Straini in folderele de sistem - software
Din nou, în fereastra Task Manager (Manager activități) orice procese suplimentare ... Inutil să mai spunem, o destul de plăcut. Cine știe ce fac, și dintr-o dată ceva dăunător? Și, în orice caz, au irosit resurse de sistem.
Din păcate, puțini dintre noi știu cu adevărat scopul tuturor utilităților din folderul Windows. Cu toate acestea, să vedem cum de a identifica cele mai multe fișiere de sistem pentru Windows (și pentru a găsi fișiere care nu sunt necesare, în cazul în care acestea există) pentru a distinge prieten de la dușman. În același timp aspectul la modul de urmărire a aplicațiilor care se execută pe computer, nu numai convenționale, dar, de asemenea, un nou tip de program malware - fișiere ascunse-rootkit.
După cum se spune, de hoț nu constipație: Noi, desigur, nu știu unde și când să fie o altă gaură în sistemul de protecție prin care atacatorii vor încerca să deteriora sistemul sau de furt de date. Chiar dacă un paravan de protecție, cea mai recentă versiune a anti-virus și scanner anti-spyware, și disciplina strictă în ceea ce privește descărcarea de fișiere de pe Internet, calculatorul încă ocazional găsit orice infecție este direct din tablă.
Software-ul antivirus și alte instrumente de securitate sunt eficiente numai în prezența unei strategii bine gândită de actualizări periodice și frecvente; acestea nu sunt în măsură să blocheze un program rău intenționat, care nu au fost pre-programate. Prin urmare, atacatorii scrie și să difuzeze programele lor, astfel încât acestea au căzut pe computerele victimelor în timpul vulnerabilității lor - de exemplu, atunci când internetul a apărut deja codul unui alt vierme, dar pe site-urile antivirus nu este încă noua bază sunt plasate pentru a bloca sau elimina infecția. Această perioadă poate dura câteva minute sau zile, timp în care virusul găsește victimele sale.
Din fericire, după ce este detectat codul dăunător, face cu ea destul de ușor, cu toate că această procedură și plictisitoare.
Cel mai important lucru în acest caz - să ne amintim că avem de-a face cu sistemul de operare. Prin urmare, pentru a primi în fișierele de sistem, și mai ales pentru a le elimina - o rețetă pentru probleme. Astfel de acțiuni ar putea duce la faptul că Windows nu poate rula.
Apoi, la fiecare pas ar trebui să fie lăsat pentru o retragere. Pentru a face acest lucru în Windows XP, Me, și convenabil de a utiliza caracteristica System Restore. care garantează o revenire la starea înainte de eșec. Pentru a face acest lucru, faceți clic pe Start - Programs (în XP - Toate programele) - Accesorii - Instrumente de sistem - System Restore - Crearea unui punct de restaurare (Start - Programs (în XP - Toate programele) - Accesorii - Instrumente de sistem - Crearea unui punct fără întoarcere) și urmați instrucțiunile din expert. Aceste colți ar trebui să fie create înainte de fiecare schimbare.
Unele fișiere de sistem sunt ascunse și la setarea normală interfața Windows nu sunt afișate pe ecran. Pentru a le vedea, deschideți Explorer (Explorer) sau orice fereastră dosar și selectați Tools - Folder Options - View (Tools - Folder Options - View). În fereastra care se deschide Comutare la Afișați fișierele și folderele ascunse (Arată fișierele și folderele ascunse) și asigurați-vă că regimurile ascund extensiile pentru tipurile de fișiere cunoscute (care nu prezintă extensiile pentru tipurile de fișiere cunoscute) și a ascunde fișierele sistemului de operare protejate (recomandat) (ascunde fișiere protejate de operare sistemul (recomandat)) au fost dezactivate. Ca răspuns la toate viitoare avertisment pe Windows pe butonul Da (Da). (Vom vorbi mai multe despre aceste avertismente.) Apoi rulați cea mai recentă versiune de software anti-virus și scanner anti-spyware. În cazul în care devine necesar pentru a șterge fișierul, face acest lucru numai cu deplină încredere că acesta conține cod dăunător. De exemplu, nu ștergeți folderele de sistem ale bibliotecii DLL vechi.
