forum.lissyara.su

Собственно хочеться отловить с какого компа падает вирусня (кредитный калькулятор, что-то новое, пароли, поздравлялка...) установлена ВИНХР, есть ли способ просмотреть логи, или что установить чтоб отловил комп.

Заранее благодарен!

Если есть единая АВ база то обнови клиентов и всех поставь на проверку. А так хз смотреть логи подключения на сервере к расшаренному ресурсу.

Занимался как то нечто подобным.
Сначало надо собрать статистику:
1. В каких ресурсах (расшареных папках) появляется зловред.
2. Кто из пользователей имеет доступ и с каких компов к этим ресурсам.
3. Как часто/быстро после удаления зловреда он появляется на томже месте.

Если ресурсов и пользователей имеющих к ним доступ немного то сопоставив данные можно сузить круг подозреваемых до нескольких компов.

Кроме этого можно:
- Если время появления зловреда можно предугадать то можно попробовать отрасить появление файла (в Win включить логирование или посмотреть кто из пользователей в этот момент занимает ресурс/папку, как штатными средствами, так и сторонними напрмиер от Руссиновича).
- Можно снифать трафик и потом фильтром отсеять нужный протокол. В зависимости от продвинутости снифера эту задачу можно свести к простому написанию нужного фильтра который покажет все пакеты связанные с нужной папкой/файлом.
- Наличие антивияр и его логов специально заточенного для файловых хранилищь может помочь в разборе ситуации.

запускаешь прогу
через некоторое время смотришь историю в ней и идешь к заразному компу.

Зачем использовать стороннее ПО если можно включить встроенное в ОС.
Правктически в любой ОС есть возможноть включить журналирование/аудит.