Manuali.it
Ciao e Benvenuto/a nel Forum di Manuali.it !
Non sei registrato? Registrati subito cliccando QUI! E utilizza tutte le funzionalita' del sito!
Ci vediamo sul Forum !
Lo Staff di Manuali.it
Oggi è mar gen 23, 2018 9:19 pm

Tutti gli orari sono UTC +2 ore




Apri un nuovo argomento Questo argomento è bloccato, non puoi modificare o inviare ulteriori messaggi.  [ 1 messaggio ] 
Autore Messaggio
 Oggetto del messaggio: Guida alla lettura del log HiJackThis
MessaggioInviato: gio mag 21, 2009 9:13 pm 
Non connesso
Moderatore
Moderatore
Avatar utente

Iscritto il: gio set 13, 2007 4:35 pm
Messaggi: 895
Guida alla lettura del log HiJackThis

1- Premessa

HiJackThis è un programma free (libero), che inizialmente fu progettato da Merijn.org, poi successivamente, precisamente nel marzo del 2007, fu acquistato dalla nota società Trend Micro.

1.1- Funzione del programma

Tale programma è stato ideato per analizzare a fondo le modifiche effettuate su chiavi di registro del sistema, file host, i vari processi attivi in memoria e i componenti aggiuntivi del browser. Il software mostra anche informazioni relative al sistema in uso (del tipo: versione del proprio sistema operativo, service pack installato, versione del browser Internet Explorer).

1.2- Installazione e Download

HiJackThis può essere prelevato dal seguente sito web e nelle seguenti modalità:

Dowload HiJackThis zip ( Scarica il file nel archivio zip).

Installare il programma è molto facile: all'avviso “Eseguire il file“ confermate cliccando con il mouse su Esegui .
Proseguendo verrà richiesto il percorso dove installare, confermate cliccando con il mouse su Install; finita l'installazione sarete pronti per avviare il programma.

1.3- Primo Avvio

Per avviare HiJackThis recarsi in :

Start→ Tutti i Programmi → HiJackThis;


cliccare con il mouse su "Main Menu", poi su "Do a system scan and save a logfile" (Fig. 1)

Immagine

La prima schermata può sembrare al quanto difficoltosa ma noi tratteremo soltanto la prima voce: "Do a system scan and save a logfile", attendete il completamento della scansione e la comparsa a video di un file block note (Fig. 2)

Immagine

che analizzeremo in modo approfondito nei capitoli successivi.

2 – Intestazione e running processes

La prima parte del file possiamo definirla “l'intestazione”: qui sono riportate le informazioni relative alla versione di HiJackThis utilizzata, la data di scansione, il proprio sistema operativo e la versione del browser Internet Explorer. Per comprendere meglio riporto di seguito un esempio di intestazione:

Codice:
Logfile of Trend Micro HijackThis v2.0.2   “versione del programma HiJackThis”
Scan saved at 14.52.18, on 16/10/2008        “data e ora di scansione”
Platform: Windows XP SP3 (WinNT 5.01.2600)  “il proprio sistema operativo”
MSIE: Internet Explorer v7.00 (7.00.6000.16735)  “versione di Internet Explorer”


A seguire si può notare la voce Running processes: si tratta dei processi che sono attivi al momento in cui abbiamo eseguito la scansione, di seguito un esempio :

Codice:
Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe


Bisogna prendere in grande considerazione l'analisi di questa parte del log, quindi controllate in modo dettagliato ogni processo, se non si conosce uno o più dei processi vi rimando alla sezione 3 e 3.1 dove si tratta la ricerca on-line.

2.1- Significato delle sezioni (R0, R1, F0, F1,N1,N2,N3,N4.)


