Эта статья ориентирована на новичков.
И так, в поисках разных HackTools (новичек) я не раз нарывался на вирусы и, поэтому решил путь к "хакеру" начать с защиты своей машины. Поэтому в этой татье я напишу (хотя бы попробую) описать метод обнаружения "подарка" - вируса
, если антивирь его не находит, но все-таки вы чуствуете нелады.
В Винде есть такая штука, как РЕЕСТР (о ней то точно все слыхали).
Реестр состоит из РАЗДЕЛОВ и СТРОК (все строчки с текстовой информацией разбиты по своим разделам).
Строка типа "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" - типичное название раздела реестра. В этом разделе содержится часть программ, которые автоматически запускаются при старте оси.
Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но, скорее всего, там никаких ЛЕВЫХ программ (в дальнейшем ТРОЯНОВ) не обнаружить, так как туда записываются только особо изощренные Трояны.
Для просмотра папки АВТОЗАГРУЗКА достаточно нажать кнопку ПУСК и зайти в ПРОГРАММЫ, для просмотра файлов config.sys и autoexec.bat достаточно запустить notepad.
А вот для просмотра РЕЕСТРА нужна программа RegEdit (c:/windows/RegEdit.exe), которая может показывать эти разделы и строчки. Как я уже сказал, большинство Троянов записывает себя в HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, но, помимо этого, существует еще масса мест в реестре, куда следовало бы заглянуть.
Например:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunservicesOnce
HKEY_USERS/.Default/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_USERS/.Default/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_USERS/.Default/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices
HKEY_USERS/.Default/SOFTWARE/Microsoft/Windows/CurrentVersion/RunservicesOnce
(Для того чтобы не метаться в диких муках по всему вышеперечисленному вручную, достаточно запустить regedit /e tmp1.txt ИМЯ РАЗДЕЛА в результате чего после каждого запуска заново будет создан файл tmp1.txt с содержимым раздела реестра...)
Посмотрев туда, следует удалить все "Строковые параметры", запускающие неизвестные программы из соответствующего раздела реестра!
Например, Троян "Naebi Soseda" записывает себя как c:windowsmswinrun.exe, c:windowstempmswinrun.exe. Другой Троян - GF - записывает себя как c:windowswindll.exe, c:windowssystemwindll.exe.
Большинство подобных программ (троянов), после первого запуска копирует себя в директорию, где живут Винды, под каким-нибудь неприметным именем. В то же время она добавляет себя в один из разделов регистра, который обеспечивает ей загрузку при каждом старте Винды.
Для обеспечения прикрытия свой легенды (т.е. чем ее представили жертве), она может выдать какое-нибудь сообщение, типа "Required DLL MFC50.DLL not found. The program will now terminate", что в переводе с буржуйского значит: "Требуемая библиотечка MFC50.DLL не найдена. Программа завершит свою работу. Все лишние программы из реестра, особенно те, которые не устанавливались специально,
нужно удалить. Но не надо чистить все подряд, так как со временем на компьютер устанавливается большое количество программ, и многие из них записывают себя, по мере надобности, в реестр, т.е. удаление надо производить только с особой аккуратностью. Если боишься удалять (так как я
) просто переименуй имя программы, например
"с:program filesicqicq.exe" в "с:program filesicqnull" (чтобы проверить, изменилось ли что-то от того, что эта программа не запускается).
Если Троян все же запустился, то можно попробовать его увидеть, нажав Ctrl+Alt+Del. Однако вряд ли это поможет. Полную информацию о запущенных программах в Windows можно увидеть, запустив утилиту XRun или CTask, выполняющая аналогичные действия.
Вот список типичных приложений, которые там можно увидеть:
KERNEL32.DLL, MSGSRV32.EXE, MPREXE.EXE, MMTASK.TSK, VSHWIN32.EXE, EXPLORER.EXE, SYSTRAY.EXE, INTERNAT.EXE, LOADWC.EXE, RUNDLL.EXE, STARTPG.EXE, RNAAPP.EXE, TAPIEXE.EXE, SPOOL32.EXE, WSASRV.EXE.
Здесь просто собрано большинство системных программ, используемых Виндой. А вот если увидишь что-то новое в реестре, не надо сразу бросаться удалять все подряд и форматировать винт, а следует спокойно разобраться с этой программой - откуда она у тебя и что делает.
Если же в реестре ничего нет, то следует пробежаться по конфигурационным файлам Windows, таким как win.ini и system.ini. Win.ini и system.ini находятся в каталоге c:windows, самый простой способ запустить программу оттуда - это написать "run=путьтроян.exe" или "load=программа". Хотя запись сюда производится довольно редко, т.к. здесь довольно просто обнаружить что-то подозрительное, нежели, например, в реестре.
Если вышеизложенные способы ничего не дали, а у тебя все-таки осталась навязчивая мысль о том, что ты подвергся заражению - то тогда возьми любой сканер портов, зайди в Инет и проскань свой IP. Если у тебя открыты нестандартные порты - то есть повод для разбирательств.
Список "стандартных" портов, которые зачастую могут использоваться в системе:
21 - FTP
23 - Telnet
80 - HTTP
53 - DNS
139 - NetBios
1027 - ICQ
Ху-у-у... Я сделал это!!!
Это моя первая статья, так что не судите строго.
Материал написан на основе (повторяю: - на основе, а
не Ctrl+C и Ctrl+V) статьи в и-нете, но копирайты
написать не могу, так как не помню уже на каком сайте накопал.
