Jak mogę zobaczyć historię dziennika sieciowego określonego pliku wykonywalnego (w tym przypadku złośliwego oprogramowania)

Wykryłem, że mój komputer z systemem Windows 10 został zainfekowany qorigjsr.exe złośliwe oprogramowanie. Całkiem pewne, że po wstrzyknięciu mojego mniej doświadczonego komputerowo przyjaciela USB do mojego komputera. Usunąłem go natychmiast, ale gdy sprawdziłem „Historię aplikacji” w Menedżerze zadań, wygląda na to, że działał przez 7 sekund i korzystał z sieci na poziomie 8,9 MB.

Więc moje pytanie brzmi - jak mogę zobaczyć więcej szczegółów na temat tego wykorzystania sieci, np. kiedy było uruchomione i ile tego użycia zostało przesłane i ile pobrania i gdzie dokładnie (ip)?

BTW: Czy mieliście jakieś doświadczenia z tym złośliwym oprogramowaniem? Czy wiesz, co dokładnie robi?

— Dominik Serafin
źródło

Nie możesz wstecz zobaczyć tych danych. Ponieważ jest to przypadkowa nazwa, która naprawdę identyfikuje samo szkodliwe oprogramowanie, musiałbyś się przyjrzeć bliżej, prawdopodobnie przesyłając je do usługi takiej jak totalny jeśli posiadasz AV, nie zgłosiłeś więcej informacji na ten temat.

— Seth

@Seth dzięki za odpowiedź - ale co masz na myśli, patrząc wstecz, na te dane?

— Dominik Serafin

Nie ma domyślnego zapisu takich informacji, a ponieważ program już działał i zrobił swoje, nie można wstecz zobaczyć tych danych, ponieważ tak naprawdę nie istnieje. To, co możesz zrobić, to zidentyfikować rzeczywiste złośliwe oprogramowanie (jeśli nadal masz ten plik exe), aby zrozumieć, co faktycznie zrobił. Prawdopodobnie próbował pobrać ładunek w celu uzyskania dalszych praw lub zniszczenia (np. Oprogramowanie ransomware).

— Seth

Odpowiedzi:

Chociaż jest już za późno, aby dowiedzieć się o komunikacji sieciowej, która miała miejsce w przeszłości, z pewnością możesz podjąć działania, aby upewnić się, że zalogujesz się w przyszłości. A moje doświadczenia ze złośliwym oprogramowaniem mówią mi, że tak się stanie w przyszłości.

Twój problem, tj. Wykrywanie i kończenie połączeń sieciowych tworzonych przez złośliwe oprogramowanie, jest dokładnie tym, co zrodziło gatunek oprogramowania komputerowego o nazwie Zapora osobista .

Jeśli zainstalujesz osobistą zaporę ogniową, taką jak Comodo Internet Security (freemium), GlassWire (freemium), ZoneAlarm (freemium) lub ESET Internet Security (komercyjna), zyskasz możliwość przeglądania i kontrolowania nie tylko tego konkretnego złośliwego oprogramowania, ale każdego programu który próbuje ustanowić połączenie z komputera do świata zewnętrznego. Złośliwe oprogramowanie łączące się z siecią staje się problemem przeszłości.

Teraz niektórzy ludzie mogą tu przyjść i powiedzieć, że możesz to wszystko z samym systemem Windows. Byłoby to częściowo prawdą: to, co oferują te aplikacje firm trzecich, to komfort i niespotykany dotąd poziom kontroli.

Fajnie, ale to nie odpowiada na pytanie.

— DavidPostill

@DavidPostill Pytanie brzmi: „Jak mogę zobaczyć historię logów sieciowych konkretnego pliku wykonywalnego”? Odpowiedź brzmi: „Wyżej wymienione aplikacje pozwalają to zrobić”.

Więc? To wciąż nie pozwala OP „wstecznie przeglądać dane”

— DavidPostill

To wszystko bardzo dobrze, ale twoja odpowiedź nie odpowiada na pytanie więc twoja odpowiedź nikomu nie pomoże.

— DavidPostill

Dlaczego jesteś taki wrogi? Wydaje się, że prostym zadaniem jest ulepszenie tej odpowiedzi, jeśli autor zadaje pytanie „czy mogę określić użycie sieci przez proces bez włączania logowania”, odpowiedź brzmi oczywiście „nie, nie można” tego konkretnego pytania . Oznaczenie tej odpowiedzi jako „brak odpowiedzi” nie byłoby poprawną procedurą, David o tym wie. Nie zmienia faktu, że ta odpowiedź, w obecnej formie, nie odpowiada na pytanie autora.

— Ramhound

Być może za pomocą tego skryptu wsadowego do wyświetlania pamięci podręcznej DNS można uzyskać więcej informacji

@echo off
ipconfig /DisplayDNS > CacheDNS.txt
Start "" CacheDNS.txt

— Hackoo
źródło