Чужденци в системните папки
Злонамерени програми като папка Windows система. Нашата задача - да се намери и да ги изгони.
Отново в прозореца на Task Manager (Task Manager) всички допълнителни процеси ... Излишно е да казвам, приятен достатъчно. Кой знае какво правят, и изведнъж нещо вредно? И във всеки случай, те губи системни ресурси.
За съжаление, малко от нас знаят целта на всички комунални услуги от папката Windows. И все пак, нека да видим как да се идентифицират най-система Windows файлове (и намери ненужни файлове, ако те съществуват), за да се разграничат приятел от враг. В същото време погледнете как да следите, които се изпълняват приложения на компютъра, не само традиционните, но и нов вид злонамерен програма - руткит-скрити файлове.
Както се казва, от крадеца не запек: Ние, разбира се, никога не се знае къде и кога да бъде друг дупка в системата за защита, чрез която хакерите ще се опитат да повреди системата или крадат данни. Дори ако една защитна стена, най-новата версия на анти-вирус и анти-шпионски скенер, и строга дисциплина по отношение на свалянето на файлове от интернет, компютърът все още от време на време намери някаква инфекция е направо от кутията.
Антивирусен софтуер и други инструменти за сигурност са ефективни само при наличието на добре обмислена стратегия на редовни и чести актуализации; те не са в състояние да блокират злонамерена програма, които не са били предварително програмирани. В съответствие с това нападателите пишат и излъчват програмите си, така че те паднаха на компютрите на жертвите по време на тяхната уязвимост - например, когато в Интернет вече се е появило кода на друг червей, но на интернет страниците на антивирусен все още не е новата база са поставени да блокира или премахване на инфекцията. Този период може да продължи няколко минути или дни, през което време вирусът намира жертвите си.
За щастие, след като се открива злонамерения код, се справят с него сравнително лесно, въпреки че тази процедура и скучен.
Сигурността на данните преди всичко
Основното, което в този случай - да се помни, че си имаме работа с операционната система. Ето защо, да влязат в системните файлове и най-вече за да ги премахнете - рецепта за проблеми. Такива действия могат да доведат до факта, че Windows не може да работи.
След това, на всеки етап трябва да се остави за отстъпление. За да направите това в Windows XP, Me, и удобен за използване на системата функция, която осигурява връщане към положението преди провал Restore. За да направите това, като кликнете върху Start - Програми (в XP - Всички програми) - Аксесоари - System Tools - System Restore - Създаване на точка за възстановяване (Start - Програми (в XP - Всички програми) - Аксесоари - System Tools - Създаване на точка от която няма връщане) и следвайте инструкциите в съветника. Следва да се създадат тези зъбчета преди всяка промяна.
Някои системни файлове са скрити и при нормална настройка на интерфейса на Windows не се показва на екрана. За да ги видите, отворете Explorer (Explorer), или всеки прозорец папка и изберете Tools - Folder Options - View (Tools - Folder Options - View). В прозореца, който се отваря Превключи на Покажи скритите файлове и папки (Покажи скритите файлове и папки) и се уверете, че режимите Скрий разширенията за видове известни файлови (не показват разширенията за известните типове файлове) и Скрий защитените файлове на операционната система (Recommended) (Скрий защитените файлове на операционната система (препоръчително)) са деактивирани. В отговор на всички бъдещи Windows предупреждение кликване върху бутона Да (Yes). (Ще говорим повече за тези предупреждения.) След това работи с последната версия на антивирусен софтуер и антиспайуер скенер. Ако се наложи да изтриете файла, да го направи само с пълното доверие, че тя съдържа злонамерен код. Например, не изтривайте системните папки на стария DLL библиотека.
Сега е време, за да разберете какви програми и услуги са на компютъра си точно сега. В диспечера на задачите (Task Manager) не отразява всички стартирани приложения. Следователно, за да се реши този проблем е по-добре да се използва безплатно комунални Sysinternals Process Explorer (www.sysinternals.com). Procexpnt.zip разопаковане на файла и стартирайте procexp.exe, вие ще откриете, че в сравнение с диспечера на задачите на Windows Process Explorer - е като Шерлок Холмс в сравнение с инспектор Лестрейд: може би не е толкова блестящ външен вид, но действа много по-надеждна и ефективна. И между другото, за разлика от частните детективи, работещи за безплатно.
Конфигуриране на Process Explorer, така че можете да изберете всеки активен процес и да видим най-долния панел списък на DLL библиотеки, които използва. Колоната на команди (Command Line) е докладвано, в която папка използвате програми, както и в случай на услуги (които понякога се движат при svchost.exe) - кой случай на svchost.exe работи тази услуга.
