PDA

Просмотр полной версии : SpyWareDestroyer on LAN



mr jingles
15.08.2006, 10:26
Ребят, подскажите, пожалуйста, как можно просканировать диапазон сети на наличие шпионов. Какой-нибудь софтиной навроде SBS&D.
Заранее спасибо.

MedvedD
16.08.2006, 08:43
Никак. Большинство спайвари не открывают порты.

Или, имея права администратора на всех машинах сети, просканировать все их дефолтные шары типа c$,d$ любым нормальным антивирусом Но это долго и малорезультативно. Можно будет установить по крайней мере наличие спайвари, но вылечить будет трудно - запущеные на исполнение файлы лечить нельзя.

Зайцев Олег
16.08.2006, 09:59
Если на проверяемых машинках есть права админа, то
1. Берется некий ПК админа или сервер и открывается папка, доступная всем на чтение.
2. В эту папку кладется AVZ. Далее создаем подпапку Quarantine и LOG, доступные всем на запись
3. Пишется скрипт управления AVZ (например: отметить системный диск, проверить с лечением, сохранить протокол в папку LOG, все подозрительное поместить в карантин)
4. производится запуск AVZ на всех проверяемых ПК через rexec, Logon скрипт или любым другим удобным админу методом
----
Примеры подобных скриптов есть в справке по AVZ, я его неоднократно так применял. Важный момент в этом алгоритме - ключ запуска:
avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\сервер\папка\скрипт
Данный набор ключей запускает AVZ в свернутом режиме, юзер не может им управлять, приоритет его понижен чтобы не тормозить ПК юзеров и режим карантина переведен в сетевой (в этом случае в папке Quarantine для каждого ПК создается подпапка)
Пример скрипта:


begin
// ***** Настройка AVZ *******
// Cканировать системный диск
SetupAVZ('SCAN='+GetSystemDisk+':\');
// Включить лечение
SetupAVZ('DelVir=Y');
// Включить карантин
SetupAVZ('UseQuarantine=Y');
// Пониженный приоритет
SetupAVZ('Priority=-1');
// Активирование сторожевого таймера на 15 минут
ActivateWatchDog(60 * 15);
// Запуск сканирования
RunScan;
// Добавление данных о имени ПК
AddToLog('---------------');
AddToLog('Протокол с компьютера '+GetComputerName);
// Автокарантин
ExecuteAutoQuarantine;
// Сохранение протокола
SaveLog(GetAVZDirectory+'\LOG\'+GetComputerName+'_ log.txt');
// Завершение работы AVZ
ExitAVZ;
end.


В данном скрипте есть команда автокарантина - в результате AVZ соберет все, что запущено/сидит а автозапуске, но не значится в базе безопасных и не убито как "зверь". А затем папку карантина AVZ нужно прошерстить парой антивирей/антиспайверов и посмотреть, что к чему...

mr jingles
16.08.2006, 11:16
ээээ... а что такое, простите, AVZ?

pig
16.08.2006, 11:40
http://z-oleg.com/secur/avz-dwn.htm

Зайцев Олег
16.08.2006, 12:42
Точнее так:
http://z-oleg.com/secur/avz/download.php - страница загрузки
http://z-oleg.com/secur/avz_doc/ - документация