ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

More documents

Recommendations

Info

pc_zone Просмотр даты создания в FAR'e Результат проверки epinh.exe в online-службе Virus Total, прогоняющей файл через множество антивирусов сайта (http://anti-spy.info) и использовать 30 дней, а затем громко сказать «Кря!» или (о ужас!) приобрести платную версию, впрочем, это уже не относится к обсуждаемой проблеме. Короче, запускаем Anti-Spy Info, и на экран тут же выводится список активных процессов и автоматически загружаемых объектов (тип запуска того или иного объекта приведен в графе «Запуск»). Все, что нам нужно делать, — это следить за списком автозагрузки на предмет появления в нем новых объектов. А чтобы не запутаться в программе, предусмотрен вывод информации в файл («Файл Экспорт в…»); просто сохраняем отчет при каждом запуске, а затем сличаем его с предыдущей версией. Если никаких приложений мы не устанавливали, а список автозагрузки пополнился новыми жильцами, это малварь. В Anti-Spy Info заложен достаточно мощный эвристический механизм, анализирующий активные процессы и автоматически загружаемые объекты и определяющий вероятность их принадлежности к вирусам. К сожалению, эвристика очень часто ошибается, в результате чего честные программы классифицируются как «потенциально опасные», а малварь получает рейтинг «похожа на безвредную». Изюминка Anti-Spy Info (о которой не догадался ни KAV, ни NOD32) в том, что она поддерживает базу знаний, включающую в себя множество файлов, чья вредоносность оценивается опытными пользователями Anti-Spy Info самостоятельно. Возьмем, например, файл SSSensor.dll, найденный в компьютере автора, которому Anti-Spy Info присвоила рейтинг 82%, что есть бэд. Заходим на http://anti-spy.info/file/index.html, вводим «SSSensor.dll» в строку поиска и через несколько секунд узнаем, что SSSensor.dll представляет собой компонент SyGate Personal Firewall, который действительно установлен на компьютере, а следовательно, на счет вирусов можно не волноваться. К сожалению, поиск в базе знаний осуществляется только по имени, без учета содержимого, и грамотной малвари ничего не стоит прикинуться честной программой. Однако подавляющее большинство современных вирусов написано пионерами, которые не научились даже генерировать случайные имена, и самое большее, на что они способы, — это зашить внутрь малвари несколько имен, выбираемых наугад. Как следствие, поиск по именам дает надежные позитивные результаты, то есть если в базе знаний такой-то файл отнесен к вирусам, в его агрессивной природе можно не сомневаться. А вот на негативный результат полагаться нельзя, и все «неопасные» файлы необходимо прогнать через антивирусы, чтобы SoftICE обнаружил процесс sysrtl, который не зацепил диспетчер задач, что свидетельствует о факте активной маскировки / 034 xàêåð 06 /102/ 07
pc_zone Поиск файлов, созданных за последние сутки, позволяет обнаружить малварь по горячим следам RootkitRevealer — миниатюрная программа с огромнейшими возможностями удостовериться, что мы имеем дело с честной программой, а не маскирующейся малварью. Также обращай внимание и на дату создания. Если файл представляет собой компонент какого-то приложения, то время его создания должно совпадать со временем создания всех остальных принадлежащих приложению файлов. Игры с руткитами в прятки Руткитом называют продвинутую мальварь, скрывающую свое присутствие на компьютере. В эпоху господства MS-DOS такие программы называли «стелс-вирусами» (Stealth), но сейчас эта терминология признана устаревшей. К