Estrategia protección frente a software malicioso
Algún experto me puede comentar si considera válida la siguiente estrategia para detectar virus y software malicioso:
1. Hacer una limpieza del la máquina y del registro de Windows. De tal forma que quede en un estado "sano".
2. Arrancar el PC y grabar una salida del comando TASKLIST /SVC. Con esto tendría una lista de procesos "de confianza" junto con las DLL's que cargan.
3. Grabar unas salidas de:
- REG QUERY HKLM /S
- REG QUERY HKCU /S
- REG QUERY HKCR /S
- REG QUERY HKU /S
- REG QUERY HKCC /S
Con esto tendría unas plantillas de todo el registro de Windows en un estado "de confianza".
4. Cada cierto tiempo, comparar esas plantillas de confianza obtenidas en los puntos anteriores con ejecuciones actuales y ver la diferencia. Para los procesos y claves nuevas encontradas, buscar en Internet si son virus o no.
Estoy pensando hacer un programa que automatice todo el proceso, pero antes tengo que saber si con eso contemplo todas las posibilidades, o por el contrario los Virus y programas malintencionados pueden esconderse en otra parte.
1. Hacer una limpieza del la máquina y del registro de Windows. De tal forma que quede en un estado "sano".
2. Arrancar el PC y grabar una salida del comando TASKLIST /SVC. Con esto tendría una lista de procesos "de confianza" junto con las DLL's que cargan.
3. Grabar unas salidas de:
- REG QUERY HKLM /S
- REG QUERY HKCU /S
- REG QUERY HKCR /S
- REG QUERY HKU /S
- REG QUERY HKCC /S
Con esto tendría unas plantillas de todo el registro de Windows en un estado "de confianza".
4. Cada cierto tiempo, comparar esas plantillas de confianza obtenidas en los puntos anteriores con ejecuciones actuales y ver la diferencia. Para los procesos y claves nuevas encontradas, buscar en Internet si son virus o no.
Estoy pensando hacer un programa que automatice todo el proceso, pero antes tengo que saber si con eso contemplo todas las posibilidades, o por el contrario los Virus y programas malintencionados pueden esconderse en otra parte.
1 respuesta
Respuesta de texpaok
2
Creo que tu enfoque es erróneo, porque no debes detectar virus y software malicioso, sino que te has de PREVENIR frente a virus y ataques maliciosos. Si he entendido bien tu enfoque, ¿lo qué quieres es buscar virus o malware una vez que tu ordenador haya podido ser infectado?
No comentas nada de las medidas de protección que piensas usar (antivirus, anti-spyware, etc.); lo único que hacías con tu propuesta es verificar si algún "bicho" se ha colado en tu ordenador, pero tendrías que verificar muchiiiiiiiiísimas claves, con la ingente cantidad de tiempo que eso te llevaría, y nunca estarías seguro de si se te ha pasado algo. En mi opinición, no es una estrategia válida.
Lo que yo te recomiendo es tomar medidas de protección que hagan el trabajo por ti: antivirus, políticas de seguridad, cortafuegos, etc. Si quieres echa un vistazo a mi web; ahí encontrarás manuales y foros sobre temas de seguridad.
Espero haberte sido de ayuda y no te enfades por la crítica ;)
No comentas nada de las medidas de protección que piensas usar (antivirus, anti-spyware, etc.); lo único que hacías con tu propuesta es verificar si algún "bicho" se ha colado en tu ordenador, pero tendrías que verificar muchiiiiiiiiísimas claves, con la ingente cantidad de tiempo que eso te llevaría, y nunca estarías seguro de si se te ha pasado algo. En mi opinición, no es una estrategia válida.
Lo que yo te recomiendo es tomar medidas de protección que hagan el trabajo por ti: antivirus, políticas de seguridad, cortafuegos, etc. Si quieres echa un vistazo a mi web; ahí encontrarás manuales y foros sobre temas de seguridad.
Espero haberte sido de ayuda y no te enfades por la crítica ;)
Te agradezco la respuesta.
Lo que no me gusta de los antivirus es que son pesados, ralentizan la máquina, a veces recelan de procesos inocuos y van siempre por detrás de los virus. Unido eso a que mi PC tiene ya unos cuantos años, mi idea era la de conocer yo mismo qué procesos se están ejecutando (en base a la comparativa con ejecuciones anteriores) y detenerlos, localizarlos y eliminarlos en caso de que no me ofrezcan garantías.
Lo que realmente quería preguntar es si todo virus se esconde bajo el nombre de un proceso visible a través del administrador de tareas (o del comando TASKLIST), aunque pueda hacerlo bajo el nombre de un proceso 'conocido', como pueda ser el svchost o alguna de las dll's que carga éste.
Esta es la pequeña aclaración que te pido...
Un saludo
Lo que no me gusta de los antivirus es que son pesados, ralentizan la máquina, a veces recelan de procesos inocuos y van siempre por detrás de los virus. Unido eso a que mi PC tiene ya unos cuantos años, mi idea era la de conocer yo mismo qué procesos se están ejecutando (en base a la comparativa con ejecuciones anteriores) y detenerlos, localizarlos y eliminarlos en caso de que no me ofrezcan garantías.
Lo que realmente quería preguntar es si todo virus se esconde bajo el nombre de un proceso visible a través del administrador de tareas (o del comando TASKLIST), aunque pueda hacerlo bajo el nombre de un proceso 'conocido', como pueda ser el svchost o alguna de las dll's que carga éste.
Esta es la pequeña aclaración que te pido...
Un saludo
No todo el software malicioso (no debes preocuparte sólo de los virus) es visible desde el administrador de tareas; por ejemplo, los rookits están diseñados específicamente para ocultar su actividad, modificando librerías y herramientas del sistema operativo e, incluso, su kernel. Frente a este tipo de malware no tendrías protección.
Estoy de acuerdo contigo en lo del antivirus, y si tienes pocos recursos disponbiles en el ordenador puede suponer un engorro bastante importante, cuando no un problema. No sé qué sistema operativo tienes en tu ordenador, pero podrías hacer uso de las herramientas que te proporciona el propio sistema operativo: utilización de cuentas sin privilegios de administración, desactivar servicios innecesarios que puedan suponer un riesgo, utilización de políticas para impedir la modificación de los componentes básicos del sistema operativo (registro, archivos de sistema, etc.). En mi web ofrezco un manual con configuraciones básicas de seguridad que puedes adaptar a tu entorno, por ejemplo eliminando el antivirus si te es muy pesado. Además, hay una sección sobre políticas de grupo (para sistemas windows), que son una herramienta poderosísima a la hora de proteger el ordenador, y que son poco utilizadas.
En fin.
Estoy de acuerdo contigo en lo del antivirus, y si tienes pocos recursos disponbiles en el ordenador puede suponer un engorro bastante importante, cuando no un problema. No sé qué sistema operativo tienes en tu ordenador, pero podrías hacer uso de las herramientas que te proporciona el propio sistema operativo: utilización de cuentas sin privilegios de administración, desactivar servicios innecesarios que puedan suponer un riesgo, utilización de políticas para impedir la modificación de los componentes básicos del sistema operativo (registro, archivos de sistema, etc.). En mi web ofrezco un manual con configuraciones básicas de seguridad que puedes adaptar a tu entorno, por ejemplo eliminando el antivirus si te es muy pesado. Además, hay una sección sobre políticas de grupo (para sistemas windows), que son una herramienta poderosísima a la hora de proteger el ordenador, y que son poco utilizadas.
En fin.
