Du har det grundlæggende problem at hvis hackeren er bare lidt professionel, har han indlagt et rootkit, hvorefter han faktisk er umulig af spore. Du kan se at dine ressourcer bliver brugt, men ikke af hvad. Du kan se at din diskplads bliver brugt, men ikke af hvad. Alle de prosesser hackeren starter, alle de biblioteker han opretter se skjult for dig.
Hvis du vil have lidt styr på hvad der sker, vil jeg anbefale at du placere en sniffermaskine mellem din maskine og routeren. Denne maskine vil kunne vise dig hvad der sker ind og ud af din maskine.
Najs linx i guiden der! Bla i PSToolspakken er der PSSERVICE, denne har hjulpet til at identificere (suspekte) processer, som bla. har flags som "IGNORE_SHUTDOWN"
BufferZone>
Jeg har et par gamle box'e og stå, men de er dårlig værd at køre winxp på, kan Win98SE bruges til snifferbox? Er der en specifik guide du har i tankerne? Er startet fra en ende af 8D
Mht. Y_HACK_ME; well, min mistanke er den suspekte installation foretaget på et (stadig ukendt :() cracksite. Dette har så garanteret først til løbende skjult installation/infektion af forskelligt. I tidligere spm. har jeg stilt ? til indtil flere suspekte processer, bla det skumle WinSxS directory
Hvis jeg var dig, ville jeg tage maskinen offline - formattere den og installere alle SP. Du får INTET ud af at bruge din tid på det (højt lidt morskab i jagten).
Et kompromitteret OS kan man ALDRIG stole på igen - der for formattering og reintstallation.
Desuden skal du nok overveje din patch strategi i kombination med en firewall :-9
Som nævnt i tidligere spm, fører en ny installation til samme problemstilling.. Jeg mistænker resident kode da det også sker fra en OEM skive. Den kopi jeg har slipstreamed SP1-applied blev (tror jeg) inficeret under brænding, men med den kan jeg idet mindste få installeret div. patches postSP1. Prøver jeg,fra en OEM instal (den uden SP1), at opdatere, bliver det tilsyneladende undertrykt/ignoreret af systemet, ihvertfald viser et efterfølgende (POSTREBOOT!) windowsupdate-scan at intet er instaleret, piv. Tal om ømt anus :(
win98 kan sagtens bruges som snifferboks. prøv at kikke på http://www.ethereal.com der er en god gratis sniffer.
Du kunne også kikke på Snort (www.snort.org) der er en slags intilligent sniffer (også kaldet et intrution detection system. Snort.org er til linux, men den findes også til windows (hedder måske winsnort)den bør også kunne køre på en win 98
Har iøvrigt KillDisk fra tidligere behov, mangler dog RAM-check for resident kode før det bliver interesant. Har overvejet at reinvestere i en brugbar xp-pro skive 8( De må da have lavet nogen OEM med det seneste på?
Nu har jeg læst det nogen gange, at (specielt med rootkit_infestation) reinstallation er sidste udvej.. Da det tidligere har slået fejl, vil jeg følge BufferZone's guide og prøve at opdatere fra en anden IP. Da det vel "kun" er licensen der er tale om, er det vel ikke et problem at installere fra en vens CD, så længe jeg bruger min egen key?
Efter reinstallation af Xp.Pro, SP1 & alle POST-SP1 patches, diverse manuelle patches (som DComBob), mangler jeg stadig svar på om det er normalt at have 4 instancer af "SVCHOST.EXE" aktive?? 1 starter med at hapse 18mB RAM, og flg. åbne forbindelser(har listet alle åbne forbindelser, er det normalt for XP på DSL?);
Lader til at det "kun" er spam fra microsofts side jeg slås med, noget som de fleste WinXP brugere må tage(s) med?
Leder stadig efter handy (gerne DOS) utility som; - kan droppe RAM indhold til analyse, evt. i HEXeditor - mestrer dokumentering/visning af diskread/-write, FAT/FileTree monitor
.. eller alt andet som er essentielt når det kommer til at luge ud i uønsket kode :)
> BufferZone Eh, du har sq har travlt, hvilken anbefaler du til at sætte en sniffer op?
Meeeh! Beklager den lange ventetid, har flyttet og andet 8/ Ville have delt point 50/50, men ku' åbenbart ikke rumme det, geez.. Hvis nogen er utilfreds, plz speak up !
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
