Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 48_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

9.21 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 149 10 11 12 13 14 > Следующая >>>

hang

NOW!

BUY

w Click

дишь в коде, написанном на асме, push

тить целую книгу, но на диск мы пос-

-xcha

тарались выложить несколько мануа-

eax pop eax, то это явно кто-то шифру-

лов на эту тему. Как ты заметил, это

ется. Хочу заметить, что подобное яв-

был самый простой вариант, ну а бо-

ление для Delphi стандартно. Ну и, ко-

лее сложные вирусы надо основа-

нечно, не могу обойти стороной неза-

тельно изучать, чтобы не искалечить

шифрованные строки. Наличие в фай-

.ехе’шники. Путь для тех, кто не любит

ле “*.exe”, “virus” и тому подобных пос-

трудностей, - это отослать паразита в

ледовательностей красноречиво гово-

антивирусную лабораторию.

рит о намерениях этой программы. Ви-

В заключение хочу рассказать о низ-

русы обычно ищут адреса нужных им

коуровневых вирусах. Все они распро-

API-функций и делают это по их имени

страняются, модифицируя критичные

– в итоге, исследователь может выя-

поля PE-заголовка для инъекции свое-

вить наличие в неположенных местах

го кода жертве. Методов инфицирова-

строк CreateFileA, WriteFile, FindFileA,

ния очень много, вирусы могут пря-

GetProcAddress и т.д. Неположенные

таться в пространстве между заголов-

места - это все места, кроме директо-

ком и первой секцией, равномерно

рии импорта. Размер файла при зара-

распределяться в пустотах между сек-

жении может не изменяться, если ви-

циями, могут создавать секцию в са-

рус раскидывает себя по пустым мес-

мом начале или в конце файла и т.д.

там. Для анализа заголовка прекрасно

Подавляющее большинство современ-

подойдет все тот же PE Tools. Те, кто

ных вирусов расширяют последнюю

знает виндовый стандарт исполнимых

секцию и лезут туда. Такие экземпля-

файлов, смогут извлечь много инфор-

ры выдают себя рядом признаков.

мации о вирусе, если он там есть. Но

Самым ярким свидетельством болез-

лучшим способом определения заразы

ни является нестандартная точка вхо-

является сопоставление оригинала с

да. В нашем случае она будет указы-

возможной жертвой.

вать почти на самый конец последней

Лечение этого вида вирусов в общем

секции (именно там живут 90% виру-

случае сводится к удалению плохого

сов). Окончательный диагноз можно

кода и исправлению значений заголов-

поставить, если имеется и разрешение

ка. Универсальных алгоритмов, однако,

на запись в это место, однако VX-коде-

не существует, поскольку не существу-

ры смекнули, что это дело слишком

ет и универсальных алгоритмов зара-

опасное, и теперь оставляют адрес

жения :). Вирусы могут всячески сопро-

Entry point в покое, вставляя, однако,

тивляться своему изгнанию из носите-

туда джамп на нехороший код. Это и

ля, например, шифровать некоторые

есть вторая подозрительная особен-

его участки, для того чтобы жертва

ность. Кстати, переход может быть сов-

«умерла» после исцеления. Единствен-

сем не на последние байты файла, но и

ный путь, дающий верный метод враче-

почти в самое начало, после таблицы

вания, - это изучение алгоритма вируса.

объектов, в случае с записью между

заголовком и секциями. Многие остав-

ПОСЛЕДНЕЕ СЛОВО

ляют автографы в неиспользуемых по-

К сожалению, объема статьи ката-

ëÿõ PE - ÷òî-òî òèïà “I_hate_world” èëè

строфически не хватает для столь

“die1.0”. Наводит на размышления нес-

серьезной и обширной темы. Дам те-

тандартный адрес загрузки программы.

бе один совет: вирусов пугаться не

Полиморфики могут вставлять кучу

надо - их надо изучать. Если ты узна-

мусора и ничего не делающие после-

ешь о них все, то и система будет аб-

довательности команд. Если ты ви-

солютно цела. E

Размер файла при заражении может не изменяться, если вирус раскидывает себя по пустым местам.

Именно сюда - между PE-заголовком и началом секций - может влезть вирус

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
	.								.c
		p	df					e
		p					g
						n
				-x cha

hang

NOW!

BUY

ЗАЩИТА

ИНСТРУМЕНТАРИЙХАКЕРА

w Click

Крис Касперски аkа мыщъх

ИНСТРУМЕНТАРИЙ

-xcha

O W S

À W I N D

ХАКЕРА

СРАВНИТЕЛЬНЫЙ АНАЛИЗ ЭМУЛЯТОРОВ

Ò À Ê

есколько лет назад основным оружием хакера были дизассемблер и отладчик. Теперь к ним добавился еще и

Íэмулятор, открывающий перед кодокопателями поистине безграничные возможности.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	Ë	юбая операционная	пективе кочевой жизни, покрываясь			Pentium III 336 MHz, à Virtual PC - â
		система имеет свои	"бэдами" при каждом ударе :).			Pentium III 187 MHz).


		особенности. Поведе-	СПАСЕНИЕ - В ЭМУЛЯТОРАХ			Требования к памяти более жесткие.



