Раздел: Документация

0 ... 65 66 67 68 69 70 71 ... 102

212 Глава 7. Методика обнаружения и удаления i

разница?! Весь вопрос в том: каким именно способом такие скрытно дейст ющие программы можно обнаружить и удалить?

Самый простой (но далеко не самый надежный) метод обнаружения вирусов сво дится к приобретению, установке и периодическому запуску одного или нескор ких антивирусов. Если не лениться и хотя бы эпизодически обновлять антивц русные базы, то (по моим наблюдениям) более 80 % всех вирусных атак буду,, успешно отбиты. Домашним пользователям, не имеющим на своих компьютерах ничего ценного, такая надежность может показаться вполне удовлетворительной, но в отношении корпоративных пользователей это не так! Стоит ли говорить, что может натворить даже один-единственный вирус, пробравшийся в корпоративную сеть и своевременно не разоблаченный? Тем более что компаниям (особенно крупным) приходится сталкиваться не только со слепыми, но и с целенаправленными атаками. Другими словами, с вирусами, написанными специально для атаки на данную конкретную компанию и потому никакими антивирусами не распознаваемыми (вот только не надо кричать про эвристический анализ — любой ребенок его без труда обойдет). Кстати, хотите позабавиться? Создайте файл следующего содержания и, откомпилировав его, натравите на него свой любимый антивирус на предмет выяснения: не зависнет ли (листинг 7.1)?

Листинг 7.1. Код, «завешивающий» многие эвристические анализаторы

.386

.model flat.STDCALL .code

start:t..

@xxx:

jmp @xxx end start

Антивирус Евгения Касперского 4.0, запущенный с настройками по умолчанию, «мертво» виснет! Это — хороший показатель дальновидности (то есть в данном случае как раз недальновидности) разработчиков и уровня культуры программирования вообще.

МОНИТОРИНГ ИЗМЕНЕНИЯ ФАЙЛОВ

Внедрившись в систему, вирус начинает в ней размножаться и вот тут-то его можно и засечь, — достаточно лишь периодически контролировать целостность существующих файлов и отслеживать появление новых. Существует большое количество утилит, выполняющих такую операцию (на ум сразу же приходят Adlnfo от «Диалога Науки» и Disk Inspector от «Лаборатории Касперского»)-однако для решения поставленной задачи можно обойтись и штатными средствами, — достаточно запустить утилиту sfc.exe, входящую в комплект поставки Windows 98/Ме и Windows 2000/ХР. Вирус, если он только не обладает дьявольской избирательностью, обязательно заразит большое количество системных файлов, и с каждым днем число жертв будет расти и расти! Вот благодаря этому самому обстоятельству вируса и обнаружат, — если, конечно, о»

---

дВным образом не скрывает своего присутствия в системе. Увы! Простушку ехе очень легко обмануть — что многие вирусы с успехом и делают. Тем не менес степень достоверности результатов проверки весьма высока, и с помощью sfc.exe ловится подавляющее большинство вирусов, включая и тех, что в си-3v своей новизны еще не детектируются антивирусами AVP и Dr. Web. рззумеется, качество проверки уже упомянутых выше Adlnfo и Disk Inspector много выше, и обмануть их практически невозможно (во всяком случае, вирусе, способных похвастаться этим до сих пор нет). Правда, некоторые вирусы, стремясь замаскировать свое присутствие, просто удаляют базы с информацией о проверяемых файлах, но эффект от этой «хитрости» получается совершенно обратный, — самим фактом такого удаления вирусы демаскируют свое присутствие! Какие конкретно файлы были заражены — это уже другой вопрос (если не можете ответить на него сами, -- поручите эту работу специалистам, главное только, чтобы вирус был вовремя обнаружен).

Стоит отметить, что операционные системы класса NT (к которым принадлежат и Windows 2000/ХР) запрещают обычным пользователям модифицировать системные файлы, равно как и вносить потенциально опасные изменения в конфигурацию системы, а потому выжить в такой среде вирусу окажется очень и очень трудно. С некоторой натяжкой можно даже сказать, что вообще невозможно. Как уже отмечалось выше, не стоит экономить на безопасности, ставя на рабочие места не NT, а более дешевую Windows 98/Ме.

