HijackThis ed analisi log

[Corry744]

Salve a tutti ragazzi, come da titolo, spero di essere nella sezione giusta, sapete dove posso ora analizzare un file log di HijackThis?
Non trovo servizi validi che permettono di farlo, grazie.

[lupoguru]

ultimo aggiornamento risale al 2011....... perchè lo vuoi usare?

[Corry744]

ultimo aggiornamento risale al 2011....... perchè lo vuoi usare?

Per analizzare se ho qualche problema, il pc si carica più lento all'avvio del sistema, ma se ormai è superata ed è totalemnte inutile con Windows 11, quale strumento consigli di usare?

[Kriss2]

La versione più aggiornata è HiJackThis+ (l'ultima versione è la 3.4.0.17 beta di Gennaio 2025), la puoi scaricare da GitHub:
GitHub - dragokas/hijackthis: A free utility that finds malware, adware and other security threats · GitHub
Per quanto riguarda l'analisi del log, esistono degli "analizzatori" online che però non sono infallibili. Se vuoi fare le cose seriamente, ti suggerisco di farti aiutare da esperti su alcuni Forum specializzati nella rimozione del malware, come ad es. BleepingComputer. Ti avviso però che i tecnici oggi utilizzano strumenti più moderni come FRST (Farbar Recovery Scan Tool) o MiniToolBox.
Ciao

[Corry744]

Ok ti ringrazio @Kriss2 sei gentilissimo, vedrò di approfondire

[JohnHarris]

Salve a tutti ragazzi, come da titolo, spero di essere nella sezione giusta, sapete dove posso ora analizzare un file log di HijackThis?
Non trovo servizi validi che permettono di farlo, grazie.
Per analizzare se ho qualche problema, il pc si carica più lento all'avvio del sistema, ma se ormai è superata ed è totalemnte inutile con Windows 11, quale strumento consigli di usare?
La versione più aggiornata è HiJackThis+ (l'ultima versione è la 3.4.0.17 beta di Gennaio 2025), la puoi scaricare da GitHub: Scopri l’emozione autentica https://sportitaliabet-it.com del calcio con Sportitaliabet — Prova il brivido delle Scommesse Sportive Italiane!
Per quanto riguarda l'analisi del log, esistono degli "analizzatori" online che però non sono infallibili. Se vuoi fare le cose seriamente, ti suggerisco di farti aiutare da esperti su alcuni Forum specializzati nella rimozione del malware, come ad es. BleepingComputer. Ti avviso però che i tecnici oggi utilizzano strumenti più moderni come FRST (Farbar Recovery Scan Tool) o MiniToolBox. Ciao

Onestamente HijackThis oggi è più una curiosità “storica” che uno strumento davvero utile su Windows 11. Ai tempi di XP e Windows 7 era praticamente obbligatorio per capire cosa partiva all’avvio o quali processi erano sospetti, ma ormai molte minacce moderne funzionano in modo diverso e sfuggono facilmente a quel tipo di analisi. FRST invece è molto più completo e viene ancora usato spesso nei forum di sicurezza seri. Anche Autoruns di Microsoft è ottimo per controllare tutto ciò che parte all’avvio del sistema, ed è molto più dettagliato. Se il PC è solo lento all’accensione, prima ancora di pensare a malware controllerei programmi in avvio automatico, stato dell’SSD e aggiornamenti driver. A volte basta disattivare due o tre software pesanti e il sistema torna veloce come prima.

[Kriss2]

Salve, sui punti principali hai perfettamente ragione ma l'analisi contiene alcune "semplificazioni" rischiose: intanto HiJackThis non è morto (è tuttora mantenuto attivamente su GitHub), ma ha cambiato ruolo. Il problema riguarda il contesto d'uso di HiJackThis: esso mostra cosa è modificato, non se è "maligno". Per l'analisi dei log serve un operatore esperto. Poi, definirlo "inutile", a mio avviso è eccessivo: non è uno strumento di rimozione, è uno strumento di "triage" rapido. FRST è "molto più completo", è vero, ma attenzione a presentarlo come una soluzione universale senza tenere conto dei rischi. Innanzitutto, FRST non è uno strumento per principianti (l'analisi dei log è complessa e richiede un'interpretazione esperta), inoltre è stato progettato per funzioni di recovery/safe-mode, non per uso quotidiano (in un ambiente normale potrebbe essere rischioso o inefficace), infine alcuni anti-virus lo segnalano come "potenzialmente dannoso" poiché modifica impostazioni di sistema. Per quanto riguarda Autoruns, è vero che è molto più dettagliato ma anche qui occorre prestare attenzione: intanto Autoruns mostra tutto, anche le voci di sistema (qualcuno inesperto potrebbe disabilitare componenti di sistema critici), non è in grado di distinguere tra "buono" e "cattivo" (occorre conoscere bene le firme digitali) e infine, per analisi malware avanzate, va combinato con altri strumenti tipo VirusTotal, Process Monitor e così via. Sul fatto che il malware moderno utilizza metodi di evasione avanzati hai ragione ma questi strumenti, per così dire, "tradizionali" rimangono comunque utili per identificare "persistenze classiche" (vale a dire servizi, run keys, startup folder, ecc.) tuttora ampiamente sfruttate. Infine nell'analisi ciò che manca del tutto è il contesto operativo, non si fa alcuna distinzione tra i vari "scenari" riguardanti la sicurezza e la maggior parte delle asserzioni, benché corretta, appare "assoluta" (il contesto va specificato) e potenzialmente fuorviante. Non è una gara a chi possiede lo strumento più potente, ma a chi è capace di utilizzarlo nel giusto contesto.
A presto

[Corry744]

@JohnHarris
Ok capisco la tua affermazione su HijackThis, forse in Windows 11 avrà perso rilievo nel suo utilizzo, ma come afferma Kriss2, è sicuramente ancora utile per le analisi nei processi di avvio ed in background del sistema operativo e dei programmi installati, verificando anche che non vi siano processi malevoli o software installati secodnariamente per errore o svista, quando ad esempio in occasione hai installato software principali che ti servivano o ancora altre chiavi modificate che possono essere magari anche fixate, ci sono guide online che lo spiegano quali in caso fixare o eleminare.
Questa è la mia opinione, poi posso anche sbagliare ma almeno basilarmente a qualcosa ancora serve, ovviamente va complementato ed integrato con altri strumenti come ha affermato Kriss2

[Kriss2]

Salve, si presti attenzione al fatto che asserire che HighJackThis è "sicuramente utile" senza alcuna qualifica del livello di competenza richiesto e senza citare le sue limitazioni tecniche è molto rischioso per utenti non esperti. Inoltre, per quanto riguarda le "guide online sulle chiavi da fixare", l'operazione di fixing è cieca: una stessa chiave di registro può essere legittima in un sistema e malevola su un altro. HighJackThis non emette "verdetti", mostra solo dati: la decisone di "fixare o meno" richiede una competenza che la maggior parte degli utenti domestici non ha. E poi comunque le guide invecchiano rapidamente, se una guida è datata può causare danni. La necessità di integrare HighJackThis è corretta ma ... qual è la priorità ? Qual è la gerarchia d'uso ? Quali strumenti occorre priorizzare ? Si tratta di una raccomandazione generica. Ciò che è del tutto assente in questa descrizione è il profilo dell'utente finale, non si fa nessuna distinzione tra i vari scenari d'uso e le avvertenze critiche sui limiti di copertura e sui falsi positivi. Torno a ripetere che non si tratta di una gara a chi ha più tool, ma a chi è capace di usarli con le necessarie competenze e nei giusti contesti.
A presto

[Corry744]

Mi trovi pienamente d'accordo, del resto è un software utile ma al contempo appunto molto delicato da utilizzare, se non lo si conosce bene, è facile mandare in crash o danneggiare il sistema operativo, quindi questo Hijackthis come altri particolari e specifici come questo vanno usati con la massima competenza e conoscenza tecnica

[Kriss2]

Sui punti fondamentali non c'è nulla da dire, sono tutti validi, ma occorre anche segnalare che le asserzioni sono tutte troppo generiche e operativamente poco utili per chi vuole imparare. Non è solo HighJackThis ad essere "delicato", TUTTI gli strumenti di analisi sistemica di sicurezza richiedono competenza: il problema non riguarda lo strumento, ma l'approccio più o meno informato dell'utente. Il sistema si può danneggiare facilmente, ma perché ? Questi strumenti vanno usati con competenza, è vero, ma quale competenza ? Quando e come si acquisisce tale competenza ? Il problema non è "strumentale" ma è la mancanza di un modello (o processo) decisionale: se non si sa distinguere tra una voce legittima e una malevola (questo è quello che fa HighJackThis, mostrare voci di sistema legittime e potenzialmente dannose senza distinguerle automaticamente), qualsiasi strumento diventa pericoloso. Senza un modello di apprendimento "strutturato", anche uno strumento innocuo può diventare molto pericoloso.
A presto

