Раздел: Документация
0 ... 66 67 68 69 70 71 72 ... 102 «скаемого процесса на заведомо «чистой» машине, а при всех очередных за-33 ках — сверя йте с этим эталоном. Если не хотите делать это вручную — любой П" ограммист с радостью напишет вам соответствующую утилиту, после чего не-аметно проникнуть в вашу систему смогут только гении или боги. НОРМАЛЬНАЯ СЕТЕВАЯ АКТИВНОСТЬ Вирусы (и внедренные хакерами троянцы) чаще всего выдают себя тем, что проявляют ненормальную сетевую активность(обращение по нетипичным для данного пользователя сетевым адресам и/или портам, резко возросший трафик или подозрительное время). Начнем с того, что практически ни один вирус не анализирует учетные записи распространенных почтовых клиентов и, стало быть, самостоятельно определить адрес вашего почтового сервера не может. Как же тогда черви ухитряются распространяться? Да очень просто: часть из лих использует жестко прошитые внутри себя адреса бесплатных SMTP-серверов, другие же связываются с получателями писем напрямую, то есть обращаются непосредственно к их почтовому серверу. И то, и другое демаскирует вирус, исключая, конечно, тот случай, когда по иронии судьбы и вирус, и зараженная им жертва используют один и тот же сервер исходящей почты. Учитывая, что подавтяющее большинство корпоративных пользователей использует свой собственный сервер для рассылки почты, вероятностью случайного совпадения адресов можно пренебречь. Для протоколирования сетевоготрафика существует огромное множество разнообразных программ, самая доступная из которых (хотя и не самая лучшая) — netstat. входящая в штатный пакет поставки операционных систем Windows 98/ Me и Windows 2000/ХР. Также имеет смысл приобрести любой сканер портов (ищите его на хакерских сайтах или, на худой конец, воспользуйтесь все той же netstat) и периодически осматривайте все порты своего компьютера, — не открылись ли среди них новые. Некоторые сетевые червн устанавливают на заражаемые компьютеры компоненты для удаленного администрирования, которые чаще всего работают через TCP- и реже — через UDP-протоколы. Утилита netstat позволяет контролировать на предмет открытых портов и те, и другие. АНАЛИЗ ПОЛУЧЕННЫХ ИЗ СЕТИ ФАЙЛОВ Подавляющее большинство почтовых червей распространяет свое тело через Вдоження, и, хотя существует принципиальная возможность создания вирусов, бликом умещающихся в заголовке или основном теле письма, на практике с такими приходится сталкиваться крайне редко, да и живут они все больше в ла-ораторных условиях. Таким образом, задача выявления почтовых червей сводится к анализу корреспонденции, содержащей подозрительные вложения. Р°т мы берем в руки исполняемый файл (часто переименованный в jpg или wav). ;,к узнать: какое у него назначение? Четкий ответ на этот вопрос дает лишь СИМПТОМЫ ЗАРАЖЕНИЯ ВИРУСОМ В подавляющем большинстве случаев заражение компьютера ие проходит незаметно, и опытный пользователь еще на ранних стадиях распространения заразы начинает чувствовать, что с его системой что-то не так. Помните, как в том анекдоте: «Нутром чую, а доказать не могу»? Формальных признаков присутствия вируса может и не быть, но внезапно возникшему чувству дискомфорт3 (или неясной тревоги) все же стоит доверять. Чуть-чуть замедлилась скорость работы компьютера? Возросло время загрузки приложений? Тревожнее обычного заморгал своим красным огоньком жесткий диск? Все эти симптомы не фиксируются явно (в самом деле, время загрузки приложений с точностью до десятых долей секунды никто из нас не замерял), но наше подсознание схватывает даже незначительные отклонения от нормы. Конечно, к делу ваши подозрения не пришьешь, но поводом для серьезной проверки «девственности» компьютера они все же служить могут. Более характерные симптомы присутствия вируса: уменьшение количества сво бодной оперативной памяти на момент завершения загрузки систем (в Windows NT/2000/XP эту информацию вам сообщит Диспетчер задач, вызываемый одновременным нажатием клавиш Ctrl +Alt+ Del); появление критиче ских ошибок приложений там, где до этого их ие было; наконец, вообще люоЫе дизассемблирование, то есть перевод машинных кодов в ассемблерные мнемоники, и полная реконструкция всего алгоритма. Разумеется, днзассемблирова. ние — необычайно трудоемкая и требовательная к квалификации администратора операция, но