тому же от стелс-вирусов, ныкающих свою тушу в заражаемых файлах, руткиты отличаются тем, что используются для сокрытия произвольных файлов, процессов и сетевых соединений — тех, которые им укажет разработчик малвари. В исполняемые объекты они внедряются редко. Можно даже сказать, что руткиты вообще никуда не внедряются, но легче от этого не становится. Сокрытые файлы не отображаются ни в проводнике, ни в FAR'е, а сокрытые процессы отсутствуют в диспетчере задач, поэтому ни Anti-Spy Info, ни поиск по дате создания не покажут ничего интересного. Ну как дальше жить! На самом деле, руткиты обнаружить легче всего. Активная маскировка выдает факт внедрения! Достаточно получить список файлов/процессоров/сетевых соединений, обратившись напрямую к внутренним функциям ядра, и сравнить полученный результат с данными, возвращенными высокоуровневыми API-функциями операционной системы. Всякое расхождение между ними будет свидетельствовать о заражении. Намерения руткита определить сложнее (некоторые легальные защитные механизмы устроены по принципу руткитов), однако нам этого и не требуется. Хорошие программы не маскируются! Даже если руткит не собирается причинять нам вред, используемые им методики стелсирования — это потенциальный глюкодром, нарушающий нормальную работу операционной системы. А кому нужны лишние критические ошибки и голубые экраны смерти! Для поиска руткитов можно воспользоваться бесплатной программой Rootkit Revealer, написанной знаменитым исследователем Windows NT Марком Руссиновичем. Она занимает (в упакованном виде) чуть больше двухсот килобайт (причем половину объема отъедает помощь): http://download.sysinternals.com/Files/RootkitRevealer.zip, но, несмотря на свою простоту, обнаруживает (по утверждению ее создателя) все руткиты, представленные на сайте www.rootkit.com — основном источнике руткитов для пионеров и прочих парнокопытных. Впрочем, серьезные руткиты в публичный доступ не выкладываются и стоят от 10k-15k денег в баксах. Среди них есть и такие, которые знают о существовании Rootkit Revealer и блокируют его запуск с невнятным сообщением об ошибке или же используют специальные алгоритмы обхода, с которыми Rootkit Revealer уже не справляется. Однако вероятность словить такую продвинутую заразу крайне мала, и потому результатам работы Rootkit Revealer можно вполне доверять. Rootkit Revealer — единственная утилита, работающая с файловой системой/реестром на физическом уровне и способная обнаружить практически все руткиты уровня ядра, которые KAV, Dr. Web и другие коммерческие антивирусы даже не пытаются искать. NOD32 обнаруживает большинство руткитов прикладного уровня и некоторые руткиты уровня ядра. Однако, во-первых, он требует предварительной установки на компьютер (да и весит дофига), во-вторых, представляет собой платный продукт, а в-третьих, он намного более известен, что отнюдь не идет ему на пользу, и качественные Плагины к браузерам Достаточно большое количество малвари распространяется в виде расширений к браузерам, преимущественно к IE (малварь, поражающая Горящего Лиса и Оперу автору до сих пор не встречалась). Это обеспечивает высокую степень скрытности, поскольку в этом случае отпадает необходимость порождать новый процесс, а как найти расширения, знает далеко не каждый хакер, не говоря уже о пользователях. Касательно IE — чтобы обезвредить малварь, достаточно зайти в меню «Сервис», найти там «Свойства обозревателя» и сбросить галочку напротив пункта «Включать сторонние расширения обозревателя» (она находится в разделе «Обзор» вкладки «Дополнительно»). Если этот пункт отсутствует, значит, ты используешь слишком древнюю версию браузера — срочно обновляйся! Ведь через незаткнутые дыры черви лезут только так! Однако следует помнить, что при отключении сторонних расширений отвалится панель Google Toolbar и перестанет работать контекстное меню многих менеджеров закачки, с чем смириться никак нельзя. К счастью, Anti-Spy Info умеет отображать сторонние расширения IE, что существенно упрощает поиск малвари. Горящий Лис и Опера выгодно отличаются от IE тем, что самостоятельно выводят список расширений, позволяя выборочно отключать те из них, которые мы не устанавливали. Поэтому прибегать к помощи утилит для решения этой задачи нет никакой необходимости. xàêåð 06 /102/ 07 / 035
Page 1: июнь 06(102) 200 Охладис
Page 4 and 5: MEGANEWS 004 MegaNews Все нов
Page 6: meganews Meganews Дмитрий Т
Page 10: meganews Кликни здесь
Page 14 and 15: meganews Аудитория рун
Page 16 and 17: meganews Корпорация Micro
Page 18 and 19: ferrum Саркис «DeDal» Ге
Page 20 and 21: ferrum Так нам заправи
Page 22 and 23: ferrum Георгий Ходин В
Page 24 and 25: ferrum $43 Spire VertiCool IV $45 S
Page 26 and 27: ferrum Антон Зацепин У
Page 28 and 29: ferrum чением по выдел
Page 30: ferrum ВАСИЛИЙ СТЕПАН
Page 33 and 34: ferrum NEXX NF-810 Сверхтон
Page 35: pc_zone Внешний вид пр
Page 40 and 41: pc_zone Хвостатый гуру
Page 42 and 43: pc_zone DVD У тебя будет
Page 44: pc_zone поддерживаемо
Page 47 and 48: pc_zone Страница с пар
Page 49 and 50: pc_zone Создаем алиас
Page 51 and 52: implant изображение на
Page 53 and 54: implant Первая версия
Page 55 and 56: implant Смышленый робо
Page 57 and 58: взлом Вот такая она
Page 59 and 60: взлом Исследование
Page 61 and 62: взлом Acrobat Control в IE т
Page 63 and 64: взлом xÀêåð 06 /102/ 07
Page 65 and 66: взлом http://www.raadio7.ee/sa
Page 67 and 68: взлом http:// Предупре
Page 69 and 70: взлом Состояния ли
Page 71 and 72: взлом Леонид «R0id» С
Page 73 and 74: взлом именно тот, к
Page 75 and 76: взлом Схема подклю
Page 77 and 78: взлом Предлагаемая
Page 79 and 80: взлом Схема защиты
Page 81 and 82: взлом Сдвиг в WinHex н
Page 83 and 84: Ты наверняка слыша
Page 85 and 86: взлом запустить ма
Page 87 and 88:
сцена Вечеринка 100xP
Page 89 and 90:
сцена Спасибо! Огро
Page 91 and 92:
сцена Глава Intel Пол
Page 93 and 94:
сцена Клон Intel 8080 —
Page 95 and 96:
сцена Уголовный ко
Page 98 and 99:
unixoid Битва супербиз
Page 100 and 101:
unixoid Fedora Core: создани
Page 102 and 103:
unixoid KUbuntu: разбиение
Page 104 and 105:
unixoid Пингвинья ищей
Page 106 and 107:
unixoid Использование
Page 108 and 109:
unixoid Top 10 ошибок кон
Page 110 and 111:
unixoid ! Все знают, что
Page 112 and 113:
coding Игорь «Spider_NET» А
Page 114 and 115:
coding Полученный спи
Page 116 and 117:
coding Deeoni$ / DeeoniS@gmail.com
Page 118 and 119:
coding Новая ОС от Microso
Page 120:
coding case RegNtPreSetValueKey: st
Page 123 and 124:
coding _TEXT:0000000B mov eax, 0EBE
Page 125 and 126:
креатиff Золотая кл
Page 127 and 128:
креатиff «Суть «зол
Page 129 and 130:
units две. Поскольку Fl
Page 131 and 132:
Ñòàâèì Windows ïî ñåòè
Page 133 and 134:
ХАКЕР.PRO Консоль уп
Page 135 and 136:
ХАКЕР.PRO Переходим
Page 137 and 138:
ХАКЕР.PRO Все настро
Page 139 and 140:
ХАКЕР.PRO . PyICQt.pid 127.0.0
Page 141 and 142:
ХАКЕР.PRO Пример кум
Page 143 and 144:
ХАКЕР.PRO POP EBP POP ESI POP
Page 145 and 146:
ХАКЕР.PRO Barracuda от Seaga
Page 149:
2007 x 06(АПРЕЛЬ)97 102
show all

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online