		ние программы, запу-				Необходимо иметь минимум 128


		щенной под Windows			Теперь этот кошмар мало-пома-	Мбайт для основной операционной

	9x, может существенным образом от-		лу отходит в прошлое. Мощь совре-			системы (называемой "хозяйкой", от
	личаться от ее поведения под		менных процессоров позволяет эму-			«host») и по 128–256 Мбайт для каж-
	Windows NT. Зоопарк *nix-систем и ге-		лировать персональный компьютер			дой из одновременно запущенных
нетически мутированных клонов луч-			целиком, выполняя на нем програм-			виртуальных машин ("гостей"). Есте-
	ше вообще не вспоминать :). Тому,		мы в реальном времени и с приемле-			ственно, количество потребляемой
	кто занимается сетевой безопас-		мой скоростью. Эмуляторы плодят-			памяти определяется типом эмулируе-
	ностью, необходимо иметь, по мень-		ся, как ежики после дождя. VMWare,			мой операционной системы. Так, если
	шей мере, три системы: Windows NT,		Virtual PC, Bochs и DOS-Box… Какой			это простушка MS-DOS, то для нее и 4
	Linux и FreeBSD, хотя и другие флаг-		выбрать? Большинство публикаций,			Мбайт вполне хватит. На 256 Мбайт
	маны рынка не помешают. Многие		посвященных эмуляторам, ориенти-			уже можно сносно эмулировать
	уязвимости (в частности, ошибки пе-		ровано на геймеров и системных ад-			Windows 2000/XP/2003, запущенной
	реполнения) проявляются только на		министраторов. Первым важна ско-			поверх Win2k или аналогичной опера-
	строго определенных версиях оси и		рость и качественный звук, вторым –			ционной системы.
	отсутствуют на всех остальных. А раз		наличие механизмов взаимодей-			Объем физического жесткого диска
	так, написанием и отладкой эксплои-		ствия между виртуальными машина-			в общем-то некритичен. Виртуальные
	та абы на чем не займешься. Но пос-		ми. Хакерам же до этого всего дела			машины создаются отнюдь не для на-
	тоянно переставлять свою рабочую		нет. Главное, чтобы работал Айс и			копления данных и за редким исклю-
	ОС – чудовищная потеря времени и		встроенный (build-in, internal, inte-			чениям не содержат ничего, кроме
	риск потери данных! К тому же, crash-		grated) отладчик.			операционной системы в типичном
	тесты на переполнение, заканчиваю-					варианте поставки и джентльменско-
	щиеся сбросом дампа ядра, – хоро-		МИНИМАЛЬНЫЕ ТРЕБОВАНИЯ			го набора сопутствующих ей прило-
	ший способ превратить файловую				Большинство эмуляторов предъ-	жений, что в совокупности отнимает


систему в мешанину. Конечно, поте-			являют весьма умеренные требова-			не более гигабайта дискового прост-
	рянные данные можно полностью		ния к аппаратуре. Для комфортной			ранства. Причем ни один из извест-
	или частично восстановить, но нужно		работы с Windows 2000 и FreeBSD			ных мне эмуляторов не требует непос-
	иметь за плечами гигантский опыт		4.5 процессора Pentium-III 733 MHz			редственного доступа к физическому
	борьбы с разрушениями. Вот и прихо-		будет вполне достаточно (в частнос-			жесткому диску. Вместо этого образ
	дится заблаговременно подключать		ти, VMWare превращает его в			виртуального винчестера размещает-
	отдельный винчестер и зверски над
	ним издеваться :), погружая файло-
	вую систему в небытие и возвращая
ее к жизни. Эксперименты с вирусами
	и эксплоитами также следует прово-
	дить на отдельной, полностью изоли-
рованной от внешнего мира машине,
	поскольку система разграничения
	доступа, встроенная в Windows NT и
	*nix-системы, далеко не безупречна и
	малейшая небрежность, допущенная
	исследователем, может обернуться
	тотальным разрушением.
	Традиционно эти задачи решались
	путем приобретения нескольких
	компьютеров или, на худой конец,
множества жестких дисков, попере-
	менно подключаемых к одной маши-
	не. Но это дорого, неудобно и неэсте-
тично. К тому же, жесткие диски до-
	вольно скептически относятся к перс-			Эмулятор как полигон для отработки навыков по восстановлению файловой системы

ХАКЕРСПЕЦ 11(48) 2004

hang

NOW!

BUY

w Click

DOS-BOX

-xcha

Бесплатный эмулятор, распространяющийся в исходных текстах. Эмулирует единственную операционную систему – MS DOS 5.0. Применяется в основном для запуска старых игр. Жесткие диски не эмулируются (эмуляция дискового ввода-вывода заканчивается на прерывании INT 21h), и SoftIce на нем не идет. Зато cup386 (распаковщик исполняемых файлов плюс отладчик) работает исправно. Имеется неплохой интегрированныйотладчик,правда,дляэтогоэмулятордолженбытьперекомпилирован с отладочными ключами.

Возможность расширения конструктивно не предусмотрена, однако доступность хорошо структурированных исходных текстов делает эту проблему неактуальной и ты в любой момент можешь добавить к эмулятору какую-нибудь фичу (например, виртуальный жесткий диск).

Поддерживаются три режима эмуляции: полная, частичная и динами- ческая. Полнота "полной" эмуляции на самом деле довольно условна (SoftIce не идет!), однако для подавляющего большинства неизвращенных программ с лихвой хватает и частичной. Оба эти режима достаточно надежны, и вырваться за пределы эмулятора нереально. Правда, производительность виртуальной машины оставляет желать лучшего – Pentium III 733 MHz опускается до 13.17 MHz, замедляясь более чем в 50 раз. Модуль динамической эмуляции (выполняющий код на "живом" процессоре) все еще находится в стадии разработки. А текущая версия содержитмногоошибок,частьизкоторыхфатальна,поэтомупользоваться им не рекомендуется (хотя его производительность вчетверо выше).