Ceea ce funcționează în sistem?
Acum este timpul pentru a afla ce programe si servicii sunt pe computer, chiar acum. În Managerul de activități (Task Manager) nu reflectă toate aplicațiile care rulează. Prin urmare, pentru a rezolva această problemă este mai bine să utilizați un drum liber utilitate Sysinternals Process Explorer (www.sysinternals.com). Procexpnt.zip despachetarea fișierul și a alerga procexp.exe, veți găsi că în comparație cu Windows Task Manager Process Explorer - este ca Sherlock Holmes, comparativ cu Inspectorul Lestrade: arata, probabil, nu la fel de genial, dar acționează mult mai fiabile și eficiente. Și, de altfel, spre deosebire de detectivi particulari care lucrează gratuit.
Configurarea Process Explorer, astfel încât să puteți selecta orice proces activ și a vedea panoul de jos o listă de DLL-biblioteci care le utilizează. Coloana de linie de comandă (Command Line) a fost raportată, în care dosarul se execută programe, iar în cazul serviciilor (care uneori ruleaza sub svchost.exe) - fisierul svchost.exe ruleaza acest serviciu.
Prima cădere în cadrul proceselor de suspiciune care se execută din folderul Temp. Spyware cum ar fi instalate în astfel de unghere. Același lucru se aplică proceselor care fac referire la DLL-bibliotecile situate în folderul Temp. Programele „respectabile“ sunt executați din folderul Temp într-un singur caz: atunci când instalarea aplicației folosind InstallShield sau orice alt instrument de instalare. În plus față de explorer.exe în Windows XP, este posibil să apară și alte procese active, inclusiv smss.exe, winlogon.exe, services.exe, Alg.exe și lsass.exe. Toate acestea sunt necesare pentru a Windows. Nu le atinge.
Mai multe merită mai multă atenție un alt Windows „legitime“ - rundll32.exe, în cazul în care el va fi printre procese active. Pentru acest program, uneori ascunde malware-ului, distribuit ca DLL-fișiere - o folosesc ca o rampă de lansare pentru descărcare. În Managerul de activități (Task Manager) apare numai rundll32, dar Process Explorer, în coloana linie de comandă (Command Line) afișează toate DLL-bibliotecă asociate cu Rundll32. Cu toate acestea, înainte de a elimina acest proces, asigurați-vă că este cu adevărat necesar: ea Rundll32 „legitim“ utilizează drivere pentru anumite dispozitive. În luarea acestei decizii va ajuta calea către fișierul DLL.
Căutare intruși
În cazul în care câmpul Descriere (Description) sau numele companiei (Company) sunt goale sau conțin nume necunoscute, probabil, ar trebui să sape un pic mai adânc. Faceți clic dreapta pe numele de proces în lista Process Explorer și apoi faceți clic pe Properties (Proprietăți). În cazul în care conținutul fila Image (imagine) nu clarifică situația, du-te la fila Services (Service). Această filă enumeră unele servicii „legale“, care, în principal fereastra Process Explorer include services.exe în grup (și nu au o descriere în câmpul Descriere).
De exemplu, să presupunem că am găsit în procesul Explorer de proces cu două câmpuri libere Descriere (Description) și Nume companie (companie): slee81.exe și WLTRYSVC.EXE. La o examinare mai atentă pe fila Services (Service) se dovedește că slee81.exe - acest fișier Steganos live Encryption Engine. Seturile de utilizator în sine software Steganos pe computer, nu fi surprins de faptul că acestea lucrează în fundal. Aceasta nu este o încălcare a sistemului de protecție, ci un motiv pentru a crede că, dacă nu utilizați acest program, poate doriți să-l opriți și să elibereze resursele procesorului?
