Вопрос или проблема
Я скачал программу под названием Process Monitor из Microsoft Store. Я вижу подозрительные IP-адреса, возникающие среди процессов cod.exe. Более того, эти подозрительные IP-адреса общаются через xbox порт, пока я играю на ПК. Также она нашла папку Cobalt на моем диске C, которую, если я поищу, я не смогу найти ничего.
У меня нет никаких взломанных или пиратских программ на моем ПК.
Что я могу сделать?
Прикреплены изображения.
Чтобы ответить на ваш вопрос: вроде как, но не совсем. Процессы имеют ACL (точно так же, как файлы и ключи реестра), и возможно изменить этот ACL. Обычно другим процессам разрешено изменять память процесса, что в общем-то необходимо для внедрения нового кода в процесс. Вы можете удалить и даже запретить это разрешение, что предотвратит взаимодействие других процессов с вашим. ОДНАКО, это не обязательно решает проблему. Во-первых, потому что любой другой незащищенный процесс, работающий под вашей учетной записью, может переопределить ACL (вы – и, следовательно, все процессы, которые вы запускаете – являетесь владельцем ACL и всегда можете его изменить). Во-вторых, потому что существуют и другие способы внедрения, такие как установка DLL, определенные ключи реестра или прямое изменение исполняемого бинарного файла (хотя это может требовать, чтобы пользователь-внедритель был администратором… имейте в виду, что администраторы также могут переопределять ACL, и также такие магазины, как Steam и т. д., часто устанавливают игры, в которых недоступные пользователи могут их изменять).
На всякий случай, UDP-пакеты, которые отправляет cod.exe, действительно выглядят довольно странно, но они не обязательно зловредные. Они могут быть частью системы античита. Они также могут быть частью игры, если она общается с несколькими серверами или с ПК других игроков напрямую. Трафик, который отправляет ваша копия, может вовсе не быть необычным.
Ответ или решение
Ответ на вопрос о защите от прямой инъекции процессов требует комплексного подхода, учитывая природу угроз и технологии, которые могут быть использованы злоумышленниками.
Основные аспекты защиты от инъекций процессов
-
Понимание процесса инъекции: Инъекция процессов — это метод, который позволяет злоумышленнику внедрять код в адресное пространство другого процесса. Это может произойти через различные техники, такие как манипуляция исполняемыми файлами или использование уязвимостей в программном обеспечении.
-
Проверка загружаемых программ:
- Убедитесь, что все установленные программы загружены из надежных источников. Избегайте использования программ, загруженных из сомнительных источников.
-
Использование антивирусного программного обеспечения:
- Установите надежное антивирусное решение, которое может обнаружить и блокировать нежелательные процессы и инъекции. Регулярно обновляйте базу данных антивируса.
-
Мониторинг сети:
- Используйте инструменты мониторинга сети для отслеживания непонятной активности, особенно если вы заметили подозрительные IP-адреса, связанные с процессом
cod.exe. Это поможет выявить, есть ли аномальные соединения или данные, которые могут указывать на вредоносную активность.
- Используйте инструменты мониторинга сети для отслеживания непонятной активности, особенно если вы заметили подозрительные IP-адреса, связанные с процессом
-
Изоляция и контроль доступа:
- Используйте встроенные механизмы управления учетными записями пользователей (UAC) в Windows для ограничения прав доступа к процессам и программам. Это поможет предотвратить выполнение инъекций со стороны программ, работающих с повышенными привилегиями.
-
Проверка на наличие вредоносных файлов:
- Проверьте ваше устройство с помощью инструмента Malewarebytes или аналогичного, чтобы выявить и удалить возможные вредоносные файлы или подозрительные папки, такие как "Cobalt".
-
Анализ активности процессов:
- Используйте обученный инструмент, такой как Process Monitor или аналогичный, для отслеживания активности выбора
cod.exe. Это позволит вам получить полезную информацию о процессах, которые могут быть запущены вместе с данной игрой.
- Используйте обученный инструмент, такой как Process Monitor или аналогичный, для отслеживания активности выбора
-
Безопасная работа в интернете:
- Обратите внимание на использование VPN-соединений и брандмауэров для повышения безопасности в интернете. Это почувствует ограничение доступа к нежелательным IP-адресам.
-
Регулярные обновления:
- Убедитесь, что операционная система и все установленные программы регулярно обновляются. Обновления часто содержат патчи безопасности, которые могут закрывать уязвимости, использующиеся для инъекции процессов.
Заключение
Хотя средний пользователь может предпринять шаги, чтобы ограничить вероятность инъекций процессов, полностью предотвратить их невозможно без значительно более глубоких технических знаний и сложных мер безопасности. Важно быть настороженным и обращать внимание на любые изменения в поведении вашего компьютера. Если проблема продолжает возникать или вы подозреваете, что ваше устройство стало жертвой атаки, разумно обратиться к профессионалам для глубокой проверки и устранения возможных угроз.