Обмен данными с внешним миром происходит либо через прямой доступ к CD-ROM, либо через монтирование каталогов физического диска на виртуальные логические диски, доступные из-под эмулятора через интерфейс INT 21h. Это обеспечивает достаточно надежную защиту от вредоносных программ. Уничтожить смонтированную директорию они смогут, но все остальные – нет!

DOS-BOX подходит для экспериментов с большинством MS-DOS-виру- сов (исключая, пожалуй, лишь те, что нуждаются в прерывании INT 13 или портах ввода/вывода), а также взлома программ, работающих как в реальном, так и в защищенном режимах.

ся в обыкновенном файле, полностью подчиняющемся хозяйской операционной системе.

Виртуальные диски бывают, по меньшей мере, двух типов: фиксированные и динамические. При создании фиксированного диска эмулятор сразу же "растягивает" файл-образ на весь требуемый объем, даже если тот не содержит никакой полезной информации. Динамические диски, напротив, хранят в образе лишь реально задействованные виртуальные сектора, увеличивая объем образа по мере его заполнения актуальными данными. Вместо того чтобы поровну дробить свой физический жесткий диск между виртуальными машинами, можно выделить каждой из них практически все свободное физическое пространство. Но это кажущаяся простота. Производительность динамических дисков намного ниже, чем фиксированных! Также они подвержены внутренней фрагментации (не путать с фрагментацией файла-образа и фрагментацией эмулируемой файловой системы). И

хотя некоторые из эмуляторов, в частности VMWare, содержат встроенные дефрагментаторы, это не решает проблемы. К тому же, формат динами- ческих дисков не стандартизован и образы различных эмуляторов категори- чески не совместимы друг с другом.

Остальное оборудование может быть любым – это на скорость эмуляции практически никак не влияет.

ЭМУЛЯТОР ДЛЯ СЕБЯ

При выборе подходящего эмулятора хакеры обычно руководствуются следующими критериями: защищенностью, расширяемостью, открытостью исходных текстов, качеством и скоростью эмуляции, наличием встроенного отладчика и гибкостью механизмов работы со snap-shot'ами.

ЗАЩИЩЕННОСТЬ

Запуская агрессивную программу на эмуляторе, очень сложно отделаться от мысли, что в любой момент она может выйти из-под контроля, оставляя за собой длинный шлейф раз-

рушений. Эти опасения вполне обоснованны. Многие из эмуляторов (DOSBOX, Virtual PC) содержат "дыры", позволяющие эмулируемому коду напрямую обращаться к памяти самого эмулятора. Например, вызывать от его имени и с его привилегиями произвольные API-функции хозяйской операционной системы :). Однако "пробить" эмулятор может только специальным образом спроектированная программа, так что при всей теоретической обоснованности угрозы вероятность ее практической реализации близка к нулю – эмуляторы не настолько популярны, чтобы агрессоры взялись за них всерьез.

А вот сетевое взаимодействие – другое дело. Эмуляция виртуальной локальной сети сохраняет все уязвимости хозяйской операционной системы, и сетевой червь может ее легко атаковать! Поэтому хозяйская операционка из виртуальной локальной сети должна быть в обязательном порядке исключе- на. Естественно, такое решение существенно затрудняет общение виртуальных машин с внешним миром, и поэтому им часто пренебрегают. Кстати, персональные брандмауэры в большинстве своем не контролируют виртуальные сети и не защищают от вторжения.

Некоторые эмуляторы позволяют взаимодействовать с виртуальными машинами через механизм общих папок. При этом папка хозяйской ОС видится как логический диск или сетевой ресурс. При всех преимуществах такого подхода он интуитивно небезопасен и в среде хакеров не сыскал особенной популярности.

РАСШИРЯЕМОСТЬ

	Профессионально ориентирован-


ный эмулятор должен поддерживать
возможность подключения внешних
модулей, имитирующих нестандарт-
ное оборудование (например, HASP).
Особенно это актуально для иссле-
дования защит типа Star Force 3,
напрямую взаимодействующих с ап-
паратурой и привязывающихся к тем
особенностям ее поведения, о кото-
рых штатные эмуляторы порой даже		»
и не подозревают.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

SoftIce, запущенный под эмулятором, не замораживает основную систему, не затыкая WinAmp, не разрывая соединения с интернетом, не замораживая часы системного времени и оставляя MSDN доступным!

Для загрузки виртуальной машины с CDROM необходимо войти в виртуальный BIOS Setup (в VMWare это делается нажатием клавиши F2 на на- чальной заставке) и в меню boot вытянуть CD-ROM наверх.

Диагностика виртуальной машины, созданной эмулятором VMWare

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	W I N D O W S
	Í À
	À Ò À Ê À

Один и тот же дисковый образ может быть подключен к нескольким виртуальным машинам - удобно для передачи файлов между ними или совместного использования приложений.

Все описываемые эмуляторы ты найдешь на нашем диске.

hang

NOW!