Recunoașteți al doilea fișier, WLTRYSVC.EXE. chiar mai ușor - conținutul Serviciilor de câmp (Service). Deoarece numele de proces (serviciu WLTRYSVC) puțin informativ, vom găsi fișierul WLTRYSVC situat la un nivel mai jos și pentru a găsi că procesul WLTRYSVC este pornit de o altă aplicație - BCMWLTRY.EXE. Acest fișier este identificat ca Broadcom Wireless Network Tava Applet - o altă aplicație instalată pe computer.
Astfel, „să pieptene“ toate serviciile active și aplicații de fundal. Cel mai dificil de a rezolva problema cu aceia dintre ei care nu sunt identificate pe formular nu îndeplinesc nicio funcție utilă. Numele unor astfel de „cai negri“ ar trebui să se uite pe Internet - eventual, activitatea lor nu le place.
În cazul în care programul sunt încă suspiciuni, este posibil să se creadă pentru lista de sarcini Lista de programe pe AnswersThatWork.com site-ul în cazul în care există o listă de programe comune, spyware și utilitare virus. Se poate utiliza, de asemenea, în mod continuu mijloace de operare locale, cum ar fi WinPatrol (www.winpatrol.com) și WinTasks 5 Professional (www.liutilities.com/products/wintaskspro/). Ambele programe sunt conectate la baza de date postată pe Internet, care are informații despre mii de DLL-biblioteci și aplicații. În plus, WinTasks este încă o „listă neagră“ a proceselor nedorite, împiedicându-le de la repornirea.
Cei pentru care căutarea de malware - angajarea permanentă, poate beneficia de programul de securitate Task Manager (www.neuber.com/taskmanager), care scanează toate fișierele executabile și drivere DLL, indiferent dacă acestea sunt active sau nu.
Și ultimul. Căutați informațiile de fișier de pe Internet nu ar trebui să fie superficiale. Cele mai multe informații obține, cu atât mai probabil este că nu ștergeți programul util sau eroare DLL-bibliotecă.
Relativ recent, un nou tip de malware - rootkit-fișiere care rulează la nivelul nucleului sistemului de operare. Aceste instrumente permit hackerilor pentru a ascunde urmele fișierele lor (și fișierele în sine) de pe computerul infectat. Din fericire, există programe pentru a detecta și elimina infecția.
Hackerii folosesc software-ul și atacurile de gestionare a rootkit, precum și pentru a colecta informații cu sisteme care sunt capabile de a instala un rootkit - de obicei, cu un virus sau de hacking.
Cu toate acestea, rootkit-programe care funcționează la nivelul nucleului sistemului de operare, modificați kernel-ul sau sistemul de operare componente în sine. În plus, ele sunt mult mai greu de detectat.
În special, unele rootkit interfera cu cererile de sistem trecut la kernel-ul sistemului de operare, și anula cei care se ocupă cu rootkit-programe. De obicei, acest lucru duce la faptul că informațiile despre configurația hardware-program sau devin invizibile administratorului sau utilități de căutare malware.
Primul rootkit program a apărut și a devenit larg răspândită în Linux și UNIX. După cum sugerează și numele lor, ele permit unui atacator pentru a avea acces la nivelul rădăcină - cel mai înalt nivel de privilegii administrative. Genul cel mai periculos de rootkit - robinete mijloace de interceptare de chei care permit să cunoască informațiile de înregistrare și parole.
Mijloace de luptă împotriva rootkit
Cele mai multe detectoare de software, inclusiv anti-virus, anti-spyware și IDS (Intrusion Detection Senzori - senzori efracție) este în imposibilitatea de a detecta rootkit-program de nucleu.
Strategii de recunoaștere a kernel rootkit de pe computerul infectat este mic, deoarece fiecare rootkit se comportă în felul său și, în felul lor de a acoperi urmele.
