זיהוי קבצים וקישורים חשודים עם Process Explorer

דצמבר 28, 2016

תגיות: ,
2 תגובות

ישנם דרכים וכלים רבים לזהות תהליכים חשודים וקבצים נגועים אשר רצים ברקע, אחד הכלים הוא כלי Process Explorer.
כלי Process Explorer  ידוע ככלי שניתן לזהות עימו בעיות של תהליכים שאינם רצים באופן תקין ולבצע תחקור מעמיק לגבי תהליך בעייתי.
מעבר להיותו כלי שמאפשר לבצע Depp Analysis על תהליכים לכלי Process Explorer ישנה אינטגרציה עם VirusTotal וביחד מאפשר לבצע זיהוי של תהליכים חשודים, וירוסים, טרויאנים, malware ועוד.
VirusTotal הוא שירות חינמי שמאפשר לבצע זיהוי של קבצים וקישורים ולומר האם הקובץ או הקישור נגוע בוירוס, טרויאן וכו’.

איך לאפשר VirusTotal בכלי Process Explorer

בכלי Process Explorer נסמן את האפשרויות של:

  • Check VirusTotal.com
  • Submit Unknown Executable

image

לאחר מכן נוסיף את VirusTotal לממשק

image

בסיום Process Explorer יציג מידע מתוך VirusTotal

בעמודה של VirusTotal ניתן לראות את הדירוג של הקובץ ולבחור את התהליך הבעייתי, לאחר בחירה של תהליך בעייתי נגיע לאתר VirusTotal שיציג מידע נוסף אודות הקובץ ומידע מפורט לגבי טרויאנים, וירוסים וכו’.

image

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

2 תגובות

  1. מוטי באנידצמבר 28, 2016 ב 10:28 pm

    מאוד לא מומלץ לסמן את "Submit Unknown Executable", מהסיבה הפשוטה שאם מדובר בהתקפה ממוקדת אז העלאה של הקובץ ל-VirusTotal תוסיף אותו למאגר, וככה התוקפים יכולים לדעת שעלו עליהם ולשנות את דרכי הפעולה שלהם.

    יש אפילו סקריפט ב-GitHub שמבצע את הבדיקה הזו בצורה אוטומטית.

    הגב
    1. Eli Shlomo
      Eli Shlomoינואר 23, 2017 ב 11:48 am

      אין המלצה חד משמעית לגבי הסימון של אפשרות Submit Unknown Executable מהסיבה הפשוטה שניתן לומר שאנו רוצים מצד אחד כן להתריע על מתקפה מסוימת וליידע את כל מי שצריך ומצד שני ניתן לומר שאנו רוצים לשמור על המתקפה כמשהו שאינו ידוע בכדי שהתוקף יידע מהי. 

      אלי.

      הגב