ЗАЩИТА

ИНСТРУМЕНТАРИЙХАКЕРА

BUY

w Click

Некоторые из эмуляторов расширяе-

BOCHS

-x cha

мы, некоторые - нет. Но даже у расши-

ряемых степень маневренности и глу-

Подлинно хакерский эмулятор, ориентированный на профессио-

бина конфигурабельности довольно

налов. Простые смертные находят его чересчур запутанным и неп-

невелики и поверхностно документиро-

роходимо сложным. Здесь все настраивается через текстовые кон-

ваны (если документированы вообще).

Наверное, это происходит оттого, что

фигурационные файлы – от количества процессоров (Bochs - един-

фактор расширяемости реально требу-

ственный из многих известных эмуляторов, позволяющий эмулиро-

ется очень и очень немногим. Эмулято-

вать более одного процессора) до геометрии виртуального диска.

ры ведь пишут не для хакеров! А жаль.

ОТКРЫТОСТЬ

Это некоммерческий продукт с открытыми исходными текстами и

впечатляющим качеством эмуляции. Контроллеры гибких и жест-

ИСХОДНЫХ ТЕКСТОВ

ких IDE-дисков эмулируются на уровне портов ввода/вывода, обес-

Наличие исходных текстов час-

печивая совместимость практически со всеми низкоуровневыми

тично компенсирует свинское каче-

ство документации и плохую расши-

программами. Полностью эмулируется защищенный режим про-

ряемость эмулятора. Если подопыт-

цессора. Во всяком случае, SoftIce запускается успешно (правда,

ная программа отказывается выпол-

работает несколько нестабильно, периодически завешивая вирту-

няться под эмулятором, исходные

альную клавиатуру). Имеется достаточно приличный интегриро-

тексты помогут разобраться в ситу-

ванный отладчик с неограниченным количеством виртуальных то-

ации и устранить дефект. Можно ос-

настить эмулятор всем необходи-

чек останова и функцией обратной трассировки.

мым инструментарием. Например,

К сожалению, невысокая скорость эмуляции не позволяет запус-

дампером памяти или back tracer'ом,

кать графические системы. Суди сам: эффективная тактовая час-

позволяющим прокручивать выпол-

тота Pentium III 733MHz падает до 1.49 MHz. Это сколько же часов

нение программы в обратном поряд-

будет загружаться Windows 2000?!

ке (между прочим, классная вещь

для взлома). Также есть возмож-

Работа с дисковыми образами реализована, прямо скажем, не

ность оперативного добавления не-

очень. Поддерживаются только фиксированные диски, а сами об-

документированных машинных ко-

манд или наборов инструкций но-

разы создаются внешними средствами от независимых разработ-

вых процессоров.

чиков. К счастью, имеется возможность прямого доступа к CD-

К сожалению, коммерческие эмуля-

ROM-приводу, но вот к физическим гибким дискам прямого доступа

торы распространяются без исходных

нет. Поэтому, чтобы вынести пару файлов из виртуальной машины,

текстов, а эмуляторы Open Source все

приходится попариться. Возможность работы со snap-shoot'ами

еще не вышли из юношеского воз-

раста и для решения серьезных за-

также отсутствует (под shap-shoot'ом Bochs понимает отнюдь не

дач, увы, непригодны.

состояние виртуальной машины, а копию ее экрана).

КАЧЕСТВО ЭМУЛЯЦИИ

Эмулятор хорошо подходит для исследования вирусов и отладки

Какой прок от эмулятора, если на

извращенных программ, работающих в MS-DOS или терминальном

нем не запускается SoftIce? Можно,

режиме Linux/FreeBSD, а также экспериментов с различными фай-

конечно, использовать и другие от-

ловыми системами.

ладчики, например Olly Debugger, но

их возможности более ограниченны, а

на некачественных эмуляторах неко-

торые из защищенных программ

легированным командам защищенного

ще всего остаются незадействованны-

просто не идут!

режима, командам математического

ми. Тем не менее, такие эмуляторы при-

Для увеличения скорости эмуляции

сопроцессора включая "мультимедий-

годны не только для запуска игрушек!

многие из разработчиков сознательно

ные" и некоторым редкоземельным ко-

Их можно использовать как "карантин-

усекают набор эмулируемых команд,

мандам реального режима). Служеб-

ную" зону для проверки свежераздо-

поддерживая только наиболее акту-

ные регистры, флаги трассировки и

бытых программ на вирусы или как по-

альные из них (это относится к приви-

другие подобные им возможности ча-

допытную мышь для экспериментов с

òåì æå Disk Editor'îì.

DOS-BOX

Bochs

Microsoft Virtual PC

VM Ware

Коммерческие эмуляторы в боль-

бесплатность

äà

íåò

шинстве своем используют меха-

исходные тексты

äà

íåò

низмы динамической эмуляции, эму-

кол-во эмулируемых

1, 2, 4, 8

лируя только привилегированные

команды. А все остальные выполня-

процессоров

ются на "живом" процессоре – в су-

эффективная

тактовая частота на

13,17 MHz

1,49 MHz

189 MHz

336 MHz

меречной зоне изолированного ад-

Pentium III 733

ресного пространства, окруженной

расширяемость

íåò

частично

íåò

частично

частоколом виртуальных портов,

поддержка динами-

частично

íåò

äà

что не только существенно увели-

ческой эмуляции

чивает производительность, но и

процессора

автоматически добавляет поддерж-

IDE,

IDE, динамические

IDE/SCSI,

ку всех новомодных мультимедий-

виртуальные

динамические и

íåò

фиксированные

и фиксированные

жесткие диски

образы

фиксированные

ных команд. Разумеется, при усло-

образы

вии что их поддерживает твой фи-

поддержка soft-ice

íåò

частично

íåò

äà

зический процессор.