Uneori este posibil pentru a detecta rootkit nucleu, verificarea sistemului infectat de la un alt computer din rețea. O altă metodă - pentru a reporni computerul pentru Windows PE. versiune condensată de Windows XP, se execută de pe CD-ROM, și compară profilurile și curățarea unui sistem de operare infectate.
În Windows, fișierele cu-rootkit bun loc de muncă RootkitRevealer liber utilitate (www.sysinternals.com), care caută fișierele și cheile de registry care ar putea fi relevante pentru rootkit. Cu toate acestea, programul RootkitRevealer nu este protejat de „infailibilă“: nu toate obiectele sale au fost dovedit a fi rău intenționat. În scopul de a utiliza în mod eficient RootkitRevealer, informațiile furnizate de aceasta ar trebui să fie interpretate corect.
RootkitRevealer nu elimină sau bloc detectat un rootkit, și nici măcar nu se poate spune cu certitudine dacă partea de fișier detectat de un rootkit. Dar, în cazul în care programul detectează ceva care nu ar trebui să fie în acest loc, iar antivirusul nu este în măsură să-l elimina - o mare probabilitate ca ai gasit ceea ce cautati.
RootkitRevealer ar trebui să lucreze singur: utilizatorul este încurajat să dezactivați toate celelalte programe, inclusiv fundalul și cele care sunt incluse automat, cum ar fi un economizor de ecran, pentru a amâna mouse-ul, pas departe de computer și permit RootkitRevealer să își facă treaba.
În cazul în paralel cu RootkitRevealer un computer va rula altceva, un eșec de sistem nu apare, dar căutarea va fi rupt, iar rezultatele pot fi inexacte.
Rezultatul RootkitRevealer este o listă de fișiere, printre care se încadrează NTFS metadate pentru fiecare partiție. Aceste fișiere sunt create în timpul funcționării normale a Windows, și nu indică întotdeauna prezența unui rootkit. Unele diferențe sunt acceptabile. De exemplu, primele 10-20 de rezultate pot lua forma unor chei de registru sistem convențional, dar în schimb, acestea trebuie să stea Accesul interzis. Aceasta are ca rezultat pentru sistemul convențional normale, indiferent de rootkit prezență în ea.
Dar fișierele sunt marcate ca Ascuns de Windows API, - este un motiv de îngrijorare. Aceste fișiere pot fi în dosare temporare, folder Windows, sau în altă parte pe disc. Dacă găsiți aceste fișiere, încercați să mergeți să le utilizând Windows Explorer (Windows Explorer) și verificați dacă văd acolo? Cu toate acestea, iar acest lucru nu este o dovadă directă. De exemplu, ascunde fișiere folosind tehnologii astfel de programe utile, cum ar fi Kaspersky Anti-Virus.
program mult mai suspect cu nume de fișiere lungi, constând dintr-un set aleator de litere și numere. La detectarea unor astfel de fișiere, se recomandă să se actualizeze anti-virus și modul în care este posibil să se efectueze o verificare mai amănunțită a computerului.
Utilizatorii mai puțin experimentați pot recurge la utilizarea unui F-Secure BlackLight virus scanner (www.f-secure.com/blacklight), care detectează și neutralizeaza rootkit-fișiere. În ciuda designului spartane, acesta este un program destul de grave.
Dacă eliminăm rootkit kernel-ul nu poate rămâne în ultimă instanță - formatarea unității infectate și reinstalarea sistemului de operare.
În concluzie, observăm că, deși rootkit a apărut pentru prima dată în UNIX și Linux, în prezent acestea sunt cele mai preferate printre - Windows. Astfel de populyarnostostyu este obligat nu numai pe scară largă, dar, de asemenea, prezența în ea API puternic (Application Programming Interfaces - interfețe de programare a aplicațiilor), care face mai ușor pentru a ascunde adevărata comportamentul sistemului. Populare Web-browser-ul Internet Explorer simplifică doar sarcina de a penetra hackeri sistem, viruși, viermi și electronice, sunt adesea purtători de rootkit-cod.