הבנתי ש-spyware יכול להסוות את עצמו ברשימת ה-processes ולהשתמש בשם שדומה לשם של תהליך שגרתי.

בנוסף לזה הוא יכול לתקשר באינטרנט כאשר פותחים איזשהו דפדפן, שאז קשה למצוא את ה-packet שלו גם עם סניפר...

איזה שיטות אפשר לנקוט כדי למצוא spyware?

1. האם אפשר להגביל את התקשורת עבור תוכנות ספציפיות? איך?
   אם אני חוסם אותו ב-firewall זה מספיק?
2. איך אדע, לדוגמא, שתהליך svchost.exe הוא לא spyware זדוני? במיוחד אם יש 6 תהליכים כאלה...
   האם אפשר לסמוך על המידע שבמנהל המשימות, בטור של User name, אם כתוב שם שה-user name הוא SYSTEM שאז המערכת הפעילה את התהליך ולכן זה תהליך בטוח?
3. איך אפשר לקבל את כל המידע על כל התהליכים שרצים?

יש לי את התהליכים הבאים שרצים:


במקרה מזהים תהליכים לא חיוניים או מזיקים?


בנושא קצת שונה:

נניח אני גולש לתומי באתר אינטרנט או פותח אימייל, איך זה הגיוני שמצליחים לעקוף את האבטחות של הדפדפן ולהדביק אותי ברוגלה\וירוס?
מה גם שיש את האנטיוירוס...
הדבר היחידי שאפשר להעביר ולאחסן אצל המשתמש זה cookies אבל זה סה"כ קובץ טקסט, אין פה שום דבר שיכול לרוץ בתור exe.

תודה רבה!

1. תוכנת שיועדו לכך
2.
tasklist /svc
בCMD

3. פ
לדוגמא תשתמש במובנה של XP, והוא אפילו לא ינטר את התעבורה החוצה, אז אותם פורטים שחסמת , יוצא מהם מידע, נכנס לא ופה יותר חשוב יהיה לחסום הוצאה של מידע ..... אני בטוח שאתה מבין למה. ככל שסכום הקנייה המוצר עולה, רמת filtering גודלת ונכנסת כמה שיותר פנימה לאותה פאקטה שיושבת על הכביש ועומדת להיכנס או שלא, החל ממובנה של XP שיודע לעשות packet filtering ועד להכי משוכלל שעושה application layer filtering. הכל שאלה של מה לחסום ובספייוור מלוור ושאר חברים , הפרמטר הזה די לא ידוע.....


..

ומה קורה אם בקובץ טקסט הזה יש פקודה ברת-הרצה אשר תשתמש באיזשהי פירצה על אותה מערכת שהיא רצה,תוריד קובץ X מכתובת Y ואז תריץ את קובץ X על המכונה. ומה אז?

1. אני לא סומך כ"כ על התוכנות האלה, הרי הן לא מוצאות את כל הספייוור שיש...

2. תודה. מהו טור ה-PID שמופיע שם?
אני חושב שהמידע הזה לא יכול מספיק לעזור...
אני צריך מידע שנלקח בצורה פולשנית לגבי התהליכים שרצים. שליטה מלאה עליהם....

3. איך אני מגיע אליו...? למובנה של XP. אתה מתכוון ל-firewall שלו?

ציטוט:

מה קורה אם בקובץ טקסט הזה יש פקודה ברת-הרצה אשר תשתמש באיזשהי פירצה על אותה מערכת שהיא רצה,תוריד קובץ X מכתובת Y ואז תריץ את קובץ X על המכונה. ומה אז?

איך זה הגיוני? זה קובץ טקסט. הדפדפן מתייחס אליו בתור קובץ טקסט בלבד. זה ברור שהדפדפן לא יריץ פקודות מתוך קובץ טקסט...


תודה לך!

ציטוט:

במקור נכתב על ידי dorM איך זה הגיוני? זה קובץ טקסט. הדפדפן מתייחס אליו בתור קובץ טקסט בלבד. זה ברור שהדפדפן לא יריץ פקודות מתוך קובץ טקסט...תודה לך!

ברור למי?

זה שזה מה שאומר ההגיון שלך, לא אומר שאין חכמולוגים שהם חושבים שהם מתוחכמים יותר ממך. יש דפדפן שעשה, ועושה, וכנראה גם יעשה, בדיוק את הדבר הזה. קוראים לו Microsoft Internet Explorer...

נמאס לכם לזכור סיסמאות? לחצו כאן!

למה שהדפדפן יעשה דבר כזה...?

כלומר, הם פותחים פירצה ביודעין? :/

כן

נמאס לכם לזכור סיסמאות? לחצו כאן!

1.אתה יכול לא לסמוך אבל פיתרון יותר יעיל כרגע אין לי ממש לספק לך, כל עוד הסביבה שלך יוצאת לאינטרנט.
2. במנהל המשימות תוכל להוסיף עמודת PID לVIEW של כל התהליכים ואז לזהות איזה svchost מתייחס לאיזה תהליך בדיוק לפי הPID.

גישה יותר פולשנית תוכל לעשות אם כל system process explorer שתמצא בגוגל אבל שאלת איך עושים ב XP,
אז tasklist זה הכי קרוב שאני מכיר למה ששאלת

3. מגיע לאן ? לא הבנתי.