встроенный

да, но требуется

äà

íåò

Между тем, в обработке исключи-

отладчик

перекомпиляция

тельных ситуаций ("экскепшенами"),

работа со shap-

íåò

äà

воздействиях команд на флаги, недо-

shoot'àìè

Основные характеристики наиболее популярных эмуляторов

пустимых способах адресации эмуля-

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w		df			n			o		MICROSOFT VIRTUAL PC
	.		df			n		.c			MICROSOFT VIRTUAL PC
		p					g
				-xcha				e
				-xcha

Неплохой коммерческий эмулятор, который распространяетсябезисходныхтекстов,нозатообеспечи- вает приличную скорость эмуляции, превращающую Pentium III 733 MHz в Pentium III 187 MHz (динами- ческий режим эмуляции обеспечивает поддержку всех машинных команд физического процессора).

Полностью эмулируются AMI BIOS (с возможностью конфигурирования через Setup), чипсет Intel 440BX, звуковая карта типа Creative Labs Sound Blaster 16 ISA, сетевой адаптер DEC 21140A 10/100 и видеокарта S3 Trio 32/64 PCI с 8 Mб памяти на борту. В итоге - довольно внушительная конфигурация, позволяющая запускать современные операционные системы семейства Windows NT и FreeBSD с "иксами".

Имеется возможность прямого доступа к гибким и оптическим дискам. Жесткие диски эмулируются на уровне двухканального контроллера IDE (смотри документацию на чипсет 440BX), размещаясь на винчестере в виде динамического или фиксированного файлаобраза. При желании можно взаимодействовать с хозяйской операционной системой и остальными виртуальнымимашинамичерезразделяемыепапкииливиртуальную локальную сеть. Оба эти метода с хакерской точкизрениянебезопасны,ипотомуприисследовании агрессивных программ к ним лучше не прибегать.

К сожалению, при попытке запуска SoftIce эмулятор аварийно завершает работу виртуальной машины.

	Встроен-
	Встроен-
	ный отлад-
	чик отсут-
	ствует, как
	отсутствует
	и возмож-
	ность сох-
	ð à í å í è ÿ
	состояний
	виртуаль-
	íîé ìàøè-		Microsoft Virtual PC эмулирует компьютер
	íîé ìàøè-		целиком, включая BIOS Setup
	ны с после-		целиком, включая BIOS Setup
	ны с после-
	ä ó þ ù è ì
	ä ó þ ù è ì
	возращени-
	åì ê íèì.
	Âñå ýòî ñó-
	щественно
	щественно		Реакция Microsoft Virtual PC на попытку за-
	ограничива-		Реакция Microsoft Virtual PC на попытку за-
	ограничива-		пуска Soft-Ice
	ет область

применения данного эмулятора. Будь он бесплатным продуктом,егобылобыможносмелорекомендоватьдля экспериментов с файловыми системами на предмет обретения навыков по разрушению/восстановлению данных.Ноэтоявнонестоиттехденег,которыезанегопросят. Бесплатно можно утянуть только демонстрационную версию, работающую на протяжении 45 дней, после чего требует регистрации (впрочем, в нашей стране регистрации синонимично "сейчас-мы-найдем-крэк").

торы (даже динамические) зачастую ведут себя совсем не так, как настоящий процессор, и защитный код может выяснить это. Впрочем, если защищенная программа не будет работать под эмулятором, это сильно возмутит легальных пользователей.

ВСТРОЕННЫЙ ОТЛАДЧИК

Защищенные программы всячески противостоят отладчикам, дизассемблерам, дамперам и прочему хакерскому оружию. Как правило, до нулевого кольца дело не доходит, хотя некоторые защиты (например, extreme protector) работают и там. Существуют десятки, если не сотни, способов сорвать отладчику крышу, и противостоять им достаточно трудно.

Могущество эмулятора как раз и заключается в том, что он полностью контролирует выполняемый код и обычные антиотладочные приемы в его случае не срабатывают. Аппаратные ограниче- ния эмулируемого процессора на сам эмулятор не распространяются. Коли- чество "аппаратных" точек останова не обязано равняться четырем, как на x86. При необходимости эмулятор может поддерживать тысячу или даже миллион точек останова, причем условия их срабатывания могут быть сколь угодно извращенными.

Естественно, для этого эмулятор должен быть оснащен интегрированным отладчиком. Любой другой

VMWARE

Еще один коммерческий эмулятор, но в отличие от конкурентов он действительно стоит того, чтобы за него заплатить. Это единственный эмулятор, стабильно поддерживающий SoftIce и умеющий работать со snap-shoot'ами.

Скорость эмуляции – выше всяких похвал. Pentium III 733 MHz превращается в Pentium III 336 MHz, то есть замедляется менее чем в два раза. Полностью эмулируются Phoenix BIOS 4.0, чипсет типа Intel 440BX и LSI LogicR LSI53C10xx Ultra160 SCSI I/O контроллер, поддерживающий виртуальные SCSI-диски, размещающиеся в динамическом или фиксированном файле-образе. При желании можно работать и с IDE-дисками, но они менее производительны.

Тщательно спроектированная виртуальная сеть позволяет экспериментировать с сетевыми червями, не опасаясь, что они поразят основной компьютер. Также имеется возможность прямого доступа к гибким/лазерным дискам и разделяемые папки с достойной защитой.

