MinerFider - обнаружение скрытого майнера by Morphine1

Morphin1 · 22.04.2018

Была тут тулза по обноражению майнера , stop miner называется , автор любезно поделился исходниками и я решил ее немного допилить.

О чем программа : программа позволяет промониторить список запущенных процессов и их нагрузку на ваш компьютер , тем самым определить словили ил вы на вашу машину скрытый майнерок. Эдакий аналог диспетчера задач )))

Преимущества :

Затруднительно скрыть майнер от этой утилитки , т.к нет описания окна , а название процесса можно изменить просто переименовав программку.
=========================
Можно узнать родительский процесс майнера и их директории (кем и от куда был запущен сам майнер) , а так-же снять скрытость с майнера и его родителя.
=========================
Просмотр автозагрузки , которая через реестр.
=========================
Лёгкое обнаружение скрытого майнера на вашей машине.

Как пользоваться (для нубов :Biggrin) :

Мониторим все запущенные процессы , и если видим , что у процесса слишком большое число в колонке CPU,% (>15) , то скорее всего это майнер.
Вписываем в поле "PID процесса с которым работаем" pid процесса с подозрительной нагрузкой
Убиваем процесс/снимаем скрытость и смотрим в директорию где лежит этот файл. (Если это Appdata|ProgramData , то 90% это майнер)
Если хотим узнать кем был запущен майнер , то еще жмем на "Узнать PID родительского процесса" , и смотрим в п.3 (если хотите удалить род.процесс , то его надо доп.переписать в PID процесса с которым работаем)
Если видите подозрительные файла в автозагрузке через реестр , то надо их удалить )

Скрин программы :

Скачать : https://yadi.sk/d/ErFw02vM3UexBy
VT: https://www.virustotal.com/#/file/7...5b339e473012b962b8fc6c6e47a4c3d644f/detection

====
Создан чат телеграм : https://t.me/joinchat/EKBPXE_q3NOOJL3n6wybZg
Там вы можете задать любой вопрос/предложить идею/что то обсудить касаемо моего софта.
====

Morphin1 · 22.04.2018

N3X឴ написал(а):
хм..

очень хороший коммент. Наполненый смыслом и переживаниями :Bb

Remove · 22.04.2018

Morphin1 написал(а):
Была тут тулза по обноражению майнера , stop miner называется , автор любезно поделился исходниками и я решил ее немного допилить.

О чем программа : программа позволяет промониторить список запущенных процессов и их нагрузку на ваш компьютер , тем самым определить словили ил вы на вашу машину скрытый майнерок. Эдакий аналог диспетчера задач )))

Преимущества :

Затруднительно скрыть майнер от этой утилитки , т.к нет описания окна , а название процесса можно изменить просто переименовав программку.

=========================

Можно узнать родительский процесс майнера и их директории (кем и от куда был запущен сам майнер) , а так-же снять скрытость с майнера и его родителя.

=========================

Просмотр автозагрузки , которая через реестр.

=========================

Лёгкое обнаружение скрытого майнера на вашей машине.

Как пользоваться (для нубов :Biggrin) :

Мониторим все запущенные процессы , и если видим , что у процесса слишком большое число в колонке CPU,% (>15) , то скорее всего это майнер.

Вписываем в поле "PID процесса с которым работаем" pid процесса с подозрительной нагрузкой

Убиваем процесс/снимаем скрытость и смотрим в директорию где лежит этот файл. (Если это Appdata|ProgramData , то 90% это майнер)

Если хотим узнать кем был запущен майнер , то еще жмем на "Узнать PID родительского процесса" , и смотрим в п.3 (если хотите удалить род.процесс , то его надо доп.переписать в PID процесса с которым работаем)

Если видите подозрительные файла в автозагрузке через реестр , то надо их удалить )

Скрин программы :