Първият падането под подозрение процеси, които текат от временната папка. Spyware като инсталирана в тези кътчета. Същото важи и за процесите, които се обръщат на DLL библиотеки, намиращи се в папката Temp. "Почтени" програми се управляват от папката Temp в един случай: когато инсталирането на приложение, което използва за инсталиране или всеки друг инструмент инсталация. В допълнение към explorer.exe в Windows XP, е вероятно да се появи, както и други активни процеси, включително smss.exe, winlogon.exe, services.exe, alg.exe и lsass.exe. Всички от тях са необходими за на вашия Windows. Не ги докосне.
Няколко по-голямо внимание заслужава и следващ "легитимни" Windows - rundll32.exe, ако той ще бъде сред активните процеси. За тази програма, понякога крият зловреден софтуер, разпределени както DLL-файлове - те я използват като трамплин за изтегляне. В диспечера на задачите (Task Manager) се появява само rundll32, но Process Explorer, в колоната на команди (Command Line) показва всички DLL библиотека, свързани с rundll32. И все пак, преди да се отстрани този процес, се уверете, че това е наистина необходимо: той Rundll32 "законен" използва драйвери за някои устройства. При извършването на това решение ще помогне на пътя към файла DLL.
Ако полето за описание (Description) или Фирма (Company) са празни или съдържат непознати имена вероятно ще трябва да разбере повече подробности. Щракнете с десния бутон върху името на процеса в списъка на Process Explorer и след това щракнете върху Properties (Свойства). Ако съдържанието на страницата Изображение на (образ) не бъде изяснена ситуацията, отидете на раздела Services (услуга). Този раздел изброява някои "юридически" услуги, които в главния прозорец Process Explorer включва services.exe в групата (и не разполагат с описание в полето Description).
Например, да предположим, че сме намерили в процеса на Explorer процес с два наказателни полета Описание (Описание) и Име на фирмата (фирма): slee81.exe и WLTRYSVC.EXE. При по-внимателно разглеждане на раздела Services (Обслужване) се оказва, че slee81.exe - този файл Steganos живо Encryption Engine. комплекти буквално потребителски Steganos софтуер на вашия компютър, не се учудвайте, че работят във фонов режим. Това не е нарушение на системата за защита, но има причина да се мисли, че ако не използвате тази програма, може да искате да го изключите и да освободи ресурси на процесора?
Разпознаване на втория файл, WLTRYSVC.EXE, още по-лесно - съдържанието на полеви услуги (услуга). От името на процес (услуга WLTRYSVC) малко информативни, ние откриваме WLTRYSVC файл, намиращ се на ниво, по-долу и да откриете, че WLTRYSVC процес е започнал от друго приложение - BCMWLTRY.EXE. Този файл се идентифицира като Broadcom Wireless Network Tray Applet - друго приложение инсталирано на вашия компютър.
По този начин "за разресване" всички активни услуги и приложения на заден план. Най-трудно за решаване на проблема с тези от тях, които не са идентифицирани във формуляра не извършват никаква полезна функция. Имената на тези "тъмни коне" трябва да изглеждат в интернет - може би тяхната дейност не ви харесва.
Ако по програмата все още са подозрения, че е възможно да се вярва на списъка със задачи програми списък на AnswersThatWork.com сайт, където има списък с общи програми, шпионски софтуер и вируси комунални услуги. Човек може да се използва постоянно действащи местни средства като WinPatrol (www.winpatrol.com) и WinTasks 5 Professional (www.liutilities.com/products/wintaskspro/). И двете програми са свързани с публикувани в базата данни на интернет, който има информация за хиляди DLL библиотеки и приложения. В допълнение, WinTasks е все още "черен списък" на нежелани процеси, което им пречи да се рестартира.
Онези, за които търсенето на зловреден софтуер - постоянна работа, може да се възползва от програмата Task Manager сигурност (www.neuber.com/taskmanager), която сканира всички изпълними файлове и DLL шофьори, независимо от това дали те са активни или не.
И за последен. Търсене на информация за файла в интернет не трябва да бъде повърхностно. Колкото повече информация, толкова по-вероятно е, че не изтриете полезна програма или DLL библиотека грешка.
Сравнително наскоро, нов тип зловреден софтуер - руткит-файлове работи на ниво ядро на операционната система. Тези инструменти позволяват на хакерите да се скрият следите на техните файлове (и самите файлове) на заразения компютър. За щастие, има програми за откриване и премахване на инфекцията.
Хакерите използват софтуер руткит-управление и атаки, както и за събиране на информация със системи, които са в състояние да инсталирате руткит - обикновено с вирус или чрез хакване.