Короче говоря, VM are представляет собой многоцелевой эмулятор, пригодный для любых экспериментов за исключением игр. К примеру, добиться нормальной поддержки звука из-под MS-DOS не удалось, в то время как у остальных эмуляторов с этим не было никаких проблем.

отладчик, запущенный под эмулято-	циональность, чем debug.com, а не-
ром, никаких дополнительных преи-	редко существенно уступают ему.
муществ не получает. Возможности	Поэтому к ним стоит прибегать лишь
имеющихся интегрированных отлад-	в крайних случаях, когда обыкно-
чиков достаточно невелики и обес-	венные отладчики с защитой уже не
печивают ничуть не лучшую функ-	справляются. E

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i	r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

hang

NOW!

BUY

ЗАЩИТА

НАЙТИИУНИЧТОЖИТЬ!

w Click

Крис Касперски aka мыщъх

НАЙТИ

-xcha

O W S

À W I N D

И УНИЧТОЖИТЬ!

РУКОВОДСТВО ПО БОРЬБЕ С ВИРУСАМИ И ТРОЯНАМИ

Ò À Ê

радиционно для поиска компьютерной заразы используются антивирусы, однако результат их деятельности не

Òвсегда оправдывает ожидания, а многие из вирусов зачастую остаются нераспознанными. Но в большинстве

случаев зараза может быть обнаружена вручную!

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	Î	перационные системы
		семейства Windows


		разрослись до неверо-



		ятных размеров, прев-


		ратившись в модель

настоящего государства в миниатюре. Количество файлов, хранящихся под капотом жесткого диска, вполне сопоставимо с численностью населения какой-нибудь европейской страны наподобие Швейцарии или Польши. Существуют сотни тысяч мест, пригодных для внедрения вируса, и в этих условиях ему ничего не стоит затеряться.

Никто не в состоянии проанализировать все имеющиеся в его распоряжении исполняемые файлы, динамические библиотеки, OCX-компонен- ты и т.д. Поэтому гарантированно обнаружить зловредный код методом тыка невозможно, особенно на ранних стадиях, когда заражено небольшое количество файлов. Однако стоит вирусу поразить системный файл или специально подброшенную дрозофилу (рано или поздно это сделает), как он тут же выдаст себя с головой! С неразмножающимися троянскими программами дела обстоят намного сложнее. Засевший в укромном месте троян может прятаться годами, ничем не выдавая своего присутствия, а затем в один прекрасный момент неожиданно проснуться и сделать из винчестера винегрет.

Это не означает, что ручной поиск бесполезен. Просто не стоит переоценивать его возможности...

ЕСЛИ ВДРУГ ОТКРЫЛСЯ ЛЮК

Вирусы и троянские программы чаще всего пишутся начинающими программистами, не имеющими адекватного опыта проектирования и практически всегда допускающими большое количество фатальных ошибок. Из-за этого самочувствие зараженной системы резко ухудшается: появляются сообщения о критических ошибках в самых неожиданных местах, полностью или частично нарушается работоспособность некоторых приложений. Время загрузки опера-

ционной системы значительно возрастает. Не удается выполнить проверку диска и/или его дефрагментацию. Производительность падает.

Естественно, все эти признаки могут вызываться волне легальным, но некорректно установленным приложением или аппаратными неисправностям. Не стоит в каждом баге видеть вирус. Вирусофобия – опасная вещь, намного более опасная, чем вирусы, и еще никого она не доводила до добра.

НОВЫЕ ПРОЦЕССЫ

Троянские программы, сделанные

âвиде автономного исполняемого файла и никак не скрывающие своего присутствия в системе (а большинство из них именно так и устроено), легко обнаруживаются Диспетчером Задач или любой другой утилитой, отображающей список активных процессов, к примеру, FAR'ом. Причем FAR даже более предпочтителен, поскольку появляется все больше троянцев, удаляющих себя из Диспетчера Задач (грамотный стелс будет невиден и в FAR'е - прим. AvaLANche'а).

Зловредный процесс внешне ничем не отличается от всех остальных процессов, и, чтобы разоблачить его, требуется знать системные процессы своей системы. Свежеустановленная Windows 2000/XP создает следующие процессы: internat.exe (русификатор), smss.exe (сервер менеджера сеансов), csrss.exe (сервер подсистемы Win32), winlogon.exe (программа регистрации

âсистеме и сетевой DDE-агент), services.exe (диспетчер управления сервисами), lsass.exe (сервер защитной подсистемы), svchost.exe (контейнер для служб и сервисов), spoolsv.exe (диспетчер очереди печати), regsvc.exe

(регистратор сервисов), mstask.exe (планировщик) и explorer.exe (оболоч- ка - великий и ужасный Проводник).

При установке новых приложений и драйверов этот список может быть значительно пополнен. К сожалению, Диспетчер Задач не отображает полного пути к исполняемому файлу процесса, заставляя теряться в догадках, какому приложению он принадлежит. Попробуй поискать файл по его имени на диске или запусти FAR. Подогнав курсор к соответствующему процессу в списке, нажми <F3>, и FAR сообщит полный путь к нему. Файлы, находящиеся в каталоге легально установленного приложения, скорее всего этому приложению и принадлежат. Файлы, находящиеся в системном каталоге Windows, могут принадлежать кому угодно, и, чтобы избежать путаницы, возьми за правило каждый раз при установке нового приложения обращать внимание на процессы, которые оно добавляет.