Ora che abbiamo ben compreso i processi in uso possiamo proseguire nella spiegazione delle varie voci (R0, R1, F0,F1,F3,N1,N2,N3,N4).
Dobbiamo precisare che in un log di HiJackThis non sempre sono presenti tutte le voci sopra elencate.
Tornando al discorso precedente, di seguito riporto la spiegazione per ogni singola voce:

Gruppo R

R0: si riferisce alla pagina iniziale di Internet Explorer anche detta Home Page
R1: indica la pagina di ricerca predefinita

Esempio chiavi R0 e R1:

Codice:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =


Gruppo F

F0: Tale voce si riferisce all' istruzione shell in system.ini; è da precisare che tali voci sono presenti in Windows 9x e servono per determinare i programmi che dovranno interagire con la funzionalità shell. Per chi non conoscesse, la shell ha lo scopo di far “comunicare” con il sistema, gestire le finestre ecc.
Possiamo dire che gli elementi F0 sono con molte probabilità elementi nocivi, escludendo explorer.exe

F1: Questa voce sarà presente solo se usiamo sistemi operativi Windows 3.1, 95, 98 e ha lo scopo di mostrare i programmi che dovranno fare lo startup al avvio del sistema, generalmente si può dire che se non si utilizza uno dei sistemi operativi sopra elencati la presenza di questi voci è molto sospetta, ma fate comunque molta attenzione a ciò che rimuovete: a volte potrebbero far riferimento a vecchi programmi; quindi è bene documentarsi. Per questo vi riporto ai paragrafi 3 e 3.1.

Gruppo N


N1: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 4
N2: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 6
N3: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 7
N4: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Mozilla

2.2- Componenti attivi e programmi caricati in avvio

Molto spesso capita che si installino programmi che di default partono al avvio, di fatto però anche i virus e applicazioni dannose tendono ad avviarsi automaticamente, quindi è bene controllare con esattezza il percorso dell'applicazione; le voci relative all'avvio automatico sono tutte quelle che riportano la sigla 04; alcuni esempi di seguito:

Codice:
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
04 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe


Per molte applicazioni e processi di Windows è indispensabile partire al avvio, per un corretto funzionamento del sistema, per tanto consiglio di eliminare solo se si è certi che il programma è dannoso o non è necessario che parta all'avvio.

2.3- Note tecniche su percorsi e chiavi di registro

Gruppo O1
: la voce fa riferimento alla modifica del file hosts, molti malware hanno lo scopo di apportare modifiche al file per far in modo che l'utente venga indirizzato su pagine mirate

Gruppo O2: la voce 02 fa riferimento a oggetti chiamati BHO (Browser Helper Objects), tali oggetti vengono sfruttati ed eseguiti molto spesso per aggiungere funzionalità al browser Internet Explorer; ma dato che non hanno bisogno di alcuna autorizzazione da parte del utente per essere installati sono il punto di forza di molte applicazioni dannose, controllate in modo accurato quindi che non ci siano voci 02 maligne; di seguito alcuni esempi:

Codice:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\Active

02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

Gruppo O3: la seguente voce fa riferimento alle varie Toolbar

Gruppo O7: il gruppo fa riferimento alla funzionalità di Windows di disabilitare l'accesso al registro di sistema, nel caso in cui la seguente stringa è presente nel log:

Codice:
O7 -HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

e non avete applicato tale impostazione è bene fixare la voce.

Gruppo O8: gli elementi di questo gruppo fanno parte delle applicazioni che vanno ad integrarsi con il Browser di Microsoft, troverete di fatto un gruppo 08 molto vasto, a volte però tale applicazioni non sono “benigne”, è bene quindi rimuovere le voci che vi risultano sospette, c'è da precisare che tali chiavi di registro devono poi essere eliminate manualmente in modalità provvisoria, di seguito alcuni esempi di voci 08:

Codice:
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000


Gruppo O9
: questo Gruppo fornisce la lista dei plug-in che sono installati dal utente nella barra degli strumenti, molti di questi sono del tutto innocui, a volte però possono essere maligni, si consiglia quindi di eliminare tutte le voci sospette, come nel punto precedente, fixando le voci tali plung-in non verranno rimossi ma si dovrà provvedere alla rimozione degli stessi in modalità provvisoria; a seguire alcune voci 09 di esempio:

Codice:
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Programmi\Messenger\msmsgs.exe


Gruppo O14: questa voce fa riferimento ad un file che contiene tutti i parametri da ripristinare in caso di reset del browser, molto spesso viene modificato questo file per far cambiare i valori con quelli del file maligno; un esempio di voce 014:

Codice:
O14 - IERESET.INF: START_PAGE_URL=http://global.***.com/


Gruppo O16
: fanno riferimento a questa voce tutti i controlli ActiveX installati e presenti nella cartella C:\Windows\Downloaded Program Files. È frequente l'uso di questi controlli, quindi eliminate la voce solo se ci sono nomi che non vi sono noti; esempi di questo tipo di voce:

Codice:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} – http://me*senger*zone.msn.com/IT-IT/a-UNO1/GAME_UNO*.cab

O16 - DPF: {8E0D*DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab



Gruppo O23: sotto questa voce sono elencati tutti i servizi di sistema che il programma non conosce; di seguito alcuni esempi:

Codice:
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

3- La ricerca on-line

Un'importante strumento per capire se una voce è maligna o no è sicuramente internet, una fonte di informazione non indifferente; di seguito riporto alcuni siti che vi segnalano informazioni su file e/o processi. (ringrazio H5N1 per avermi fornito il materiale)

http://www.bleepingcomputer.com/filedb/
http://www.processlibrary.com/
http://www.pcreview.co.uk/startup/Altre risorse:
http://secunia.com/advisories/
http://www.prevx.com/malwarecenter.asp
http://www.processlibrary.com/
http://www.whatsrunning.net/whatsrunnin ... ntral.aspx

Altre risorse:
http://secunia.com/advisories/
http://www.prevx.com/malwarecenter.asp
http://www.processlibrary.com/
http://www.whatsrunning.net/whatsrunnin ... ntral.aspx
http://www.sysinfo.org/startuplist.php
http://support.microsoft.com/

Idee:
http://www.malwarehelp.org/understandin ... -hjt1.html
http://www.pchell.com/support/hijackthistutorial.shtml
http://hjt-data.trendmicro.com/hjt/anal ... -codes.htm

Le risorse verranno aggiunte di volta in volta. Qualsiasi utente che volesse fornire il link a siti inerenti è pregato di segnalarlo, verrà poi valutato dai moderatori se inserire il sito nella guida.

3.1- Come utilizzare i motori di ricerca e gli strumenti on-line

Un uso corretto delle delle query di ricerca può portare a risultati ben specifici e può avvantaggiare nel ritrovamento di informazioni su file e/o processi interessati. Uno strumento potente per questo scopo è sicuramente il motore di ricerca Google (http://www.google.it). Per ricercare informazioni basta scrivere il nome del processo o del file incriminato; un esempio potrebbe essere più facile da comprendere:

Se devo ricercare informazioni sul processo explorer.exe scriverò in Google explorer.exe, da questa ricerca verranno fuori una miriade di informazioni; per un analisi più selettiva e mirata è bene usare le query + o -: di seguito viene spiegato l'utilizzo di questa sintassi;

Ricerca con "+"

L'operatore + è fondamentale nella ricerca, questo serve per far si che Google includa nella ricerca caratteri che normalmente non verrebbero considerati; un esempio ci farà capire meglio:

Voglio ricercare un episodio specifico di una serie come guerre stellari, nel mio caso l'episodio 2. Digiterò quindi:

Codice:
Guerre stellari +2


NB: da notare lo spazio messo dopo la parola "guerre stellari" e il +2

Ricerca con "OR"

A volte è necessario includere più termini nella ricerca questo può essere fatto mediante l'uso del operatore OR da notare il maiuscolo, ad esempio, per cercare informazioni su una vacanza a Londra o a Parigi:

