Pregunta ¿Cómo puedo verificar correctamente si un programa es un virus / troyano en VMware?


¿Cómo debo verificar si un programa es un virus en VMware? Algunos programas sí necesito la capacidad de instalación del administrador y tiene sentido. ¿Pero cómo sé si está haciendo más de lo que quiero? Algunos pensamientos son:

  • Cuantos procesos se abren cuando inicio la aplicación
  • Qué se agrega a la pestaña de inicio en msconfig
  • Si se agregan algunos servicios.

Esa es prácticamente todas mis ideas. Incluso si hace algo que reconozco, no sabría si es necesario o no. ¿Cuáles son algunas reglas generales?

-Edit- ¿Qué pasa con los registros? ¿Puedo usar esa información para ayudar? Tal vez un escáner me diga si la aplicación que acabo de utilizar ha interferido con secciones (como el inicio) que no debería tener.


4


origen


Cree una instantánea del hash de cada archivo en el sistema antes de ejecutarlo y después de ejecutarlo. Esto le permite detectar qué archivos fueron modificados. - Chloe


Respuestas:


Ejecute un firewall saliente que solicita nuevas conexiones.

Si el software intenta hacer muchas conexiones salientes, puede que no sirva para nada. Una gran cantidad de software buscará actualizaciones ya sea en el arranque inicial o periódicamente, por lo que tendrá que dejar pasar al primero. No marque la opción "recordar mi respuesta para esta aplicación" (debe existir) para que pueda ver cuándo será la próxima vez que "llame a casa".

Esto también lo alertará de los intentos de conexión saliente del software que no haya lanzado directamente, otra señal de que tiene instalado algún malware.


2





Wireshark para supervisar el tráfico, Process Explorer para supervisar los cambios de archivos y registros. Mantenga una instantánea de "buen conocimiento" para arrancar en todo momento para reducir la posible contaminación. No le des una conexión a Internet si no tienes que hacerlo.


1





A lo largo de las líneas de su análisis (aunque siempre es más seguro verificar desde dónde lo descargó y utilizar el software antivirus local),

  1. Verifique qué comunicaciones de red intenta.
    Siempre es bastante fácil enumerar qué actividad de red es probable a partir de la descripción del programa.
    Puedes usar Sysinternals TCPView seguirlo o simplemente hacer frecuentes netstat.
    Algunas herramientas Host de antivirus / firewall también permiten configurar un bloque para un proceso.
    • La mayoría de los programas maliciosos se centran en "corromper" otras aplicaciones en su sistema.
      Esto significa que solo seguir la aplicación recién instalada no será suficiente.
      También necesita una forma de detectar cuándo comienza a jugar con otros archivos ejecutables en sus sistemas.

0



tcpview es excelente. Esta aplicación se ve bien y parece que no envía datos.
Hijackthis (free.antivirus.com/hijackthis) es muy útil para verificar la configuración del registro y del archivo, no en tiempo real, sino antes / después de dicha instalación. - invert