Uczymy się analizować log OTL.

[Fr3shMak3r]

Większość z was pewnie wie co to OTL.

Jest to program do wytwarzania szczegółowej analizy systemu pod kątem złośliwego oprogramowania .

Zaczynamy od początku .

 

 

1. Tutaj mamy datę wytworzonego loga ,lokalizacja logów ,Wersja systemu Windows to są te istotne :

 

OTL logfile created on: 2013-02-10 21:04:32 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Documents and Settings\Mateusz\Moje dokumenty\Downloads
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

Tutaj chyba się nie muszę tłumaczyć bo to nawet osoba zielona powinna to zrozumieć .

 

 

 

2. Tutaj mamy ilość pamięci RAM całkowitej (767,48 Mb Total Physical Memory) i zajętej (297,68 Mb Available Physical Memory )

 

 

 

767,48 Mb Total Physical Memory | 297,68 Mb Available Physical Memory | 38,79% Memory free
1,83 Gb Paging File | 1,41 Gb Available in Paging File | 77,01% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 

 

 

3. Tutaj mamy ilość dysków (partycji) całkowitej oraz zajętej .

Także pokazany jest dany system plików (NTFS ,FAT32)

 

 

Drive C: | 232,88 Gb Total Space | 194,49 Gb Free Space | 83,51% Space Free | Partition Type: NTFS
Drive D: | 15,92 Gb Total Space | 5,78 Gb Free Space | 36,29% Space Free | Partition Type: NTFS
Drive E: | 43,93 Gb Total Space | 1,38 Gb Free Space | 3,15% Space Free | Partition Type: FAT32
Drive F: | 14,65 Gb Total Space | 13,93 Gb Free Space | 95,05% Space Free | Partition Type: NTFS 

 

 

4. Tutaj mamy z jakiego konta został wytworzony log oraz skan plików młodszych niż 30 dni :

 

 

Computer Name: MATEUSZ-8A78D9E | User Name: Mateusz | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

 

5. Teraz przechodzimy do tych istotnych rzeczy .

Najpierw są uruchomione procesy ,podana jest data zainstalowania programu oraz data produkcji sterownika jakby to powiem , rozmiar pliku i producent w tym przypadku to będzie ATI :

 

2004-09-29 10:37:26 | 000,028,672 | ---- | M] (ATI Technologies Inc.) -- C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe 

 

Jak widać jest z 2004 roku .

Mam trochę przestarzałą kartę graficzną ATI Radeon 9550 .

Więc się nie dziwić .

 

Co nas powinno zaniepokoić w procesach.

Lokalizacja pliku.

 

Np.

PRC - [2012-09-29 10:37:26 | 000,028,672 | ---- | M] C:\Documents and Settings\Mateusz\Temp\sadhrew.pif

Oraz :

PRC - [2008-04-15 12:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\Mateusz\Temp\explorer.exe 
PRC - [2008-04-15 12:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\Mateusz\Temp\Isaac.exe

Jak widać producent to Microsoft ,ale spójrzcie na lokalizacje plików .

Proces ładujący się z folderu TEMP (tymczasowy) nie brzmi dziwnie ?

Tutaj patrzymy na lokalizacje plików ,oraz producenta.

Rzadziej na rozmiar plików bo być może plik explorer.exe mógłby zostać podmieniony bądź inny plik systemowy .

W innym przypadku jeśli antywirus wykryje wirusa w pliku np. systemowym a lokalizacja jest poprawna to może oznaczać że w systemie siedzi wirus plikowy który zaraża i niszczy pliki wykonywalne na wszystkich dyskach. Przykładem jest Win32/Sality bądź wirus Parite jest ich wiele ale wymienione macie w poradniku w Usuwanie znanych wirusów

 

 

6. Tutaj mamy załadowane moduły bibliotek .dll przechowujące dane programów ,oraz rózne implementacje .

 

 

MOD - [2013-02-10 18:20:06 | 002,076,672 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_ad984fce\system.xml.dll
MOD - [2013-02-10 18:20:02 | 002,994,176 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_72996099\system.windows.forms.dll
MOD - [2013-02-10 18:19:58 | 000,835,584 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_43014e78\system.drawing.dll
MOD - [2013-02-10 18:19:56 | 001,929,216 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_70c748e5\system.dll
MOD - [2013-02-10 18:19:50 | 003,289,088 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_d3e8d152\mscorlib.dll
MOD - [2013-02-10 18:19:07 | 002,039,808 | ---- | M] () -- c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll
MOD - [2013-02-10 18:19:07 | 001,335,296 | ---- | M] () -- c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll
MOD - [2013-02-10 18:19:07 | 001,245,184 | ---- | M] () -- c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll
MOD - [2013-02-10 18:19:07 | 001,216,512 | ---- | M] () -- c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll
MOD - [2013-02-10 18:19:07 | 000,466,944 | ---- | M] () -- c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll
MOD - [2013-02-10 18:19:07 | 000,368,640 | ---- | M] () -- c:\windows\assembly\gac\system.management\1.0.5000.0__b03f5f7f11d50a3a\system.management.dll
MOD - [2013-02-10 18:19:07 | 000,323,584 | ---- | M] () -- c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll
MOD - [2013-02-10 18:19:06 | 000,007,680 | ---- | M] () -- c:\windows\assembly\gac\accessibility\1.0.5000.0__b03f5f7f11d50a3a\accessibility.dll
MOD - [2013-02-10 18:17:47 | 012,459,888 | ---- | M] () -- C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\PepperFlash\11.5.31.139\pepflashplayer.dll
MOD - [2013-01-26 03:35:06 | 000,460,240 | ---- | M] () -- C:\Program Files\Google\Chrome\Application\24.0.1312.57\ppgooglenaclpluginchrome.dll
MOD - [2013-01-26 03:35:04 | 004,012,496 | ---- | M] () -- C:\Program Files\Google\Chrome\Application\24.0.1312.57\pdf.dll
MOD - [2013-01-26 03:34:16 | 001,552,848 | ---- | M] () -- C:\Program Files\Google\Chrome\Application\24.0.1312.57\ffmpegsumo.dll
MOD - [2010-03-15 11:28:22 | 000,141,824 | ---- | M] () -- C:\Program Files\WinRAR\RarExt.dll
MOD - [2008-06-19 20:53:03 | 000,060,416 | ---- | M] () -- C:\WINDOWS\system32\antiwpa.dll
MOD - [2008-04-15 12:00:00 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [2004-09-29 10:10:14 | 000,069,632 | ---- | M] () -- C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll

W tej sekcji raczej nie zwracamy uwagi chyba że podejrzany moduł ładuje się z podejrzanej lokalizacji .

 

 

7. Teraz mamy Services (Usługi).

W usługach aplikacje udostępniają użytkownikom typowe funkcje, takie jak aplikacje klient/serwer, serwery sieci Web, serwery baz danych i inne aplikacje oparte na serwerach, zarówno lokalnie, jak i w sieci.

W tej sekcji jedynie ja zwracam uwagę na niepotrzebne działające usługi które po pewnym czasie w pewnym stopniu zamulają komputer .

Przykładem jest:

SRV:64bit: - [2012/10/09 17:00:16 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)

 

Oraz puste wpisy takiej jak :

 

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE -- (AVTasks2)
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe -- (AVBackup)
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService)

 

Chociaż niektórych pustych wpisów be powinno się usuwać przykładem są :

SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
SafeBootMin: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
SafeBootNet: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found

 

Te wpisy były i będą prawidłowe to jest normalne w przypadku XP .

W usługach można usuwać zbędne rzeczy jak jakieś updater'y toolbary itp .

 

 

8. Teraz mamy sekcje Drivers (sterowniki) .

Są odpowiedzialne za prawidłowe działanie różnych podzespołów w Software .

Wirusy mają w tym celu wiele do życzenia .

Podam kilka przykładów :

 

1 Przykład .

Tutaj widoczny jest Rootkit MBR Sinowal ma na celu wykradanie poufnych danych głownie to konta bankowe .

Charakterystyczne nazwy sterowników xpsec oraz xpcip.

xpsec jest to podrobiona nazwa od sterownika systemowego ipsec.sys

 

DRV - File not found [Kernel | On_Demand | Running] --C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] - C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)

 

 

Przykład 2

Tutaj będzie widoczny Wirus Sality który ma na celu zarażanie i niszczenie plików wykonywalnych na wszystkich dyskach .

Tutaj za bardzo się nie będę rozpisywał bo wszystko jest opisane w poradniku usuwanie znanych wirusów .

Przykładowy sterownik amsint32 :

 

DRV - File not found [Kernel | On_Demand | Running] -C:\WINDOWS\System32\drivers\ftjorn.sys -- (amsint32)

 

 

 

Następne rzeczy oraz różne poprawki i jakaś oprawa graficzna będzie udoskonalona w najbliższych dniach.

Proszę o nie zamykanie tematu .

[CODER_BEST]

Czekałem właśnie na ten poradnik od ciebie. Bardzo przydatna rzecz, powinien być podpięty. Like !!!

 

Tylko podaj jeszcze jakieś przykłady wirusów i będzie ekstra

 

 

@down: A mi się właśnie skończyły jutro do szkoły

[Fr3shMak3r]

Podam tylko jutro sie tym zajme bo dzis jestem padniety i ide spac.

Akurat ferie mam to wiecej czasu bede mial

[Anoizm]

Dawaj freszu ;D Nauczę się czegoś nowego ;p

[Fr3shMak3r]

Dodałem Services i Drivers .

[lucyfer07]

Nie chcę krytykować TuT'a ani nic takiego bo nie wiem co jeszcze napiszesz, ale na razie opisujesz program (nie czepiam się tego). Lecz jak dla mnie aby analizowac Logi OTL trzeba miec jakies pojecie o systemie itp.

[natan1234]

czekam az dodasz usuwanie i robienie skrypty ;x

[Wiolkaa]

Fajny i przydatny ;D

[Xoni]

Sorry, że odkopię ale takie poradniki mało dają. Najlepiej analizować każdą linijkę i wklepywać do google.pl proces, przez parę dni połapiemy się i będziemy infekcje widzieć na wierzchu. Tak napisał mi dobry znajomy z forum dobreprogramy, miał rację.  

 

Takie poradniki tylko pomagają początkującym połapać się o co chodzi, to nie jest analizowanie logów. 

[Janusz.]

Sorry, że odkopię ale takie poradniki mało dają. Najlepiej analizować każdą linijkę i wklepywać do google.pl proces, przez parę dni połapiemy się i będziemy infekcje widzieć na wierzchu. Tak napisał mi dobry znajomy z forum dobreprogramy, miał rację.

 

Takie poradniki tylko pomagają początkującym połapać się o co chodzi, to nie jest analizowanie logów. 

poradnik ogólnie jest dobrze wykonany. fakt, lepiej sprawdzać linijka po linijce ale tutaj jest tylko opis każdej "zakładki" i co w niej się znajduje np. w PRC są procesy, w DRV są sterowniki itd itd. 

[Xoni]

poradnik ogólnie jest dobrze wykonany. fakt, lepiej sprawdzać linijka po linijce ale tutaj jest tylko opis każdej "zakładki" i co w niej się znajduje np. w PRC są procesy, w DRV są sterowniki itd itd. 

 

To raczej każdy ogarnięty użytkownik Windowsa wie, co to jest ;d