Codice:
Londra OR Parigi


Ricerca per dominio


Per fare in modo che Google restringa la ricerca solamente a uno specifico sito web, digitate i termini da ricercare, seguiti dalla parola "site", dai due punti (":") e dal nome del dominio; ad esempio vogliamo cercare la parola "office" al interno del sito http://www.manuali.it scriveremo:
Codice:
Office site:www.manuali.it


Ricerca per intervallo numerico (disponibile solo in http://www.google.com)

Come da titolo questo tipo di ricerca è possibile sfruttando il motore che si torva alla pagina http://www.google.com: tale metodo permette di reindirizzare la ricerca ad un intervallo di numeri, ad empio vogliamo cercare in rete un lettore DVD che abbia un prezzo compreso tra 50 e 100 €. Scriveremo:
Codice:
lettore DVD €50..€100


NB: dall'esempio si capisce che deve prima essere inserita la parola chiave, il prezzo minimo , i puntini, il prezzo massimo.

Analizzare il log via WEB


C'è la possibilità di analizzare on-line il proprio log, il sito su cui è possibile fare ciò è:

http://www.hijackthis.de/it

Come prima cosa è bene copiare il contenuto del log di HiJackThis: per fare ciò basta recarsi in modifica → seleziona tutto, copiate il testo precedentemente selezionato (combinazione di tasti Ctrl + c). Incollate il log nell'apposito spazio bianco presente nel sito (Fig.3)

Immagine

e premete sul tasto Analizza; in alternativa si può selezionare il log da analizzare direttamente dal proprio Hard Disk utilizzando il tasto Sfoglia (Fig.4)

Immagine

L'aiuto che il sito fornisce consiste in una segnalazione delle:

-Voci maligne: con una X rossa
-Voci sicure: con una V verde
-Elementi sospetti: con una X giallastra
-Elementi non conosciuti: con un punto interrogativo

Per comprendere meglio riporto un esempio (Fig.5)

Immagine

Il servizio si basa su un database creato negl'anni dalle segnalazioni degli utenti e da un database di base del sito stesso. C'è da prendere in considerazione che questo metodo non è del tutto affidabile, ma fornisce informazioni indicative, quindi se non si è sicuri effettuate una ricerca con i motori di ricerca (Vedi sopra) oppure chiedete supporto al Forum.



Condividi: Aggiungi: Guida alla lettura del log HiJackThis a Technorati Aggiungi: Guida alla lettura del log HiJackThis a OKNOtizie Aggiungi: Guida alla lettura del log HiJackThis a Segnalo Aggiungi: Guida alla lettura del log HiJackThis a Digg Aggiungi: Guida alla lettura del log HiJackThis a Boomark.it Aggiungi: Guida alla lettura del log HiJackThis a Furl Aggiungi: Guida alla lettura del log HiJackThis a de.li.cious Aggiungi: Guida alla lettura del log HiJackThis a Yahoo Aggiungi: Guida alla lettura del log HiJackThis a Stumbleupon Aggiungi: Guida alla lettura del log HiJackThis a Google Aggiungi: Guida alla lettura del log HiJackThis a BlogLines Aggiungi: Guida alla lettura del log HiJackThis a SocialDust.com Aggiungi: Guida alla lettura del log HiJackThis a Live.com Aggiungi: Guida alla lettura del log HiJackThis a Wikip.it
Top
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Questo argomento è bloccato, non puoi modificare o inviare ulteriori messaggi.  [ 1 messaggio ] 

Tutti gli orari sono UTC +2 ore


Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite


Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi

Cerca per:
Vai a:  
cron
2000 - 2011 Manuali.it © - P.IVA 00992330670 - Tutti i diritti riservati - Note Legali - Cookie Policy - Condizioni di utilizzo del sito - Privacy - E' vietata qualsiasi riproduzione parziale o completa se non autorizzata - # Powered by Cykel Software
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Traduzione Italiana phpBB.it
phpBB SEO