[Corry744]

Pienamente d'accordo con la tua affermazione @Kriss2, il discorso non fa una piega ragionevolmente è proprio così, in pratica se non si ganno conoscenze e competenze anche uno strumento utile può diventare pericoloso per il proprio sistema operativo, questo è dovuto ovviamente proprio alla scarsa conoscenza e competenza nell'uso di tali strumenti che se invece usati da esperti fanno la differenza, risolvendo di fatto molte problematiche del proprio sistema operativo, vale il discorso in pratica che chi li usa deve sapere bene cosa sta fixando o eleminando prima di intraprendere l'operazione, quindi direi che sei stato abastanza esaustivo a tal merito.

[darnota]

Salve, bisogna considerare che, HighJackThis, senza una ottima conoscenza del proprio sistema operativo ha causato alcune volte bei problemi, HijackThis è stato uno strumento molto popolare nei primi anni 2000 per analizzare processi, chiavi di registro, servizi e componenti che si avviavano automaticamente in Windows. Tuttavia oggi presenta diversi limiti: Non viene aggiornato con la stessa frequenza dei moderni strumenti di sicurezza.
Non riconosce molte tecniche malware attuali (fileless malware, attacchi PowerShell, persistence avanzata, ecc.).
Produce molti risultati che richiedono interpretazione manuale.
Non offre protezione in tempo reale né capacità EDR (Endpoint Detection and Response).
Farò un post con altri software che potrebbero essere utili ma hanno sempre bisogno di una buona esperienza e non improvvisazioni generiche

[Kriss2]

Darnota ha descritto correttamente tutti i limiti di HighJackThis nel quadro della sicurezza moderna, ma si faccia attenzione a non confondere uno strumento diagnostico con uno strumento di protezione. Molti utenti ricodano HighJackThis come un anti-malware, ma non era quello il suo scopo (doveva solo mostrare informazioni, mentre l'interpretazione spettava all'analista): in realtà non è mai stato progettato per riconoscere malware, non ha mai avuto un motore di rilevamento sofisticato. E' vero che, oggi, HighJackThis non è una soluzione di sicurezza avanzata e non è in grado di competere con strumenti contemporanei ma non è nemmeno un "reperto archeologico" inutile: semplicemente svolge un ruolo più limitato rispetto a quello che molti utenti gli attribuivano 20 anni fa. La domanda "vera" è: "per cosa lo stiamo usando ?". Se lo usassimo come sostituto di un moderno anti-virus o di un EDR, sarebbe una pessima idea, se invece lo usiamo come strumento diagnostico per comprendere alcuni meccanismi di avvio del sistema, può avere ancora una sua utilità. Se vogliamo capire cosa parte all'avvio, analizzare rapidamente il sistema, individuare alcune evidenti anomalie ed effettuare troubleshooting, uno strumento del genere può avere ancora un certo valore. Però il panorama attuale, come è stato già ricordato, è completamente diverso rispetto al 2003-2005.
A presto

[darnota]

Hijackthistiani, HijackThis era progettato principalmente per aiutare a diagnosticare programmi indesiderati su Windows. Ovvero non era stato progettato come un antivirus, bensì come uno strumento di diagnosi e analisi del sistema per individuare modifiche sospette causate da malware, spyware, adware e soprattutto dai cosiddetti browser hijacker "Su questo non concordo completamente con Kriss2". Non effettuava automaticamente una pulizia "intelligente" come i software moderni; piuttosto, generava un log dettagliato di tutti i componenti di sistema sospetti o modificati.

Sia all'epoca sia negli anni successivi, richiedeva l'intervento di personale esperto o di tecnici in grado di analizzare il log e individuare manualmente ciò che era legittimo e ciò che poteva essere dannoso. Ricordo che l'analisi e lo studio dei log richiedevano molto, molto tempo e devo ammettere che non erano rari gli errori. Nel frattempo, gli utenti protestavano per la lentezza delle risposte.

Per questo motivo mi trovo pienamente d'accordo con voi. Il caro Merijn Bellekom realizzò un ottimo progetto, ma oggi chi si azzarderebbe ancora a utilizzarlo?