|
Меню
Сервисы
» ZloY SBot
» IRC канал
» CS Monitor
» Генератор паролей
» Регистрация доменов
Дружественные проекты
Бизнес-сувениры, ежедневники. Рекламные скамейки.
Наборы шоколадных конфет с логотипом вашей фирмы. Сладкие сувениры.
Хостинг фотографий
Статистика
IP: 38.103.63.62
|
Последние сообщения с форума
| » * No.LimiT *, * плохой *
| » IPR - ICQ Password Recalling, Abadd0N
| | » триколор тв, escaps
| » Нужен акк корбины срочно!!, [Rasser]
| | » Сайты с халявными прокcи, Иван121
| » Как накрутить RapidPoints, kabban
| | » Куплю красивый id вконтакте ..., BOSSZERO
| » Поздравления с ДР, Crazy Macho
| | » оцените пожалуйста), escaps
| » Угарное видео)), DeaDevil
|
[ ICQ ]
[ &RQ ]
[ QIP ]
[ Miranda ]
[ OCCNET ]
Статьи| Методы обнаружения и защиты ЭВМ от вредоносных программ (вирусов - троянов) 06.05.2006 | Автор: 0.p.т.i.ђ.
ICQ: 788897
обсуждение на форуме
Содержание статьи:</u><font size="+0"> Введение и ознакомление с вредоносными программами Признаки наличия вредоносного кода Методы обнаружения Защита
1) Целью данной статьи служит ознакомление рядового пользователя или неопытного хакера с существующими на настоящий момент наиболее популярными вредоносными программами класса троянский конь или особенностями этих программ относящейся к классу вредоносных ,а простыми словами вирусов, а так же признаки наличия и предотвращения исполнения вредоносного файла на целевой машине ЭВМ. И так….на настоящий момент самыми популярными в распространении по сети являются такие троянские программы как например Trojan.PSW.Ld_Pinch,а так же множество его аналогов и модификаций, при случайном инфицировании которым вы легко можете стать жертвой злоумышленника и лишиться всех своих конфиденциальных данных , в частности таких как конечно же пароли от ICQ и используемых вами альтернативных клиентов типо &RQ , QIP, Miranda или любые другие альтернативные клиенты используемые вами, которые способны поддаваться расшифровке модулями этого троянца. Но суть даже не столько в утрате номера ICQ сколько в потере 1)контакт листа 2)Риск совершения сделок от вашего имени, и потери более ценной конфиденциальной информации, такой как сохранённые профили, то есть пароли к форумам используемых вами, в Интернет браузерах таких в частности как в первую очередь Internet Explorer версий 5.0 –5.5 –6.0, эти наиболее уязвимые, реже 7.0 так как он появился совсем недавно, но в сущности является таким же бажным (поддающийся взлому, то есть имеющий критические уязвимости как и остальные продукты компании Майкрософт). Далее у нас идёт Mozilla Firefox, с точки зрения браузера он более защищён нежели тот же IE , но и используя его нет гарантии вашей защищённости, так как в первую очередь надо иметь голову и думать какие интернет ресурсы стоит посещать, а какие нет(то есть не открывать первый попавшийся линк пришедший вам через icq ). Наконец Opera представляет собой тоже достаточно неплохой браузер с точки зрения защиты и конфиденциальности. Но опять же все они не защищены от таких троянцев как Pinch и поддаются декриптовке паролей из них.C точки зрения защиты icq была выпущена программа Antipinch v1.0 , сделанная нашим коллегой из команды С47 http://www.c47.ru , которая защишает возможность кражи вашего icq от таких троянцев как Pinch путём хайдинга(скрытия) путей icq клиентов в системном реестре, а как известно первым делом попав в систему, Pinch находит сохранённые пароли в системе именно по путям в системном реестре. Так же кража ключей и сертификатов от кошельков систем Webmoney думаю тоже многим понятно, что это будет для вас значить, в лучшем случае его полной очистки, остальные последствия его утраты думаю здесь перечислять не стоит.
