The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как я ищу виндовые вирусы"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как я ищу виндовые вирусы"
Сообщение от Андрей Искать по авторуВ закладки(??) on 17-Янв-05, 17:34  (MSK)
запускаем и даем поработать минут 15:
tcpdump -i eth0|grep netbios-ns >> virus-out

пишем на перле такой скрипт и запускаем (моя сеть: 192.168.1.ххх)
=====================================================
#!/usr/bin/perl

open F, './virus-out';
while (<F>) {
@t = split( /\s/ );
if ( $t[1] =~ /192\.168\.1\.(.*?)\..*netbios-ns$/ ) {
$c{$1} += 1;
};};
close F;

foreach $k (sort( keys(%c))) {
print $k."\t".$c{$k}."\n";
};
=====================================================

на экране получаем:
<адрес компа>       <кол-во запросов>

если за 15 мин. намеряет с одного адреса больше 200 запросов - 100% вирус...

вот и все, идем и лечим...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Как я ищу виндовые вирусы"
Сообщение от Гы Искать по авторуВ закладки on 17-Янв-05, 17:43  (MSK)
Прикольно. А у меня вирусов нет, стоит Symantec AntiVirus CE
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как я ищу виндовые вирусы"
Сообщение от YuryD Искать по авторуВ закладки(ok) on 17-Янв-05, 17:52  (MSK)
>запускаем и даем поработать минут 15:
>tcpdump -i eth0|grep netbios-ns >> virus-out

tcpdump сила могучая, но я бы добавил -n для исключения ненужного resolving-а, чего машину тормозить зря

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Как я ищу виндовые вирусы"
Сообщение от Vasia Искать по авторуВ закладки(??) on 18-Янв-05, 13:01  (MSK)
эмммм... если -n то порты 137-139 не резолвятся именно как netbios-ns поэтому парсить по "netbios-ns" будет невозможно ибо выход принимает вид 192.168.1.3.137, а парсить по номерам портов както не очень ))) таки цифра 137 or 138 or 139 может быть не номер порта вовсе, а к примеру кусок айпишника...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Как я ищу виндовые вирусы"
Сообщение от SergeSuhov emailИскать по авторуВ закладки(ok) on 18-Янв-05, 11:02  (MSK)
Все это конечно хорошо. А никто не пробовал поставить антивирус и просканировать сеть? Хотелось бы услышать впечатления...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как я ищу виндовые вирусы"
Сообщение от Beginner emailИскать по авторуВ закладки(??) on 18-Янв-05, 13:05  (MSK)
>Все это конечно хорошо. А никто не пробовал поставить антивирус и просканировать
>сеть? Хотелось бы услышать впечатления...

Ага. А еще пересадить всех на пингвинов и чертей, хороших и разных, и забыть про вирусы/антивирусы.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Как я ищу виндовые вирусы"
Сообщение от Skif emailИскать по авторуВ закладки(ok) on 18-Янв-05, 14:30  (MSK)
>>Все это конечно хорошо. А никто не пробовал поставить антивирус и просканировать
>>сеть? Хотелось бы услышать впечатления...
>
>Ага. А еще пересадить всех на пингвинов и чертей, хороших и разных,
>и забыть про вирусы/антивирусы.
А вот это полный бред. Остерегайтесь высказывать такие "умопомрачительные идеи"
Вирусы есть и под юниха. Просто вы с ними не сталкивались.
Так что антивирь нужен и там.
Хотя это и не столь критично, как под вынь.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "15штук за два года?"
Сообщение от ZOD Искать по авторуВ закладки(??) on 19-Янв-05, 11:45  (MSK)
ито при наличии вполне конкретных дырявых сервисов.

Вы попробуйте слюниксовый elf который ещё и striped заразить.... Щаз все пряморукие вирусописатели извелись. Ей богу гавно пишут а не вирусы. Такое гавно под unix like работать не будет бай дизайн. Скорее кулхацкер меня взломает чем он слюникса вирю подцепят. Вот заражение всего пролетающего по сегменту трафика из невидимого модуля ядра это да... Не хухры мухры.. Да только кто кроме phrack такое сделает, да и рута получить сначала надо. Нынче вирусописателям нужных только юзерфрендли технологии клик клик и готово, а со слюниксами такое не пройдет. Нужно хотябы значть шо такое С и немножко asm.

Я вот удивляюсь, посади сейчас за комп автора чего нить типа onehalf или как он там, он за неделю такого червя напишет, то по выбору у всех писок сдохнет  процессор, видЭокарта, мама, хард и некоторые мониторы либо весь инет ляжет из-за DOS с виндовых машЫн. Причём если скооперироваться со спамерами то на всё провсё времени надо неделю на написалово и неделю на распространение. Так ведь нет vbs да vbs... Keyloger нормальный и тот написать не могут. Так чтобы он П4 не тормозил....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Как я ищу виндовые вирусы"
Сообщение от BarS Искать по авторуВ закладки(??) on 18-Янв-05, 14:31  (MSK)
Я только не понял как насчет копирования файлов и печати в сети?
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру