ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

More documents

Recommendations

Info

pc_zone Крис касперски I am KAV I am NOD Руткитам — бой! Поиск вирусов своими руками Как антивирусы детектят заразу, всем хорошо известно. Ни фига они ее не детектят! Даже когда последнему ламеру ясно, что с компьютером что-то не то, живность резвится и размножается, а разные там KAV'ы и NOD'ы молчат и только успокаивают: все хорошо. Короче, отправляем антивирусы в топку и включаем свой мозг, зарываясь в недра операционной системы и проверяя на стерильность все злачные места обитания малвари. азвели тут зоопарк, понимаешь. Это же непорядок конкретный! А непорядок надо разгребать. Р Конечно, наивно надеяться, что в интеллектуальном состязании с зловредной малварью можно справиться по готовым рецептам. Существует тысяча и один способ внедрения в систему, и с каждым днем появляются все новые и новые, учитывающие ошибки своих предшественников и умело маскирующиеся так, что не найдешь. Но крутой малвари очень немного. Она стоит нехилых денег (от десяти килобаксов) и пишется строго под заказ для целенаправленных атак на конкретные организации. Выпускать ее в живую природу никто не собирается, и 99% заразы, с которой нам приходится иметь дело, — это примитивные пионерские вирусы, написанные в процессе изучения Delphi или Visual Basic’а и органически неспособные к маскировке. Обнаружить их присутствие в системе — все равно что два байта переслать. Главное — это научиться основам анализа, освоить пару-тройку простых, но эффективных приемов, после чего технику боя можно шлифовать и самостоятельно, уже без помощи автора. Хронология вирусного внедрения, или машина времени Операционные системы семейства Windows, помимо атрибута времени последней модификации файла, также поддерживают атрибуты времени / 032 создания и времени последнего обращения. Как это можно использовать на практике А вот как: после установки системы все файлы в каталогах Windows и System32 имеют идентичные (ну или практические идентичные) атрибуты времени создания, позволяя отслеживать файлы, установленные позднее. Допустим, мы установили систему со всеми необходимыми программами и больше ничего не ставили. Тогда все исполняемые файлы и динамические библиотеки из каталогов Windows и System32, созданные позднее этого срока, с высокой степенью вероятности являются троянскими программами. Естественно, дату создания файла легко изменить, и умной малвари ничего не стоит замаскироваться. Но, как показывает практика, очень редкая малварь заботится об этом и на времени создания вредоносные программы палятся косяками. А как быть, если мы беспорядочно устанавливали новые программы и удаляли старые В этом случае в каталогах Windows и System32 появляется множество файлов с различными датами создания, принадлежащих честным программам, и малвари ничего не стоит затеряться среди них. На самом деле, практически каждому честному файлу из каталогов Windows и System32 соответствует своя программа из каталога Program Files, представленная одним или несколькими файлами и ярлыками на рабочем столе или в меню «Пуск». Проглядывая файлы в каталогах Windows и System32, смотрим на время xàêåð 06 /102/ 07
pc_zone Внешний вид программы Anti-Spy Info База знаний, содержащая сведения о различных файлах, как вредоносных, так и вполне «законопослушных» их создания и пытаемся найти файлы с близким временем создания в каталоге Program Files. И если этот поиск завершается успешно, считаем, что с файлом все ОК. В противном случае устраиваем суровые разборки на предмет того, откуда он взялся и кто его установил. Некоторые программы (например, хранители экрана) устанавливают себя только в каталог Windows, не касаясь остальных, что делает их похожими на малварь. Остается лишь смотреть на дату создания и мучительно вспоминать, что мы устанавливали на свой жесткий диск и когда. Описанная методика может показаться кому-то слишком утомительной и ненадежной, однако она выручала автора не раз и не два, в то время как технически более продвинутые приемы отдыхали, не показывая никакого позитивного результата. Самое главное — анализ даты создания файлов не требует никаких навыков и доступен каждому, в то время как дизассемблированием владеют единицы. ОК, будем считать, что мыщъх тебя уговорил. А раз так, то переходим от слов к делу. Для просмотра даты создания открываем проводник Windows, в меню «Вид» выбираем «Таблица», затем «Вид Настройка столбцов» и взводим галочку напротив «Создан». Щелкнув мышью по шапке таблицы, выбираем сортировку по убыванию даты создания, после чего самые свежие файлы окажутся в начале списка. Ой, сколько здесь всего интересного! На компьютере в каталоге System32 обнаруживается множество файлов preflib_Prefdata*, автоматически создаваемых системой и хранящих данные о счетчиках производительности. Пропускаем их и идем дальше. Видим пару подозрительных файлов — pdfcmnt.dll и MSMPIDE.DLL, дата создания которых совпадает с датой создания каталога PDFCreator в Program Files. Ага, значит, это динамические библиотеки, принадлежащие одноименной программе, установленной в обозначенное время. Затем опять идут счетчики производительности и динамические библиотеки кодека FFShow — ff_vfw.dll и ff_vfw. manifest, а за ними — подозрительный исполняемый файл epinh.exe, не соответствующий ни одному каталогу из Program Files. Идем на www.virustital.com (или любую другую online-службу аналогичного типа) и прогоняем epinh.exe через кучу антивирусов, часть из которых начинает ругаться на неизвестный вирус. Соответственно, вину подследственного можно xàêåð 06 /102/ 07 / считать полностью доказанной, без права на оправдание. Часто после посещения сайтов «клубничной» тематики или запуска файлов, полученных из ненадежных источников (например, самостоятельно пришедших со свежим мылом), приходится гадать: поимели нас или нет Поиск файлов, созданных за последние сутки, является идеальным средством выявления заразы. Нажимаем «Пуск -> Найти Файлы и папки», указываем диски, на которых следует осуществлять поиск (как минимум необходимо указать диск, содержащий операционную систему), в «Параметрах поиска» взводим галочку напротив «Даты» и говорим искать файлы, созданные за последний день, после чего давим кнопку «Найти» и ждем результатов. В нашем случае в каталоге System32 обнаружился свежеиспеченный файл hldrrr.exe, маскирующийся под самораспаковывающийся rar-архив, который мы не создавали и который, очевидно, является зловредной программой, подлежащей проверке на Virus Total с последующим удалением. Объекты автозагрузки В уже существующие исполняемые файлы современная малварь внедряется крайне редко, предпочитая прописывать себя в автозагрузку (условно), запускаясь вместе с загрузкой операционной системы. Появление программы, которую мы не устанавливали, в объектах автозагрузки свидетельствует о вирусном заражении. Причем, в отличие от даты создания файла, которую ничего не стоит изменить, замаскироваться в объектах автозагрузки сложно — на это способна только самая продвинутая малварь, именуемая руткитом, но о руткитах мы поговорим позднее. Проблема в том, что объектов автозагрузки очень много. Они живописно разбросаны по ветвям реестра, полный перечень которых занял бы целую страницу, а может быть, даже две. Однако нет никакой необходимости в том, чтобы держать весь этот легион технических подробностей у себя в голове. Существует множество утилит, самостоятельно сканирующих список автоматически загружаемых объектов с учетом последних веяний времени (Microsoft добавляет все больше и больше веток реестра с прописанными путями к файлам и/или динамическим библиотекам, которые необходимо загрузить при старте операционной системы). Одной из таких утилит является условно-бесплатная программа Anti-Spy Info, которую можно загрузить с одноименного DVD Полезные утилиты для поиска вирусов и руткитов, документация по SoftICE — это лишь малая часть того, что ты найдешь на DVD-диске. i Еще удобнее осуществлять поиск файла с помощью FAR'а (консоль рулит, причем совершенно без руля), выбрав детальный режим отображения панелей Right/Left Control — 5 (не путать с F5!) и нажав для сортировки по дате создания. 033
Page 1: июнь 06(102) 200 Охладис
Page 4 and 5: MEGANEWS 004 MegaNews Все нов
Page 6: meganews Meganews Дмитрий Т
Page 10: meganews Кликни здесь
Page 14 and 15: meganews Аудитория рун
Page 16 and 17: meganews Корпорация Micro
Page 18 and 19: ferrum Саркис «DeDal» Ге
Page 20 and 21: ferrum Так нам заправи
Page 22 and 23: ferrum Георгий Ходин В
Page 24 and 25: ferrum $43 Spire VertiCool IV $45 S
Page 26 and 27: ferrum Антон Зацепин У
Page 28 and 29: ferrum чением по выдел
Page 30: ferrum ВАСИЛИЙ СТЕПАН
Page 33: ferrum NEXX NF-810 Сверхтон
Page 37 and 38: pc_zone Поиск файлов, с
Page 40 and 41: pc_zone Хвостатый гуру
Page 42 and 43: pc_zone DVD У тебя будет
Page 44: pc_zone поддерживаемо
Page 47 and 48: pc_zone Страница с пар
Page 49 and 50: pc_zone Создаем алиас
Page 51 and 52: implant изображение на
Page 53 and 54: implant Первая версия
Page 55 and 56: implant Смышленый робо
Page 57 and 58: взлом Вот такая она
Page 59 and 60: взлом Исследование
Page 61 and 62: взлом Acrobat Control в IE т
Page 63 and 64: взлом xÀêåð 06 /102/ 07
Page 65 and 66: взлом http://www.raadio7.ee/sa
Page 67 and 68: взлом http:// Предупре
Page 69 and 70: взлом Состояния ли
Page 71 and 72: взлом Леонид «R0id» С
Page 73 and 74: взлом именно тот, к
Page 75 and 76: взлом Схема подклю
Page 77 and 78: взлом Предлагаемая
Page 79 and 80: взлом Схема защиты
Page 81 and 82: взлом Сдвиг в WinHex н
Page 83 and 84: Ты наверняка слыша
Page 85 and 86:
взлом запустить ма
Page 87 and 88:
сцена Вечеринка 100xP
Page 89 and 90:
сцена Спасибо! Огро
Page 91 and 92:
сцена Глава Intel Пол
Page 93 and 94:
сцена Клон Intel 8080 —
Page 95 and 96:
сцена Уголовный ко
Page 98 and 99:
unixoid Битва супербиз
Page 100 and 101:
unixoid Fedora Core: создани
Page 102 and 103:
unixoid KUbuntu: разбиение
Page 104 and 105:
unixoid Пингвинья ищей
Page 106 and 107:
unixoid Использование
Page 108 and 109:
unixoid Top 10 ошибок кон
Page 110 and 111:
unixoid ! Все знают, что
Page 112 and 113:
coding Игорь «Spider_NET» А
Page 114 and 115:
coding Полученный спи
Page 116 and 117:
coding Deeoni$ / DeeoniS@gmail.com
Page 118 and 119:
coding Новая ОС от Microso
Page 120:
coding case RegNtPreSetValueKey: st
Page 123 and 124:
coding _TEXT:0000000B mov eax, 0EBE
Page 125 and 126:
креатиff Золотая кл
Page 127 and 128:
креатиff «Суть «зол
Page 129 and 130:
units две. Поскольку Fl
Page 131 and 132:
Ñòàâèì Windows ïî ñåòè
Page 133 and 134:
ХАКЕР.PRO Консоль уп
Page 135 and 136:
ХАКЕР.PRO Переходим
Page 137 and 138:
ХАКЕР.PRO Все настро
Page 139 and 140:
ХАКЕР.PRO . PyICQt.pid 127.0.0
Page 141 and 142:
ХАКЕР.PRO Пример кум
Page 143 and 144:
ХАКЕР.PRO POP EBP POP ESI POP
Page 145 and 146:
ХАКЕР.PRO Barracuda от Seaga
Page 149:
2007 x 06(АПРЕЛЬ)97 102
show all

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online