Как обнаружить атаки киберпреступников

0
38

Иногда программное обеспечение безопасности пропускает взлом вашего компьютера. В случае разумного подозрения, возьмите дело в свои руки и следуйте по пути киберпреступников, как детектив.


Содержание
Журнал событий в Windows. Как найти записи с определенным идентификатором. Расширенные методы фильтрации. Дополнительные советы, которые помогут вам проанализировать

Антивирусные программы иногда пропускают атаки интернет-преступников. Следующие советы помогут вам определить, что происходит на вашем компьютере.

Windows поддерживает специальный журнал событий, в котором записывается все, что происходит в операционной системе и влияет на ее работу. Это чрезвычайно ценный отчет. Когда вредоносный код попадает в систему, он может оставить следы в указанном протоколе. Пользователи, которые находят и интерпретируют эти ключи, могут разоблачить вредоносный код, даже если их антивирус и другие специализированные средства безопасности не работают.

В следующем материале мы описываем правила системной программы Event Viewer, которая в Windows отвечает за создание указанного протокола. Мы объясняем, какие записи вы должны исследовать, если вы подозреваете, что ваша система была атакована онлайн-преступниками. Тем не менее, стоит проявить осторожность. Хотя записи, вызывающие у вас беспокойство, могут быть признаком взлома с использованием вредоносного кода, они также могут появляться из-за безвредного программного обеспечения. Анализ журнала событий иногда напоминает работу посвященного.

Советы администраторам. Исследование журнала событий может оказаться очень полезным для администраторов ИТ-инфраструктуры компании. Об этом отмечает автор Расс Энтони в своей статье «Обнаружение инцидентов безопасности с помощью журналов событий рабочей станции Windows» для компании SANS Institute. Англоязычный оригинал этого документа доступен бесплатно в виде файла PDF по этому адресу .

Журнал событий в Windows

И операционная система Windows, и ее установленные приложения используют журнал событий для регистрации определенных инцидентов и информации о состоянии системы. Данный отчет называется журналом в Windows и отображается в окне просмотра событий. Чтобы открыть этот элемент в Windows XP, нажмите Пуск | Панель управления. Затем щелкните категорию «Производительность и обслуживание», «Администрирование». Теперь дважды щелкните «Управление компьютером» и разверните ветку «Просмотр событий» (локально).

Как обнаружить атаки киберпреступников

Таблица — самые важные идентификаторы событий

В Vista и Windows 7 откройте меню Пуск | Панель управления. Откройте категорию «Система и безопасность». Затем нажмите «Просмотреть журналы событий», расположенные в разделе «Инструменты администрирования» в нижней части окна. При необходимости подтвердите сообщение «Защита учетной записи пользователя».

В Windows 8 откройте окно проводника, щелкнув его значок на панели задач. Когда вы нажмете «Компьютер» на вертикальной панели слева, в верхней части окна появится лента. На его правом краю находится команда Управление. После щелчка на нем появится окно «Управление компьютером». В дереве категорий слева разверните Управление компьютером (локальное). В подразделении System Tools есть запись Просмотр событий.

Также вы можете нажать [Windows R] и ввести eventvwr.msc в окне «Выполнить». Этот метод работает на всех версиях Windows. В более новых версиях вы можете ввести «Просмотр событий» в поле поиска меню «Пуск» и нажать «Просмотреть журналы событий». С появлением Vista программа просмотра событий изменилась с точки зрения обслуживания и функциональности. Следующие советы демонстрируются на примере версии, доступной в выпусках Vista, 7 и 8.

Индивидуальные списки событий. Главное окно инструмента просмотра событий разделено на три части. На вертикальной панели слева находится дерево категорий. При развертывании ветки Просмотр событий (Локальная) | Журналы Windows, вы увидите отдельные протоколы. Это приложение, безопасность, настройки и система. Когда вы выбираете один из них, список отдельных записей журнала будет отображаться в середине окна. Отдельные записи делятся на три категории в зависимости от серьезности события — Информация, Предупреждения, Ошибки и Критические. Соответствующее упоминание об их квалификации указано рядом с каждым из них в столбце Уровень.

Стоит отметить, что в Windows 8 столбец Уровень не отображается по умолчанию. Он должен быть включен через меню View | Добавить / удалить столбцы.

Как обнаружить атаки киберпреступников

Окно просмотра событий разделено на три части. Слева находится дерево журналов, середина их содержимого (вместе с панелью сведений), а слева — полезные команды.

Структура записи в журнале. Щелкните нужную запись в списке, чтобы просмотреть подробную информацию о ней на панели предварительного просмотра, расположенной внизу средней части окна. Если он невидим, вам нужно вызвать его, нажав меню View | Панель предварительного просмотра. Рядом с датой и точным временем, когда событие произошло, запись собирает целый набор дополнительной информации. В столбце Источник указано имя компонента, вызвавшего событие. Кроме того, каждому событию присваивается специальный номер, указанный в столбце Идентификатор события. Наиболее интересная информация подробно описана в рамке на вкладке «Сведения» (в Windows XP она называется «Описание», в других выпусках системы название отсутствует). Windows описывает важность текущей записи с большей или меньшей точностью.

  • 1
  • 2
  • 3
  • strona Следующая страница