Как правильно проверить, является ли программа вирусом / трояном в VMware?

Question

Как правильно проверить, является ли программа вирусом / трояном в VMware?

Как мне проверить, является ли программа вирусом в VMware? Некоторые программы мне нужно установить администратором, и это имеет смысл. Но как я узнаю, что он делает больше, чем я хочу? Некоторые мысли:

Сколько процессов открывается при запуске приложения
Что добавлено на вкладку автозагрузки в msconfig
Если какие-либо услуги добавляются.

Это почти все мои идеи. Даже если он что-то узнает, я не узнаю, нужно это или нет. Какое эмпирическое правило?

-Edit- Как насчет реестров, могу ли я использовать эту информацию, чтобы помочь? Может быть, сканер скажет мне, если приложение, которое я только что использовал, испортило разделы (например, при загрузке), чего не должно быть?

4

security virtualization virus trojan malware-detection

Источник

10 ноя '09 в 23:20

3 ответа

Другие вопросы по тегам security virtualization virus trojan malware-detection

ChrisF 24 ноя '09 в 22:04 2009-11-24 22:04 · Answer 1 · 2009-11-24 22:04

Запустите исходящий межсетевой экран, который запрашивает новые подключения.

Если программное обеспечение пытается установить много исходящих соединений, это может быть бесполезно. Многие программы проверяют наличие обновлений либо при первом запуске, либо периодически, поэтому вам придется пропустить первое. Не проверяйте опцию "запомнить мой ответ для этого приложения" (она должна существовать), чтобы вы могли видеть, когда в следующий раз она "позвонит домой".

Это также предупредит вас о попытках исходящего соединения от программного обеспечения, которое вы не запустили напрямую - еще один признак того, что у вас установлено вредоносное ПО.

Phoshi 24 ноя '09 в 21:47 2009-11-24 21:47 · Answer 2 · 2009-11-24 21:47

Wireshark для мониторинга трафика, Process Explorer для отслеживания изменений файлов и реестра. Сохраняйте "заведомо удачный" снимок для загрузки каждый раз, чтобы уменьшить возможное загрязнение. Не подключайте интернет, если вам это не нужно.

1

Источник

Phoshi 24 ноя '09 в 21:47

nik 11 ноя '09 в 04:13 2009-11-11 04:13 · Answer 3 · 2009-11-11 04:13

В соответствии с вашим анализом (хотя всегда безопаснее проверить, откуда вы его скачали и использовать локальное антивирусное программное обеспечение),

Проверьте, какие сетевые коммуникации он пытается.
Всегда довольно легко перечислить, какая сетевая активность вероятна из описания программы.
Вы можете использовать Sysinternals TCPView, чтобы следовать ему или просто делать частые netstat,
Some Host antivirus/firewall tools also allow configuring a block for a process.
- Most malware focuses on 'corrupting' other applications on your system.
  This means, just following the newly installed application will not be sufficient.
  You need a way to detect when it starts playing with other executable files in your systems too.