ou zip, não vá o diabo tecê-las.

EDIT

2b-) Crie um email APENAS pra isso, e inscreva-o em tudo o que se lembrar. Deixe-o bem à vista em chats e etc. Em breve começará uma colecção bem jeitosa com o que começar a receber! RSRSRSRSRS

3a-) Ah, terá que desabilitar momentaneamente o antivirus que usar, ou então adeus praga, ao baixar da net.

3b-) USE UM ANTIVIRUS, ok?!

Abraço.

Edited by Anthmann

Share this post


Link to post
Share on other sites

As pragas do Email eu não baixo mesmo Anthmann.

Vou procurar no Google umas pragas para estudar nesse final de semana.

Qualquer dúvida eu posto aqui.

Abraço.

Share this post


Link to post
Share on other sites
As pragas do Email eu não baixo mesmo Anthmann.

Vou procurar no Google umas pragas para estudar nesse final de semana.

Qualquer dúvida eu posto aqui.

Abraço.

Olá de novo, amigo e colega.

Pra estudar, sugeria que se inscrevesse como aprendiz aqui no LD, e em breve poderia começar a ajudar pessoal, já como elemento da equipa.

Lembro-me em especial dos Especialistas killer e Majuluan e do Moderador Dyego Bustorff: os amigos Killer e Dyego inscreveram-se mais ou menos na minha altura, e o amigo Majuluan um pouco depois de mim. Chegámos a entreajudar-nos bastantes vezes, aliás, ainda antes deles fazerem parte do "staff" do Linha Defensiva.

Aprendiz, moderador, ARIS-LD, etc. --> http://www.linhadefensiva.org/forum/index....showtopic=63259

Faz bem em não querer arriscar. Mas com o sandboxie não haveria problemas, e apenas precisaria de passar para zip ou rar sem infectar o pc.

Como googlear --> escreva no google

virus collection

ou

virus collection download

exemplo --> http://www.google.pt/#hl=pt-PT&sugexp=llsi...irus+collection

Abraço.

PS

[OFFTOPIC - Não me poderia dar uma ajudinha nesta dúvida, por favor? --> http://www.linhadefensiva.org/forum/index....howtopic=140268

Share this post


Link to post
Share on other sites
Olá de novo, amigo e colega.

Pra estudar, sugeria que se inscrevesse como aprendiz aqui no LD, e em breve poderia começar a ajudar pessoal, já como elemento da equipa.

Lembro-me em especial dos Especialistas killer e Majuluan e do Moderador Dyego Bustorff: os amigos Killer e Dyego inscreveram-se mais ou menos na minha altura, e o amigo Majuluan um pouco depois de mim. Chegámos a entreajudar-nos bastantes vezes, aliás, ainda antes deles fazerem parte do "staff" do Linha Defensiva.

Aprendiz, moderador, ARIS-LD, etc. --> http://www.linhadefensiva.org/forum/index....showtopic=63259

Faz bem em não querer arriscar. Mas com o sandboxie não haveria problemas, e apenas precisaria de passar para zip ou rar sem infectar o pc.

Como googlear --> escreva no google

virus collection

ou

virus collection download

exemplo --> http://www.google.pt/#hl=pt-PT&sugexp=llsi...irus+collection

Abraço.

PS

[OFFTOPIC - Não me poderia dar uma ajudinha nesta dúvida, por favor? --> http://www.linhadefensiva.org/forum/index....howtopic=140268

Amigo logo que me registrei, eu me escrevi para ser aprendiz, mais naquele tempo eu não intendia, o que eu intendo Hoje e eu nem fiz questão de tentar de novo.

Vou estudar só mesmo, vou aprendendo com o tempo ^_^ .

Abraço.

Share this post


Link to post
Share on other sites
Amigo logo que me registrei, eu me escrevi para ser aprendiz, mais naquele tempo eu não intendia, o que eu intendo Hoje e eu nem fiz questão de tentar de novo.

Vou estudar só mesmo, vou aprendendo com o tempo ^_^ .

Abraço.

Acho que faz mal em não tentar de novo. E de novo, e novamente, se for preciso. Jamais desista!

Recordo-me ainda que mais que um dos que agora são especialistas neste fórum não conseguiram à primeira.

Abraço.

Share this post


Link to post
Share on other sites
Acho que faz mal em não tentar de novo. E de novo, e novamente, se for preciso. Jamais desista!

Recordo-me ainda que mais que um dos que agora são especialistas neste fórum não conseguiram à primeira.

Abraço.

É não custa nada tentar :).

Abraço.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.