Исходники
Статьи
Языки программирования
.NET Delphi Visual C++ Borland C++ Builder C/С++ и C# Базы Данных MySQL MSSQL Oracle PostgreSQL Interbase VisualFoxPro Веб-Мастеру PHP HTML Perl Java JavaScript Протоколы AJAX Технология Ajax Освоение Ajax Сети Беспроводные сети Локальные сети Сети хранения данных TCP/IP xDSL ATM Операционные системы Windows Linux Wap Книги и учебники
Скрипты
Магазин программиста
|
Защити свой ПК от троянов!Бывают ситуации, когда на компьютере без ведома владельца появляются различные вредные программки, пытающиеся осуществлять действия, порой препятствующие нормальной работе и вредящие программному обеспечению. За примерами далеко ходить не надо: интернет просто кишит различными троянцами, некоторые сайты (содержащие порно-ресурсы, крак-хак-странички, халява) норовят поменять начальную страничку, а то и закинуть программу, которая будет вопреки всем вашим действиям постоянно восстанавливать ссылку на свой сайт. Эта тема действительно актуальна, стоит взглянуть хотя бы на вопросы различных форумов, я решил повторно поднять этот вопрос, но рассмотреть его именно с позиции способов загрузки таких неприятных "гостинцев".Сперва коротенько пробегусь по самым тривиальным и, пожалуй, известным практически всем местам и методам загрузки программ. Реестр HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run. Изначально содержит параметры:
Следующий пункт нашей программы: файлы win.ini, system.ini. Проверьте раздел [windows], параметры run, load. Там должно быть пусто. Некоторые интернет-черви и троянцы используют именно эту лазейку, чтобы каждый раз стартовать при загрузке. Так, в system.ini изначально отсутствует раздел [windows, однако если создать его, то внутри него можно прописать параметр load=имя_файла и с помощью этого запустить нужную программу. И если о загрузке в win.ini знают многие, то system.ini частенько остается за кадром, чем и пользуются различные троянские программы. Один раз ради эксперимента я заразил свой компьютер каким-то из этих вирусов (имя сейчас я вспомнить не могу), так он прописал свою загрузку во всех разделах реестра и файлах win.ini и system.ini. Так что если вы нашли где-то одну запись, не успокаивайтесь на достигнутом, а проверьте все возможные места загрузки. Это были самые простые и общеизвестные способы загрузки программ, пора перейти к нетривиальным. Проверьте, а у вас в меню Пуск -> Программы -> Автозагрузка есть ссылки на офисовские примочки? А ведь возможно просто подменить запускаемую с помощью них программу таким образом, чтобы грузился троянчик, а уже из него запускать требуемую программу. Я думаю, далеко не каждый сообразит поискать там причину всех проблем. Следующий способ - это не совсем автозагрузка, но некоторые вирусы используют его, чтобы незаметно запускаться на компьютере. В разделе HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command в параметре (По умолчанию) стоит команда обработки ехе-файлов. Там должно быть "%1" %*, но возможно запускать здесь какую-то программу, передавая ей в качестве параметра ехе-файл, который надо запустить. Программа запустит его, а затем выполнит свою вредоносную миссию. Конечно, описанные способы весьма редки, но если не удается найти виновника проблем в других местах, то надо проконтролировать и эти возможности. Теперь хотелось бы описать действительно редкие, но и наиболее тяжело идентифицируемые способы загрузки программ. Эта информация была почерпнута из журнала Хакер № 11.01. Эти способы загрузки были найдены при разработке известного трояна Donald Dick. Для операционных систем Windows 9x возможно загружать программу с помощью драйвера VxD. Полный список загружаемых драйверов находится в разделе HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ VxD. В Windows NT/2000 нет VxD драйверов, но в разделе HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ SessionManager в параметре BootExecute можно прописать программу, которая будет грузиться еще до загрузки графической оболочки и сервисов. Есть и более хитрые способы, но они еще более экзотические. Вызывает серьезные сомнения возможность отловить "диверсантов", загружаемых такими способами, вручную. Лучше доверить это специалистам, то есть AVP, DrWeb и другим антивирусам, так как этими способами грузятся только их непосредственные клиенты. Конечно, написанное выше, не охватывает АБСОЛЮТНО всех способов автозагрузки, но 95% перекрывает наверняка. По крайней мере, большинство возникающих по этой теме вопросов статья должна разрешить. Главное, не бойтесь думать и экспериментировать, и все у вас получится. |
Форум Программиста
Новости Обзоры Магазин Программиста Каталог ссылок Поиск Добавить файл Обратная связь Рейтинги
|