web-dev-qa-db-ja.com

プログラムがVMwareのウイルス/トロイの木馬であるかどうかを適切に確認するにはどうすればよいですか?

プログラムがVMwareのウイルスであるかどうかを確認するにはどうすればよいですか?私がインストールするために管理者の能力を必要とするいくつかのプログラムとそれは理にかなっています。しかし、それが私が望む以上のことをしているのかどうかをどうやって知ることができますか?いくつかの考えは次のとおりです。

  • アプリケーションを起動したときに開いているプロセスの数
  • Msconfigのスタートアップタブに追加されるもの
  • サービスが追加された場合。

それが私の考えのほとんどすべてです。それが何かをしたとしても、それが必要かどうかはわかりません。経験則は何ですか?

-編集-レジストリについてはどうですか?その情報を使用して支援できますか?たぶん、今使用したアプリケーションが(起動などの)セクションを混乱させているかどうかをスキャナーに教えてもらえますか?

4
user3109

新しい接続を促す発信ファイアウォールを実行します。

ソフトウェアが多くのアウトバウンド接続を確立しようとすると、それは役に立たない可能性があります。多くのソフトウェアは、最初の起動時または定期的に更新をチェックするため、最初の更新を通過させる必要があります。 「このアプリケーションに対する私の答えを覚えておいてください」オプション(存在するはずです)をチェックしないでください。そうすれば、次に「帰宅」したときに確認できます。

これにより、直接起動していないソフトウェアからの発信接続の試行についても警告されます。これは、マルウェアがインストールされていることを示すもう1つの兆候です。

2
ChrisF

トラフィックを監視するWireshark、ファイルとレジストリの変更を監視するProcessExplorer。汚染の可能性を減らすために、毎回起動する「既知の良好な」スナップショットを保持します。必要がない場合は、インターネット接続を提供しないでください。

1
Phoshi

分析に沿って(ただし、どこからダウンロードしたかを確認し、ローカルのウイルス対策ソフトウェアを使用する方が常に安全です)、

  1. 試行するネットワーク通信を確認してください。
    プログラムの説明から、ネットワークアクティビティの可能性を列挙するのはいつでもかなり簡単です。
    Sysinternals TCPView を使用してフォローするか、netstatを頻繁に実行できます。
    一部のホストウイルス対策/ファイアウォールツールでは、プロセスのブロックを構成することもできます。
    • ほとんどのマルウェアは、システム上の他のアプリケーションの「破損」に焦点を合わせています。
      これは、新しくインストールされたアプリケーションに従うだけでは不十分であることを意味します。
      システム内の他の実行可能ファイルの再生がいつ開始されるかを検出する方法も必要です。
0
nik