Появление нового процесса, не связанного ни с одним из установленных приложений, - верный признак троянского внедрения. Скорми связанный с ним исполняемый файл свежей версии любимого антивируса.

ПОТОКИ И ПАМЯТЬ

В последнее время вирусописатели все больше тяготеют к функциям CreateRemoteThread и WriteProcessMemory, позволяющим внедряться в адресные пространства уже запущенных процессов. Это зна- чительно усложняет выявление заразы, и приходится прибегать к дедовским средствам, активно используемым еще во времена MS-DOS. Тогда системные операторы следили за количеством свободной оперативной

Сообщение о критической ошибке в Windows 2000

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.							памяти, скрупулезно записывая пока-
	.							.c
		p					g
			df			n		e
				-xcha

зания утилиты mem на бумажку :). Хотя простушку mem было легко обмануть, на это были способны лишь немногие из вирусов.

С тех пор многое изменилось. Операционные системы стали сложнее, но вместе с тем и умнее. Контроль за системными ресурсами значительно ужесточился, и прямой обман стал практически не возможным. Дождавшись окончания загрузки системы, запусти Диспетчер Задач и запомни

(а лучше запиши) количество дескрипторов, процессов, потоков и объем выделенной памяти. При внедрении всякой автоматически загружающейся программы эти показания неизбежно изменятся!

Но изменение количества потоков в процессе работы с системой – вполне нормальное явление и само по себе еще ни о чем не говорит. Простой эксперимент. Запусти "Блокнот". Диспетчер Задач сообщает, что в нем имеется всего лишь один поток, так?

МНЕНИЕ ЭКСПЕРТА

Я очень люблю задавать вопрос: что обнаруживают антивирусные системы? Обычный и неверный ответ: вирусы или вредоносное программное обеспече- ние. На самом деле антивирусная система обнаруживает только тот код, который эксперты компа- нии-производителя считают вредоносным. Нередки случаи, когда безобидная программа получает статус страшного вируса (www.security.nnov.ru/articles/ antiantivirus2.asp) или, наоборот, троянские программы не обнаруживаются антивирусными системами. К последним относятся написанные под заказ или слабо распространенные троянские программы, а также rootkits.

offtopic, профессионал в области ITбезопасности, постоянный автор и модератор форумов проекта Securitylab.ru, MCSE и MCT

Кроме того, антивирусные системы относятся к детективным средствам защиты. То есть они, в отличие от превентивных средств, предотвращающих проблему, позволяют ее обнаружить и по возможности скорректировать уже после того, как случилось страшное. Однако что делать, если страшное все же случилось, антивирус молчит, а к тебе в почту стучится «мегахакер», предлагая вернуть за несколько WMZ доступ к твоим файлам или почтовому ящику :). Ты запускаешь TCPView, но не видишь никаких подозрительных соединений, хотя с твоей системой творится что-то неладное. Скорее всего, к тебе на машину установили rootkit.

Термин «rootkit» пришел из мира *nix, и изначально им обозначался набор инструментов, необходимый злоумышленнику после того, как он получил права суперпользователя (root) в атакуемой системе. Большинство современных rootkit'ов могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйвера и сетевые соединения. Злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью, и эта активность не будет обнаружена тобой и антивирусами. Основной ресурс, посвященный rootkist, - www.rootkit.com. Есть ряд утилит, позволяющих находить rootkits в системе. Например, утилита RKDetect (www.seclists.org/lists/fulldisclosure/2004/Sep/0246.html), работающая по сети, или программа RKDetector (www.3wdesign.es/security), сканирующая систему локально.

Но, в любом случае, лучший способ обнаружения троянов – не заносить их в систему!

А теперь открой диалог "Сохранить как", и увидишь, как количество потоков тут же поползет вверх. Один из них принадлежит драйверу звуковой карты, озвучивающему системные события, один – непосредственно самому диалогу. Остальные (если они есть) – прочим системным функциям, выполняющим свой код в контексте данного процесса.

КОНТРОЛЬ ЦЕЛОСТНОСТИ ФАЙЛОВ

Операционные системы Windows 2000/XP оснащены специальными средствами проверки целостности исполняемых файлов, автоматически выполняющимися при всяком обращении к ним и при необходимости восстанавливающими искаженный файл. По умолчанию резервные копии хранятся в каталогах WINNT\ System32\Dllcache и WINNT\ ServicePackFiles.

У вируса есть два пути: либо отклю- чить SFC (за это отвечает ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisabl e), либо единовременно поразить и сам заражаемый файл, и все его резервные копии, так что надежность автоматической проверки весьма сомнительна и лучше всего запускать SFC (sfc.exe) вручную с ключом /PURGECACHE. Тогда она очистит файловый кэш и затребует дистрибьютивный компакт-диск для его реконструкции, после чего выполнит сканирование системных файлов на предмет поиска несоответствий. Но если после первой инсталляции в систему добавлялись те или иные пакеты обновлений, утилита SFC либо вообще откажется перестраивать файловый кэш, либо выдаст большое количество ложных срабатываний, приводя обновленные файлы в их первозданный вид, что явно не входит в твои планы. Поэтому всегда приобретай Windows с интегрированным Service Pack'ом самой последней версии (именно интегрированным, а не просто записанным в отдельную директорию, чем славится большинство пиратов) – там этих проблем нет.