ОНТРОЛЬ ЗА ОБРАЩЕНИЯМ К ФАЙЛАМ

Хорошим средством обнаружения вторжений (как вирусных, так и хакерских) служит щедро разбросанная приманка — файлы, к которым легальные пользователи в силу своих потребностей не обращаются, но которые с высокой степенью вероятности будут заражены вирусом или затребованы хакером. В первом случае в роли наживки могут выступить любые исполняемые файлы вообще, аво втором — любые файлы с интригующими именами (например, «номера кредитных карточек менеджеров фирмы-doc»).

Как обнаружить сам факт обращения к файлам? Ну, во-первых, операционная система автоматически отслеживает дату последнего обращения к документу (Не путать с датой его создания), узнать которую можно через пункт Свойства контекстного меню выбранного файла. Опытные пользователи могут получить ТУ же самую информацию через популярную оболочку FAR Manager — просто Нажмите Qrl+5 для отображения полной информации о диске. И если дата последнего открытия файла вдруг неожиданно изменилась, — знайте, к вам пришла беда и надо устраивать серьезные разборки с привлечением специалистов, если, конечно, вы не можете справится с заразой собственными силами. Конеч-н°> опытные хакеры и тщательно продуманные вирусы такую примитивную Меру могут обойти, но... практика показывает, что в подавляющем большинстве

случаев они об этом забывают, ь

° самых ответственных случаях можно воспользоваться файловым монитором Марка Русиновича, свободно распространяемому через сервер http://www.sys-

---

КОНТРОЛЬ ЗА СОСТОЯНИЕМ СИСТЕМЫ

Не все вирусы, однако, внедряют свой код в чужие исполняемые файлы. Спрятавшись в дальнем уголке жесткого диска (как правило, это windows\system, содержимое которой никто из пользователей не знает и не проверяет), они изменяют конфигурацию системы так, чтобы получать управление при каждой загрузке (или, на худой конец, — эпизодически).

При подозрении на вирус (троянскую лошадь) в первую очередь следует просмотреть все закоулки системы, ответственные за автоматическую загрузку приложений, как-то: airtoexecbat/autoexec.nt, config.sys/config.nt, windows\system.ini, windows\win.ini, windows\winstart.bat, hkey current user\software\microsoft\win-dows\currentversion\run и hkey localmachine\software\microsoft\windows\current-version\run (последние два — не файлы конфигурации, а ветви реестра, для редактирования которых можно воспользоваться программой regedit.exe). Сравните содержимое этих ключей с содержимым ключей заведомо здорового компьютера той же самой конфигурации и, если обнаружите расхождения, -сотрите у себя все лишнее.

Богатую информацию несет и количество оперативной памяти, выделенной на момент загрузки системы (узнать его можно, в частности, через Диспетчер задач). Просто запомните его (или запишите где-нибудь на бумажке), а затем -при каждой загрузке системы — сверяйте. И хотя теоретически возможно внедриться в систему без изменения объема выделенной памяти, встречаться с такими вирусами на практике мне до сих нор не доводилось. На всякий случай, запустив тот же Диспетчер задач, перейдите к вкладке Процессы, в меню Вид выберите Все столбцы и установите флажки напротив всех характеристик, которЫе вы хотите контролировать (как правило — это все характеристики процесс3 и есть), и далее поступайте аналогично: запомните начальное состояние каждого

internals.com. Ни один существующий вирус не пройдет незамеченным мимозу замечательной утилиты, кстати, в упакованном виде занимающей чуть 6оЛес полусотни килобайт и контролирующей доступ к диску на уровне дискового драйвера. К тому же она выгодно отличается тем, что сообщает имя програм. мы, обратившейся к файлу-приманке, тем самым позволяя точно дислоццр0. вать источник заразы и отсеять ложные срабатывания (ведь и сам пользователь мог по ошибке обратиться к «подсадному» файлу, также не следует забывать и об антивирусных сканерах, открывающих все файлы без разбора). Вычислить активного вируса с его помощью очень просто: если при открытии одного приложения происходит модификация исполняемых файлов другого приложения, значит, исходное приложение было заражено! (Но правде говоря, теперь у вас заражены оба приложения.)

Эффективность предложенной методики автор готов подтвердить своим личным опытом, авторитетом и репутацией. Пожалуй, это наилучшее из всех и притом бесплатное решение. (Заметим, что ручного анализа протоколов файлового монитора очень легко избежать, поручив эту работу компьютеру и программу, осуществляющую эту, за «спасибо» напишет даже студент.)

0 ... 65 66 67 68 69 70 71 ... 102