И менно п оэтом у в этот р аз я не
стал
приводить
утом ительны е
для чтения списки ключей р е е с т -
ра, где м ож ет спрятаться “за р а -
з а ”, поскольку утилита AVZ с п о -
с о б н а
в
у д о б н о й
и
наглядной
ф о р м е показать в сё это и так, д а
к том у ж е д а ёт возм ож ность вы-
ключать неж елательны е ком по-
ненты из текущ его выполнения и
автозагрузки.
П рограмм а была р азр аботан а
О легом Зайцевы м . В н астоящ ее
врем я, хотя утилита уж е п ринад-
леж ит Л аборатории К асперского,
О лег З ай ц ев остаётся е ё ед и н ст -
венным разработчиком .
П осл е покупки AVZ Л а б о р а т о -
рией К асп ер ск ого и сп о л ь зу е-
м ы е в ней наработки и т ех -
нологии вош ли в новый
продукт - K aspersky Inter-
n et S ecurity. Д ум аю , о чём -
то эт о д а говорит.
Руты и киты
С
л ед у ет нем ного р а с-
сказать о китах, на
которых дер ж атся м ногие
совр ем ен н ы е вредон осн ы е
программы .
R o o tk it (руткит, от англ,
root kit, т .е. “н абор root’a ”) -
програм м а или н абор п ро-
грамм для скрытия сл ед о в
присутствия зл оум ы ш л ен -
ника или в р едон осн ой п ро-
граммы в си ст ем е.
Термин Rootkit историчес-
ки пришёл из мира UNIX, и
п од этим термином понима-
ется набор утилит или специ-
альный модуль ядра, кото-
рые взломщик устанавлива-
ет на взлом анной им ком-
пьютерной си стем е ср азу после
получения прав суперпользовате-
ля. Этот набор, как правило, вклю-
чает в себя разнообразны е утили-
ты для “заметания сл едов ” втор-
жения в систему, сниферы , скане-
ры, кейлоггеры, троянские п ро-
граммы, зам ещ аю щ ие основны е
утилиты UNIX (в случае неядерного
руткита). Rootkit позволяет взлом -
щику закрепиться во взломанной
си стем е и скрыть следы своей д е -
ятельности путём сокрытия ф ай -
лов, проц ессов, а также сам ого
присутствия руткита в систем е.
По уровню привилегий руткиты
классифицируются: уровня поль-
зователя (user-m ode) и уровня яд-
ра
(kern el-m ode).
По
принципу
действия: изменяю щ ие алгоритмы
выполнения систем ны х функций
(Modify execution path) и изм еняю -
щ ие системны е структуры данных
(Direct kernel object manupulation).
И з-за W indows File Protection п е-
реписы вание системны х ф айлов в
W indows затруднено (хотя и его
можно обойти!), поэтом у о сн ов -
ные способы внедрения в систем у
- модификация памяти: перехват
системны х функций W indows API
(API hooking) на уровне пользова-
теля; то ж е на уровне ядра (п ер е-
хват Native API); и зм енен и е с и с -
Данный вид вредоносны х кодов
очень д а в н о
и зв е ст е н
в
м и р е
W lndows и с начала 90-х годов
прош лого столетия носит на-
зв ан и е стел с-в и р уса (Stealth).
К ром е того, руткиту нужно как-то
поставить се б я на автозапуск. “К
счастью ”, в W indows для этого су -
щ еств ует м н о ж еств о с п о с о б о в
пом им о “стандартны х”.
К ром е н еп о с р е д ст в ен н о се б я
руткит, как правило, м ож ет м а с -
кировать п р и сутстви е в с и с т е м е
лю бы х описанны х в ег о конф игу-
рации
каталогов
и
ф ай л ов
на
д и с к е ,
клю чей
в
р е е с т р е .
По
этой причине естеств ен н ы м о б -
р а зо м
п оя в и л и сь
“н а в е с н ы е ”
руткитные би бл и отек и .
М ногие
rootkit устанавливаю т в си ст ем у
св ои др ай вер ы и служ бы (они,
е с т е с т в е н н о ,
такж е
являю тся
“н еви ди м ы м и ”).
Руткиты
м огут “п одк и ды -
вать” не только злоум ы ш лен-
ники. Был п р ец еден т, когда
корпорация Sony встраивала
п о д о б и е руткита в свои ли-
ц ен зи он н ы е
а уди оди ск и .
Руткитами по сути является
бол ьш и н ство
програм м ны х
ср ед ст в защ иты от копиро-
вания (и ср ед ств о б х о д а этих
защ ит - наприм ер, эм ул ято-
ры CD и DVD приводов). От
“нелегальны х” они отличаю т-
ся только тем , что ставятся с
в ед о м а пользователя.
Антируткиты - это утилиты
или р ези ден тн ы е м одули,
обнаруж иваю щ ие в си с т е м е
присутствие руткитов и (в
р азн ой м ер е) удаляю щ ие их.
С ущ ествует м н ож ество кон-
курирующ их ср ед ст в
для эт ого - как плат-
ных, так и бесплатны х,
но в се они использую т
сходн ы е принципы
дей стви я. Так, против
М ЕР-руткитов п р и м е-
няется поиск р асхож -
ден и й . О дна и та ж е
инф орм ация получа-
ется несколькими с п о -
со б а м и с и сп ол ь зов а-
нием API и “напрям ую ”
и ищ утся р а сх о ж д е-
ния. В частности,
обы чно сканирую тся таблицы
им порта, таблица Native API,
ф айловая си стем а.
темны х
структур
данных; м одиф ика-
ция
MBR
(m aster
boot record - глав-
ная загрузочная з а -
пись) и загрузка д о
ядра операционной
системы - буткиты
(известны й
п р е д -
ставитель B ackD o-
or.M aosB oot).
М у ж и к глубокой но-
чью за сидит за ком -
пью т ером ,
и
вдруг
чувст вует
чье-то
прикосновение сзади.
Оборачивается - ж е -
на стоит голышом и
обворож ит ельно
на
него смотрит.
М у ж и к :
-
Извини, милая, но
компью т ер занят.
предыдущая страница 58 Компьютер 2013 11-12 читать онлайн следующая страница 60 Компьютер 2013 11-12 читать онлайн Домой Выключить/включить текст