ведь можно поступить и проще! На помощь приходитутилИТа DUMPBIN, входящая в штатный комплект поставки любого Windows — компилятора. Запускаем ее со следующими ключами: DUMPDIN /IMPORTS имяфайла, и по. лучаем полные сведения обо всех импортируемых данным файлом динамических библиотеках и API-функциях. Что делает каждая из них? Это можно прочитать в Platform SDK, взятом с того же самого компилятора. В частности многие сетевые черви демаскируют себя тем, что импортируют библиотеку WS2 32.DLL, содержащую в себе реализации функций WINS0CKS. Конечно, дти функции используют не только вирусы, но и легальные программы, но в любом случае анализ импорта позволяет установить приблизительную функциональность программы. С другой стороны, отсутствие явного обращения к функциям WINS0CKS еще не гарантирует отсутствия обращения к ним вообще. Вирус вполне может вызывать их и динамически по ходу своего выполнения, и тогда соответствующих библиотек в списке импорта просто не окажется! Собственно, этого и следовало ожидать, — учитывая, что некоторые вирусы являются настоящей головоломкой даже для опытных профессионалов, надеяться выловить их такими примитивными средствами — было бы но меньшей мере наивно. К счастью, такие «ужастики» в живой природе встречаются крайне редко, и подавляющее большинство вирусов пишется лицами, делающими в программировании свои первые шаги, и предложенная автором методика их «творения» очень даже обнаруживает!  радикальные изменения в поведении компьютера, как правило, указывают на факт вирусного заражения. Держите глаза и уши открытыми! С другой стороны, не стоит впадать в другую крайность и каждый сбой компьютера приписывать вирусу. Прежде чем делать какие бы то ни было выводы, убедитесь, что все ваше «железо» полностью исправно. Один из способов это сделать — достать из загашника ваш старый жесткий диск, оставшийся от предыдущего апгрейда, и подсоединить его к компьютеру. Если сбои исчезнут, то аппаратное обеспечение тут действительно ни при чем. Явные проявления вируса: появление издевательских сообщений, исчезновение файлов, невозможность загрузки некоторых приложений или операционной системы, полное уничтожение всей информации, наконец. МЕТОДИКА УДАЛЕНИЯ ВИРУСОВ, или Огонь как средство борьбы с чумой таинства переустановки операционный системы Удаление вирусов из системы, вероятно, самая простая операция из всех, рассмотренных выше. Жизнестойкость большинства вирусов крайне невелика и, как выражаются специалисты, порой приходится изрядно потрудиться, чтобы заставить подопытного вируса хоть как-то работать. Очень многие вирусы «мрут» еще на стадии их разработки и в состоянии функционировать лишь при чуткой помощи их непосредственного создателя. Сообщения о вирусах, якобы выдерживающих даже низкоуровневое форматирование диска, но сути своей совершенно безосновательны. Современные винчестеры просто не дадут отформатировать себя на низком уровне, — их контроллер не поддерживает таких функций! Утилиты типа HDD low-level format (встроенные, в частности, в некоторые из BIOS) честно посылают жесткому диску команду 50h, что по ATAPI-стандарту означает приказ форматировать трек, но ни один известный автору жесткий диск не выполняет эту команду правильно. Обычно он просто забивает содержимое обрабатываемого трека нулями, лишь эмулируя форматирование, но не выполняя его физически. А некоторые модели винчестеров никак не модифицируют форматируемые треки вообще! Правда, таблицу разделов MBR - Master Boot Record) они все-таки очищают, но если ее восстановить, с отформатированного» на низком уровне диска можно будет преспокойно *агружаться «Настоящее» форматирование осуществляется лишь специальными утилитами, разработанными и распространяемыми непосредственно самими разработчиками диска, да и то их функциональность остается весьма сомни-тьной, ~ но всех известных мне случаях дело ограничивается лишь Новлением секторных меток, да и то с риском полностью вывести винчестер 3 строя в случае обнаружения какой либо несовместимости или аварийного РеРывания процесса форматирования из-за зависания процессора или вык-°Чения питания. тИнная же причина загадочного воскрешения вирусов объясняется тем, что ада из копий вируса ухитрилась проникнуть на резервный накопитель и об- 0 ... 66 67 68 69 70 71 72 ... 102
|
