Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Ohjeet > 2007 > 1/2007 Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan > 10 Edistyneempiä työkaluja tutkintaan

10 Edistyneempiä työkaluja tutkintaan

Oletusasetuksin asennetun Windowsin vakiokomennoilla ja työkaluilla on työlästä hankkia kaikkea informaatiota, jota hieman perinpohjaisempaan tutkintaan tarvitaan. Onneksi Windowsin prosessien, rekisterin, tiedostojärjestelmän ja verkkoyhteyksien tutkintaan on kuitenkin saatavilla ilmaisia työkaluja, jotka helpottavat tutkintaa huomattavasti. On hyvä huomioida, että tässä kappaleessa mainittujen työkalujen käyttö ja tulosten tulkinta vaatii laajaa osaamista. Lisäksi monien mainittujen työkalujen käyttö vaatii pääkäyttäjän käyttöoikeustasoa.

Esimerkiksi Windows XP:tä edeltävissä versioissa ei ole mahdollista helposti yhdistää liikennöivää verkkopalvelua tai -sovellusta aktiiviseen prosessiin. Windows Sysinternals tarjoaa tätä tarkoitusta varten parikin ilmaista työkalua: TCPView on graafisella käyttöliittymällä varustettu työkalu, joka tuo edellä esiteltyyn netstat-komentoon tämän kaivatun lisäominaisuuden ja paljon muuta. Muita Windows Sysinternalsin käteviä tutkintatyökaluja ovat Process Explorer, Handle, PsTools, Regmon, Filemon, ListDLLs, TDImon ja RootkitRevealer.

Nykyään eräät haittaohjelmat piilottavat tavallisimmat haittaohjelman tunnusmerkit (esim. prosessit, tiedostot ja rekisteriavaimet) ns. rootkit-tekniikan avulla, jolloin edellä mainituilla keinoilla ei ole mahdollista todeta haittaohjelmaa. Muun muassa edellä mainittu RootkitRevealer ja maksuton rootkitien havaitsemiseen ja poistamiseen tarkoittu GMER (http://www.gmer.net/index.php) ovat hyödyksi erityisesti tämän kaltaisissa tilanteissa. GMER toimii Windows NT/2000/XP -järjestelmissä. Myös muita maksullisia ja maksuttomia rootkitien havaitsemiseen ja poistamiseen tarkoitettuja ohjelmia on olemassa. Rootkitien havaitsemiseen tarkoitettujen ohjelmien havaitsemisvarmuus ei ole aivan täydellinen, joten tulosten varmentamiseen voi käyttää useampaa ohjelmistoa. Kun rootkit on havaittu, se voidaan poistaa esimerkiksi käynnistämällä tietokone käynnistyslevyltä tai toiselta loogiselta kovalevyasemalta, jolloin rootkitin piilottamat tiedostot, mukaanlukien itse rootkit, saadaan näkyviin ja voidaan poistaa. Rootkitin poistaminen on vaikeaa ja vaatii paljon osaamista, joten se on syytä antaa asiantuntijan tehtäväksi tai tehdä käyttöjärjestelmälle täydellinen uudelleenasennus.

Myös esimerkiksi Foundstonella (http://www.foundstone.com/resources/forensics.htm) on ilmaisia työkaluja, joilla voi tutkia Internet Explorerin välimuistia (Pasco) ja evästeitä (Galleta) sekä Windowsin roskakorin tilaa (Rifiuti). Heillä on myös vastaavia työkaluja kuin edellä mainitut Windows Sysinternalsin tuotteet, esimerkiksi Vision ja F-Port. Lisäksi esimerkiksi myNetWatchmanin SecCheck SCU (http://www.mynetwatchman.com/tools/sc/) on helppokäyttöinen työkalu, joka kerää automaattisesti työasemasta haittaohjelmiin liittyvää tietoa ja lähettää sen analysoitavaksi myNetWatchmanin palvelimelle. SecCheck SCU raportoi analyysin tulokset, sekä www-sivun muodossa että kirjoittamalla lokitiedoston työasemalle.

Helix (http://www.e-fense.com/helix/) on kattava "työkalupakki" myös Windows-järjestelmien tutkintaan. Helix jaetaan .iso-levykuvana, jonka voi kirjoittaa CD-levylle. Helix-CD toimii käynnistyslevynä, jolta voi käynnistää tietokoneen ja joka ei tee muutoksia isäntäjärjestelmään. Helixissä on Windows-osio, joka sisältää paljon hyviä työkaluja Windows-järjestelmän tutkintaan.

Microsoft tarjoaa ilmaiseksi ladattavissa olevaa Change Analysis Diagnostic Tool -työkalua (http://support.microsoft.com/?kbid=924732) Windows XP SP2-järjestelmissä tapahtuneiden muutosten havainnointiin. Työkalun avulla käyttäjä saa tietoa käyttöjärjestelmän sekä asennettujen ajurien, ohjelmistojen, ActiveX-komponenttien sekä selainlaajennusten muutoksista järjestelmässä. Vertailuhistorian pituus on melko vapaasti valittavissa. Työkalu tuottaa raportin XML-tiedostona, jota voi tutkia esimerkiksi tekstieditorilla ja jonka voi ottaa talteen myöhempää selvitystä varten. Kirjoitushetkellä Change Analysis Diagnostic Tool toimii vain Windows XP SP2:n englanninkielisessä versiossa.

Sivua päivitetty 20.04.2007   Tulostusversio Tulostusversio