<font size="+1">2)</font> И так что же делает Pinch при попадении в систему? Для начала он инсталируется в системе чаще всего в каталог Windows причём надо заметить чаще не системный, а именно корневой называясь чаще всего именами системных модулей таких к примеру как SVCHOST.EXE ,хотя так же и имя троянца может варьироваться, подлинный оригинал этого настоящего модуля находится в папке C:\Windows\System32 это если иметь ввиду XP или 2003 , в системах Windows 2000 или NT путь будет C:\Winnt\System32, то есть ли вами обнаружен файл SVCHOST.EXE в папке C:\Windows а не системной, то стоит призадуматься о его истинном назначении. Далее он создаёт свои пути запуска в системном реестре согласно тому имени, который ему присвоен по имени файла. Размер файла чаще всего не превышает 20Кб, но может варьироваться. Упакован троянец в основном FSG и секции данных чаще всего шифруются, то есть просмотреть код и используемые им модули удобнее будет распаковав его тем же UNFSG 1.33 –2.0
, в зависимости от версии упаковщика и восстановив таблицу импорта и сделать корректировки в PE Header можно с помощью таких программ как Peid , Imprec и LordPe
или аналогичных, которые можно найти на сайте крэкерской направленности например http://www.cracklab.ru .Так же для более детального изучения программы и её процедур необходимо пользоваться отладчиком-дизассемблером например Olly Debugger
Обьяснять как им пользоваться я не научу, так как здесь требуются особые навыки знания процедур и операнд ассемблера, но если вы это достигните вы с лёгкостью сможете распознать вредоносность файла по его процедурам, которые сможете увидеть с помощью этого дебагера.
Далее восстановив импорты и распаковав троянца теперь станет возможно просмотреть модули используемые ими, а так же referencies в ASCII . Далее допустим найти Пинча не представляется возможным в следствии его нераспознаваемости антивирусами, тогда для этого лучше иметь сетевой экран (файервол) рекомендую Agnitum Outpost Firewall, который покажет вам используемые соединения и попытки осуществить их, таким образом вам будет проще найти троянца в своей системе. Далее обратите внимание на траффик, так как не исключено что ваша система в следствии заражения Пинчем стала FTP или Proxy сервером для использования сетевых атак типа DDOS и ему подобных. Далее хотелось бы уделить внимание руткитам, наиболее опасным нежели Пинч в случае инфицирования им. И так рассмотрим его в более детальном виде, для примера возьмём Hacker Defender а простыми словами HaxDef. Сам оригинальный комплект руткита состоит из нескольких файлов
An original archive of Hacker defender v1.0.0 contains these files:
hxdef100.exe 70 656 b - program Hacker defender v1.0.0
hxdOFena.exe 70 656 b - program Hacker defender v1.0.0 compiled with
NtOpenFile hook enabled
hxdef100.ini 4 119 b - inifile with default settings
hxdef100.2.ini 3 924 b - inifile with default settings, variant 2
bdcli100.exe 26 624 b - backdoor client
rdrbs100.exe 49 152 b - redirectors base
readmecz.txt 37 524 b - Czech version of readme file
readmeen.txt 38 008 b - this readme file
src.zip 93 741 b - source
Класс данных вредоносных программ обнаружить гораздо сложнее, чем обычного троянца, так как руткиты имеют такую особенность прятать папки и файлы содержащие их главные исполняющие модули. Каждый из которых выполняет свою определённую задачу, но главное преимущество руткита в установке на систему пользователя своего персонального драйвера, который и позволяет скрыть пути к папкам и файлам этой вредоносной программы. Установившись и прописавшись в системном реестре путь для запуска своего драйвера он успешно скрывает свою директорию и перехватывает управление процессами внедряясь в свободную область памяти используемую ими и таким образом имеет контроль над всеми компонентами системы, которые были запущены на момент его инсталяции в системе и записывает самого себя в область каждого процесса для осуществления скрытых соединений и наиболее скрытой функциональности. В его возможности входит почти всё тоже что и может обычный троянец, но обнаружить руткита становиться гораздо сложнее и вообще отследить его наличие. Даже антивирусные программы и файерволы будут надёжно молчать, так как будут полностью ему подконтрольны. Главное из сего следует, что нужно обнаружить путь в реестре в с которого происходит старт самого драйвера руткита, который и скрывает его для пользователя. Сделать это можно с помошью специальных программ, которые анализируют контрольную сумму системных файлов и производят сравнение их размера и области памяти с оригинальными системными модулями. К примеру тот же PathFinder занимается именно этим или Klister, эти программы вы можете скачать с сайта http://www.rootkit.com и подробно посмотреть описание каждой из них, имейте ввиду они консольные, поэтому работа с ними требует навыком и знания операционной системы DOS и её команд. Все они расчитаны в основном на Windows 2000 и XP. Таким образом вы сможете обезвредить руткит не форматируя винчестер и не переустанавливая операционную систему.
