Защити свою "ИНФУ"
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
?но, список служб есть и на MSDN и еще много где в сети, так что просто взять и сравнить -проблемы не составит. После таких вот действий вы сможете получить имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и посмотрим еще несколько моментов. Как вы, наверное, уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог. Кстати файлы для нормальной работы, вот они:
- ntldr
- boot.ini
- pagefile.sys
- Bootfont.bin
- NTDETECT.COM
Больше ничего быть не должно.
Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно.
А теперь, самое время рассказать о вирусах шпионах.
Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале, один хороший программист правильно назвал их блохами ослика. Простейший шпион очень часто скрывается за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере, то считайте, что за вами следят. Уж очень отчетливо видно, если у вас вдруг изменилась стартовая страница браузера, тут уж и говорить нечего. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно будут шпионами, однако, как правило, это так и, поэтому, позвольте здесь отнести их к шпионам. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице. Тем же javascript можно даже закачивать файлы и выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются и работают на машине жертвы.
Первый - это реестр. Вирус может сидеть в автозагрузке, а может и вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт, только однажды заменил стартовую страницу, вопросов нет, - надо очистить этот ключ в реестре. Если же после очищения, через некоторое время ключ снова появляется, то вирус запущен и постоянно производит обращение к реестру. Если вы имеете опыт работы с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValue) и проследить, какая программа, кроме стандартных, производит обращении к реестру.
Второй - это именно перехватчики системных событий, так называемые хуки. Как правило, хуки используются больше в кейлоггерах, и представляют собой библиотеку, которая отслеживает и по возможности изменяет системные сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому исследуя главный модуль программы, вы ничего интересного не получите.
И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe. Тут опять же есть пара способов, это прикрепление с помощью BHO и просто внедрение своей библиотеки в исполняемый файл. Разница в том, что Browser Helper Object описано и предложено самой корпорацией MS, и используется как плагин к браузеру, а внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет.
Итак, если у вас не все в порядке с этими ключами, и вы хотите разобраться дальше, то смотрим дальше.
Ищем лучше
Перейдем к следующему, находим и убиваем тулбар. Как известно вирмейкеры гонятся за минимализацией и зашифрованностью кода. То есть ни один тулбар как правило не будет лежать в открытом виде. Во-первых код можно уменьшить, а во-вторых если кто нибудь (чаще даже не антивирус, а конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD и производим массовое сканирование импортируемых библиотек. Библиотеки от microsoft естественно написаны на visual C++ и, ничем не упакованы, поэтому если мы видим упакованную или зашифрованную библиотеку то 99% это то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее и посмотрите результат. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от MS там так и написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. Напоследок хочу еще заметить, что библиотека *.dll не обязательно может внедряться в процессы. В ОС Windows есть такое полезное приложение, как rundll32.exe, и можно запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно прописать это внутри зараженного файла. Тогда вы будете видеть только свои зараженные файлы, которые маловероятно будут детектироваться антивирусом, и процесс rundll32.exe, и больше ничего. Как быть в таких случаях? Здесь уже придется углубляться в структуру файла и ОС. Shturmovik www.gh0sts.org
Часть II. Внутренняя защита: антивирусы
Несмотря н?/p>