.... זה ההיגיון אבל יש בעיה עם היגיון ומחשבים.

process ID = PID .
ול3. אני מדבר על המובנה שיש החל מ XP SP2

בנוגע ל-PID מצאתי איך להציג את העמודה הזאת במנהל המשימות, אבל איך יודעים לקשר את זה לתהליך המתאים?

3. יש לי Win XP SP2

לאיזו תוכנה התכוונת ב-"מובנה"? מה זה בדיוק המובנה, ואיך אוכל להשתמש בו \ להגיע אליו ?

סליחה על הבורות אבל לא הבנתי את החלק הזה...

תודה!

אם אתה הולך "לצוד תולעת" נקרא לזה, אתה תחשוף במנהל המשימות את כל ה svchost שרצים ברקע ואת ה PID שלהם, אתה תלך אחרי זה לCMD ותסתכל ברשימה שהשגת מהפקודה . עכשיו, אתה מתחיל תהליך תהליך של svchost לראות מה מריץ אותו\רץ עליו (איך שלא תסתכל על זה ), בדוק תוצאות עם מקור מהימן = גוגל ואז אתה הרי תצטרך לעצור svchost לפני שתוכל למחוק את המזיקים שרצים עליו ברגעים אלו ממש. עכשיו זה שיטה ממש מפגרת אבל נגיד ותצטרך למצוא תשובה ללמה להשתמש ב tasklist /svc
המובנה דיברתי על הFW שישנו במערכות NT החל מXP SP2,
control panel-firewall אולי? איפשהו שמה ,security center ....
הממ זה לא בדיוק בורות

אוקי חסמתי כמה פורטים ב-FW.

אבל יש איזה בעיה - יש לי תוכנת ORCAD והיא תופסת לי איזה 1000 פורטים פתוחים (לא צוחק), ממש המון. יש איזה דרך לבטל את כולם באופן אוטומטי? רק של ORCAD.

אנסה לבצע מה שאמרת ואחזור עם תוצאות.

תאלתר משהו מפה
http://support.microsoft.com/kb/839980
או מפה
http://weblogs.asp.net/sjoshi/archi.../07/175309.aspx

נ.ב. אם אתה מאחורי נתב, יש עוד פיירוול שתצטרך לבקר.

מצאתי תולעת - ERSvc ...

מזל שעשיתי חיפושים.

היא ישבה בשקט והשתמשה בתהליך svchost.exe שהיה פנוי - במקרה התהליך הזה הוא גם שימושי מאוד בעבור תוכנות אחרות.

תגיד, יש איזה תוכנת אנטי-רוגלות שאתה מכיר ויכול להמליץ?

1.
http://support.microsoft.com/kb/314056/he
זה SVCHOST . שלא יהיו ספקות .
2. לא מכיר ממש אז לא יכול להמליץ


"אם הדפדפן יכול בעצם להריץ פקודות כאלו ואחרות מקובץ טקסט,הוא לא אמור אבל מה זה יזיק? הרי אם הוא יוכל, הוא יעשה את זה במקום המשתמש, וזה יקצר זמן. יהיה מהיר יותר."

"רגע רגע , אבל אז אפשר להשתמש בזה גם לניצול רע. תחשוב שמישהו יעלה על זה."

"נו, מה לעשות ? כשנגיע לגשר, נחצה אותו"

כשכתבת כאן את הקישור ל-svchost, למה התכוונת בדיוק? שהתוכנית ersvc לא מזיקה? מצאתי בגוגל 2 אתרים שמדווחים שהיא מזיקה (ולעומת זאת אתר אחר שמדווח שזה תהליך סטנדרטי של ווינדוס אבל תחת תנאים מסוימים).

ציטוט:

"אם הדפדפן יכול בעצם להריץ פקודות כאלו ואחרות מקובץ טקסט,הוא לא אמור אבל מה זה יזיק? הרי אם הוא יוכל, הוא יעשה את זה במקום המשתמש, וזה יקצר זמן. יהיה מהיר יותר." "רגע רגע , אבל אז אפשר להשתמש בזה גם לניצול רע. תחשוב שמישהו יעלה על זה."

זה חוסר אחריות ועצלנות של המפתחים... קשה לי להאמין שזה מה שהם חשבו לעצמם, אני בחיים לא אפתח פירצות (לפחות בכוונה) באפליקציות שאפתח.

בנוגע ל-exploit של תסריט עוגיות, מצאתי את הבאים (אני חושב שהם דומים\שווים):

http://www.c-schell.de/home/sonstig...ad-advisNr7.txt
http://www.mail-archive.com/bugtraq...m/msg07881.html

חיפשתי בגוגל:
IE Cookie-based Script Execution

והנה הדיווח על ה"באג" (אם אפשר לקרוא לזה כך..):
http://ftp.cerias.purdue.edu/pub/ad...abilities.tx t

1. לפי השורה שכתבת מקודם אז לא ידעתי עם בדיוק הבנת מהו בעצם ה SVCHOST אז צירפתי קישור, מיותר כעת, שהבנתי שהבנת.
2. חח כתבתי את זה דרמטי משהו כדי להמחיש נקודה אבל הבנת את הרעיון. אם אתה אומר ככה, אז תעשה ככה
3. הממ שאלת מה קורה עם עוגיות, זה המצב. אם בכוונה או לא, הרבה דברים נוראיים קרו מתסריט העוגיות הזה. המממ sql injection ? חחח אפשר להמשיך ככה שבועות ....