Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Ohjeet > 2007 > 1/2007 Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan

20.04.2007

1/2007 Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan

Tämä ohje on tarkoitettu Windows NT -pohjaisella (kaikki Windows NT-versiot, Windows 2000, Windows XP, Windows Vista) käyttöjärjestelmällä (myöhemmin Windows) varustettujen tietokoneiden käyttäjille. Tässä ohjeessa esitellään tarkistuslistamaisesti hyödyllisimpiä Windows-komentoja, työkaluja ja menetelmiä, joilla haittaohjelman aiheuttama saastuminen, tietomurto, tai muu luvaton käyttö saattaa paljastua. Ohjeessa mainituilla menetelmillä on mahdollista havaita kohtalaisen suuri osa haittaohjelmista tai tunkeutumisista. On kuitenkin olemassa joukko haittaohjelmia ja kohdennettuja hyökkäyksiä, joiden havaitseminen vaatii hyvin korkeaa osaamistasoa eikä ole mahdollista tässä ohjeessa mainituin keinoin. Suurin osa mainituista komennoista toimii sellaisenaan tavallisessa oletusasetuksin asennetussa Windows-työasemassa ilman ylimääräisten ohjelmistojen asentamista. Komennoista pääosa toimii myös peruskäyttäjän oikeustasolla. Pääkäyttäjän (Administrator) oikeuksia vaativien komentojen kohdalla on maininta asiasta.

Ohje on kirjoitettu siten, että ohjeen lukijalta vaadittavan taustatiedon määrä kasvaa ohjeen loppua kohti edetessä. Ohjeen ensimmäiset kappaleet sopivat hyvin peruskäyttäjän luettavaksi, mutta loppupään kappaleet sopivat parhaiten lisätiedoksi edistyneille käyttäjille. Ohje tarjoaa hyvää yleistietoa kaikille tietokoneen käyttäjille, vaikka lukija ei tuntisikaan jokaista esiteltyä menetelmää tai tekniikkaa läpikotaisin.

Esiteltyjä komentoja ja työkaluja on ensisijaisesti käytettävä tietokoneen ollessa käynnistettynä ja verkkoyhteyden ollessa aktiivisena (ns. online-tutkinta). Osa esitellyistä tutkintakohteista on myös sellaisia joiden avulla voi saada hyödyllisiä tuloksia vielä tietokoneen sammuttamisen jälkeen (ns. offline-tutkinta), esimerkiksi tutkimalla saastuneeksi epäillyn työaseman kovalevyä jollain muulla työasemalla tai käynnistämällä kone erilliseltä käynnistyslevyltä. Menetelmien kohdalla on mainittu, jos niiden avulla on mahdollista saada hyödyllisiä tietoja myös offline-tutkinnassa. On syytä huomata, että käyttöjärjestelmä käsittelee (lukee, muokkaa, luo, poistaa) suurta määrää tiedostoja tietokoneen sammuttamisen ja käynnistämisen yhteydessä. Mikäli tietokoneelle halutaan online-tutkinnan lisäksi suorittaa myös perinpohjainen offline-tutkinta, tulee online-tutkinta suorittaa viipymättä ja varoen muuttamasta tutkittavan kohteen tilaa. Kun online-tutkinta on valmis eli kaikki tarvittavat tiedot on saatu kerättyä, kone tulisi sammuttaa "väkivaltaisesti" ottamalla virtajohto/akku irti, jotta esimerkiksi RAM-muistin (Random Access Memory, ohjelmien käyttämä työmuisti) osia sisältävän sivutustiedoston ei sisältö pääse turmeltumaan. Asianmukainen offline-tutkinta vaatii usein huomattavasti enemmän asiantuntemusta kuin online-tutkinta. Offline-tutkinta kannattaakin usein antaa asiantuntijan tehtäväksi. Tästä syystä tässä ohjeessa keskitytään pääasiassa online-tutkinnan menetelmiin.

Tässä ohjeessa esitellyt komennot on kätevintä antaa Windowsin komentokehotteessa (Command Prompt). Muissa kuin Windows Vistassa komentokehotteen saa käynnistettyä valitsemalla Käynnistä -> Suorita ja kirjoittamalla avautuvaan ikkunaan cmd (engl. Start -> Run -> cmd). Windows Vistassa komentokehote kannattaa avata painamalla Ctrl-Shift-Esc ja valitsemalla Tiedosto -> Uusi tehtävä (Suorita...) (engl. File -> New Task (Run...)) ja kirjoittamalla avautuvaan ikkunaan cmd. Komentojen tulosteet kannattaa ottaa talteen myöhempää tarkastelua varten, sekä mahdollista tietoturva-asiantuntijan suorittamaa analyysiä varten. Helpoin tapa on ohjata komennon tuloste tiedostoon lisäämällä sen perään suurempi kuin -merkki ja tiedoston nimi, esimerkiksi näin:

netstat -an > c:\temp\netstat-tuloste.txt

Merkintä ”>” ohjaa ohjelman näytölle tulevat tulosteet ja merkintä "2>" ohjaa ohjelman virhetulosteet tiedostoon.

Sisältö

Ohjeen PDF-versio tulostusta varten. [pdf, 324 KB]

Sivua päivitetty 09.07.2012   Tulostusversio Tulostusversio