Въпреки това, руткит-програми, работещи на нивото на ядрото на операционната система, да променят себе си елементи на ядрото или операционната система. В допълнение, те са много по-трудни за откриване.
По-специално, някои руткит пречи на исканията на системата предавани на ядрото на операционната система, както и да отмени тези, които се занимават с руткит-програми. Обикновено това води до факта, че информация за конфигурацията на програмата или хардуер стане невидим за администратор или комунални услуги за търсене зловреден софтуер на.
Първо руткит-програма се появи и стана широко разпространена в Linux и UNIX. Както подсказва името им, те позволи на някой хакер да получи достъп до основното ниво - най-високото ниво на административни привилегии. Най-опасният вид на руткит - смесители за прихващане помощта на бутони, които ви позволяват да знаете информацията за регистрация и пароли.
Средства за борба с корен
Повечето софтуерни детектори, включително анти-вирус, анти-шпионски софтуер и IDS (Intrusion Detection Сензори - проникване сензори) не е в състояние да открива руткит-програма ядрото.
Стратегии признаване ядрото руткит на заразения компютър е малък, тъй като всеки корен се държи по свой собствен начин и по свой собствен начин, за да прикриват следите си.
Понякога е възможно да се открие руткит ядрото, проверка заразена система от друг компютър в мрежата. Друг метод - за рестартиране на компютъра с Windows PE, съкратена версия на Windows XP, започва да тече от CD-ROM, и сравни профилите и почистете кихане и операционни системи.
В Windows файлове с руткит-добра работа безплатна програма RootkitRevealer на (www.sysinternals.com), който търси за файлове и ключове в регистъра, които биха могли да бъдат от значение за руткит. Въпреки това, програмата за RootkitRevealer не е защитена от "глупак доказателство": не всички нейни обекти са били намерени да бъде опасен. За да се използва ефективно RootkitRevealer, информацията, предоставена от него следва да се тълкува правилно.
RootkitRevealer не премахва или блок открити руткит, а дори и не може да се каже със сигурност дали открит файл част на руткит. Но ако програмата открие нещо, което не трябва да бъде на това място, и антивирусната програма не е в състояние да го премахнете - висока степен на вероятност, че сте намерили това, което търсите.
RootkitRevealer трябва да работи сам: потребителят се насърчава да изключите всички други програми, включително и на фона и на тези, които са включени автоматично, като скрийнсейвър, да отложат мишката, стъпка далеч от компютъра и да позволи RootkitRevealer да си вършат работата.
Ако паралел с RootkitRevealer компютър ще работи нещо друго, отказ на системата не се случва, но търсенето ще бъдат разбити, а резултатите могат да бъдат неточни.
Резултатът от RootkitRevealer е списък на файловете, сред които попадат NTFS метаданни за всеки дял. Тези файлове са създадени по време на нормална работа на Windows, и не винаги показват наличието на руткит. Някои разлики са приемливи. Например, първите 10-20 Резултатите могат да бъдат под формата на обикновени ключове в системния регистър система, но вместо това те трябва да стоят Достъпът е отказан. Това води за нормално конвенционална система, независимо от руткит на присъствие в него.
Но файловете са маркирани като скрити от Windows API, - е повод за притеснения. Тези файлове могат да бъдат във временни папки, Windows папка, или някъде другаде на диска. Ако намерите тези файлове, опитайте се да се движите, за да ги използвате Windows Explorer (Windows Explorer) и проверете дали те видя там? Въпреки това, и това не е пряко доказателство. Например, да се крият файлове с помощта на технологии за такива полезни програми като Kaspersky Anti-Virus.
Много по-подозрителна програма с дълги имена на файлове, състоящи се от случаен набор от букви и цифри. При констатиране на такива файлове се препоръчва да се актуализира анти-вирус и как е възможно да се извърши по-обстойна проверка на компютъра.
По-малко опитни потребители могат да прибягват до помощта на скенер вирус F-Secure Blacklight (www.f-secure.com/blacklight), която открива и неутрализира руткит-файлове. Въпреки спартански дизайн, той е доста сериозна програма.
Ако премахнете Корен на ядрото не може да остане в краен случай - форматирането на заразени диск и преинсталиране на операционната система.
В заключение ще отбележим, че макар и руткит появява за първи път в UNIX и Linux, днес те са най-любимите сред - Windows. Популярността на тя е длъжна не само широко разпространена, но също така и наличието в него на мощен API (приложен програмен интерфейс - приложни програмни интерфейси), които позволяват лесно да прикрият истинската поведението на системата. Популярни уеб браузър Internet Explorer само опростява задачата за проникване на системата хакери, вируси, червеи и електронни, често носители на руткит-код.