Скачать : https://yadi.sk/d/ErFw02vM3UexBy
VT: https://www.virustotal.com/#/file/7...5b339e473012b962b8fc6c6e47a4c3d644f/detection

Завтра проверим на дедике с подозрением на майнер) спасибо

Morphin1 · 22.04.2018

Remove написал(а):
Завтра проверим на дедике с подозрением на майнер) спасибо

Расскажешь о результатах ))

Remove · 22.04.2018

Morphin1 написал(а):
Расскажешь о результатах ))

Окей) отпишу)

Morphin1 · 23.04.2018

Протестировал все возможные майнеры .
На данный момент ни один из майнеров не скрывается от данной програмки

Morphin1 · 26.04.2018

-Изменена функция убийства процесса
Ссылка на скачку указана в теме

S.a.s.h.a · 26.04.2018

Софт просто конфетка. Не пожалел что купил, автору респект одназначно.

uziuser · 27.04.2018

S.a.s.h.a написал(а):
Софт просто конфетка. Не пожалел что купил, автору респект одназначно.

Он же бесплатный, оло

Morphin1 · 29.04.2018

uziuser написал(а):
Он же бесплатный, оло

ему надо было доп.функции замутить, договорились за копеечку )

Lotos · 29.04.2018

Норм утилита, спасибо. Пригодится когда-нибудь)

Morphin1 · 29.04.2018

Lotos написал(а):
Норм утилита, спасибо. Пригодится когда-нибудь)

Спасибо , тоже надеюсь , что кому-то да пригодится )

Morphin1 · 12.05.2018

Оказывается удобная штука эта утилитка )
Сам создал - сам пользуюсь.
Майнеры определяются на раз-два

Morphin1 · 20.05.2018

В скором времени добавлю GPU нагрузку , будем фиксить и GPU майнеры

sobrsemel · 24.05.2018

https://www.virustotal.com/#/file/5...e9a3d474437c0df5d8b7da1d24b19bfe361/detection

Morphin1 · 25.05.2018

sobrsemel написал(а):
https://www.virustotal.com/#/file/5...e9a3d474437c0df5d8b7da1d24b19bfe361/detection

Смешно ... И о чем это говорит ?

Remove · 25.05.2018

Morphin1 написал(а):
Смешно ... И о чем это говорит ?

О том что кто слил его на VT долбоёб

sobrsemel · 25.05.2018

Morphin1 написал(а):
Смешно ... И о чем это говорит ?

ну хуй знает о чем это говорит

Morphin1 · 25.05.2018

sobrsemel написал(а):
ну хуй знает о чем это говорит

На момент написания линк с вт прикреплен. Как работает ВТ - хз , что он даже на легальный софт детект вешает.
Смени иконку и ты удивишься детекту.
Боитесь - не пользуйтесь или отдайте ответственному на проверку со склейкой

eax · 25.05.2018

Morphin1 написал(а):
Затруднительно скрыть майнер от этой утилитки , т.к нет описания окна

у любой программы есть хендел , да и скрывать по отлову имени окна или процесса не лучшая затея есть гораздо интересней методы

Morphin1 написал(а):
Можно узнать родительский процесс майнера и их директории

ZwQueryDirectoryFile + хук . к дополнению всего этого могу сказать что бинарного файла вообще может не быть на диске а сам код после каждого запуска/перезапуска выполняться в адресном пространстве легитимного процесса

Morphin1 написал(а):
Просмотр автозагрузки , которая через реестр.

на сегодняшний день в паблике 46 вариантов автозагрузки, и это только в паблике )

Morphin1 написал(а):
Лёгкое обнаружение скрытого майнера на вашей машине.

разве того что сделан из говна и палок )

итог сгодиться если тот кто делал "майнер" не слышал что такое низкоуровневое программирование и недокументированные апи
в целях развития стоит посмотреть такие вещи как YARA с учетом того что 99,9% майнеров сделаны на основе xmrig собрать боткилл не составит особого труда