<font size="+1">3)</font>Для обнаружения вредоносных программ вам так же помогут такие утилиты как Tokenmon и Filemon , которые вы можете взять с сайта производителя http://www.sysinternals.com большинство этих утилит было написано ведущим программистом операционной системы Windows NT от компании Microsoft Марком Руссиновичем, далее рекомендуется использовать утилиту Starter от http://www.codestuff.mirrorz.com/ , которая даёт вам возможность постоянно видеть контроль запускаемых модулей и компонентов системы, а так же иметь возможность отключать их по необходимости или включать или удалять, а так же создавать автозапускаемые приложения, которые вы хотели бы видеть стартующими при запуске системы..
То есть здесь будет наглядно видно все секции запуска системного реестра чаще всего используемых троянцами и червями (worms). И будет возможность контроля за всеми запускаемыми программами и их компонентами.
Далее рекомендуется иметь на борту несколько антивирусных программ например такие как AVP, DrWeb,McAfee,Norton и Nod32, желательно чтобы они все были обновлены последними базами, но в качестве загружаемого в память при старте системы надо выбрать какой то один, чтобы не было конфликтов между загружаемыми модулями разных антивирусных программ. Я бы рекомендовал использовать либо AVP либо NOD32 в качестве загружаемого при старте системы, но лучше всё таки Nod32 , так как он и не такой бажный(глючный) в работе как Касперский (AVP) и не так сильно жрёт ресурсы системы, а базами он ничем практически не уступает AVP, да и сделан он более грамотно несмотря на обилие баз у AVP, который имеет довольно большую популярность у неопытных пользователей.
<font size="+1">4)</font> И как же наконец не допустить попадение трояна – вируса или червя на свою машину ЭВМ и не заразиться изначально, если даже Антивирусные программы будут надёжно молчать. На этот вопрос есть ответ и предложено довольно неплохой выбор специализированных программ, которые могут вести за этим контроль. Для примера я возьму те, которыми пользуюсь сам и которые меня уже выручали неоднократно. Например созданная нашими Российскими программистами программа Spybot Search&Destroy, которая поможет предотвратить попадение вредоносного файла на ваш компьютер путём контроля запускаемых программ осуществляющих скрытый запуск и попытку записи в реестр, то есть имея на борту эту программу вы сможете контролировать вновь устанавливаемые на ваш компьютер программы и делающие изменения в системном реестре. Если вдруг какая то программа попытается без вашего ведома загрузить себя и попытается скрыто установиться и сделать запись в системном реестре к примеру в секциях запуска, то есть чаще всего секции
То программа вас спросит ….. Нужно ли такому файлу давать разрешение на изменение реестра и записи самого на диск? На что у вас будет дан выбор Да или Нет. Так же программа имеет на борту контроль за браузером, то есть за сетевой активностью произвольных или скрытых вредоносных ссылок, такие как самозакачки или самозапускающие файл эксплойты находящиеся на том или ином ресурсе, который вы посещаете в сети, или которые вам может дать злоумышленник. И тут так же программа даст вам об этом знать и заблокирует попытку закачки и скрытой установки вредоносного файла через такие браузеры как Internet Explorer, которые наиболее уязвимы этому. То есть это даёт вам возможность пользоваться Internet Explorer’ом и быть хоть как то гарантированным , что вы чего нибудь им не схватите по вредной ссылке. Саму программу можно скачать по этому адресу
http://www.spybot.info , более того программа является безплатной и автор сделал её такой умышленно, так как сам понимает насколько важна такая программа и что не каждый сможет её купить, но лишь допускает условный взнос по желанию если вы оценили с достоинством его труд.
Далее так же неплохо ведёт контроль компонентов системы такая программа как System Mechanic от IOLO Corp. Скачать можно с сайта http://www.iolo.com но она является правда платной и стоит довольно не дёшево, хотя при желании её можно крякнуть найдя под неё крэк на http://astalavista.box.sk , программа является очень мощным инструментом в системе и имеет на борту большие возможности, а главное очень удобна в использовании и защите вашего компьютера от разного рода неполадок часто случающихся в среде Windows как например неверные ссылки в системном реестре а так же ссылки на файлы, которых уже нет или они были удалены. Таким в общем вижу сей обзор по данной тематике.
С уважением , искренне ваш 0.p.т.i.ђ
ICQ# 788897
| Автор: Venom[иКс]бывалый ![Venom[иКс]](http://forum.zloy.org/image.php?u=260) Сообщений: 739 |
комментариев нет
|