Также можно и нужно использовать и более продвинутые антивирусные средства, такие, как ADInf или AVP Disk Inspector, а если их нет – утилиту посимвольного сравнения файлов

FC.EXE, входящую в штатный комп- »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

Большинство вирусов и троянов можно обнаружить и нейтрализовать собственными силами. Достаточно знать их симптомы.

Если троян/вирус не умеет скрывать свой процесс, то он виден через стандартный Диспетчер Задач.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	W I N D O W S
	Í À
	À Ò À Ê À

hang

NOW!

ЗАЩИТА

НАЙТИИУНИЧТОЖИТЬ!

BUY

w Click

лект поставки любой версии Windows.

ANTI-CRACKER SHIELD

-x cha

Только не запускай все эти програм-

мы непосредственно из самой запус-

Самая большая проблема безопасности сегодня - атаки на пере-

каемой системы! Stealth-вирусов под

полнение буферов. Они позволяют удаленно получить полный

Windows с каждым днем становится

контроль над атакуемой системой. От этой атаки не застрахована

все больше, а методика их - маскиров-

ни одна программа, имеющая контакты с внешней агрессивной се-

ки все изощреннее.

Вопреки расхожему мнению

тевой средой (в том числе и фаерволы). Для Linux существует про-

Windows может загружаться и с CD.

ект PaX, который защищает системы на основе Linux от исполнения

Прежде всего, на ум приходит

на них эксплоитов. Для платформы Windows NT/2000/XP/2003 до

Windows-PE – слегка усеченная вер-

недавнего времени подобной защиты не существовало. Затем поя-

сия Windows XP, официально распро-

вились защиты, с недостаточно высокими качеством исполнения и

страняемая только среди партнеров

Microsoft и в центрах сервисного обс-

уровнем защиты. Многие нещадно глючат, тормозят систему и при-

луживания. В открытую продажу она

ложения, имеют слабую защиту и легко обходятся. Бывает, что

до сих пор не поступала, и, если тебе

программа защищает не все приложения, а только те, которые за-

претит кормить пиратов (многие из

хотел защитить ее автор :).

которых к тому же и хамы :), восполь-

зуйся бесплатным Bart's PE Builder'ом

Не так давно была выпущена защита от эксплоитов для платфор-

(www.danilpremgi.com/nu2/pebuilder3032.zip),

мы Windows NT/2000/XP/2003, которая не тормозит систему, об-

автоматически формирующим загру-

ладает мощным уровнем защиты, гибкой системой управления

уровнями безопасности для различных приложений и хорошей

совместимостью с другими программами - Anti-Cracker Shield (автор

– Илья Рабинович). Внутри нее реализованы уникальные механиз-

мы, противодействующие выполнению кода эксплоитов на атакуе-

мых компьютерах.

Ревизор ADInf32 за работой

Утилита SFC.EXE перестраивает файловый кэш

Утилита TCPView отображает все установленные соединения и процесс, их установивший

Надежная защита стека от исполнения в нем кода, которая не приводит к катастрофическим потерям в производительности. Рандомизация стека и кучи (стартовые адреса данных - случайные вели- чины), препятствующая дискредитации данных и передаче управления по фиксированным адресам, автоматическое перебазирование системных библиотек по случайным адресам при каждой перезагрузке. Уникальный механизм, позволяющий делать ку- чу исполняемой (необходимо для совместимости с большим количеством современного ПО, использующим кучу для исполнения своего кода), но не позволяющий исполнять в ней эксплоиты.

Уровней безопасности для отдельных приложений четыре: low, medium, high и ultra. Уровень low - практически полное

отсутствие всякой защиты, поскольку и стек, и куча никак не защищаются. Этот уровень нужен приложениям, которые исполняют свой»

зочный диск на основе любой версии от Windows 2000 SP1 и старше.

Кстати говоря, при желании можно и вовсе изъять жесткий диск из компьютера, разместив систему и все необходимые для работы приложения на CD-ROM. Для записи временных файлов сгодится виртуальный диск - вполне удачное решение для игровой платформы. Теперь ни вирусы, ни обрушения операционной системы не страшны! Аналогичным путем можно модернизировать и офисные компьютеры. Обрабатываемые файлы в этом случае придется либо централизованно хранить на сервере (наиболее перспективный и экономичный путь),

либо записывать на дискету, zip или CD-RW (чисто хакерский путь).

НЕНОРМАЛЬНАЯ СЕТЕВАЯ АКТИВНОСТЬ

Редкий троян может удержаться от соблазна передать награбленное добро по сети или установить систему удаленного администрирования. При этом на машине открываются новые порты или появляются соединения, которые ты не устанавливал.

Для просмотра перечня открытых портов и установленных соединений можно воспользоваться утилитой netstat из штатного комплекта поставки Windows, запустив ее с

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to
w Click											m
w
	w									o
	.						g		.c
		p					g
			df			n		e
				-xcha

код в стеке. На уровнях medium и high стек полностью защищен от выполнения в нем кода, куча исполняема, но уникальная технология контроля не позволяет эксплоитам получить управление. На уровне ultra невозможно исполнять код как в стеке, так и в куче.

Существуют две версии программы: пользовательская и серверная. Пользовательская версия защищает все приложения по умолчанию на уровне high (разумный компромисс между уровнем защиты и совместимостью). Серверная версия защищает только те приложения, которые указаны пользователем на уровне ultra по умолчанию.

В случае атаки программа завершает атакуемый поток (не процесс!). То есть если у тебя стоит сервер HTTP/FTP, то грохнется только пользователь, который атаковал, а остальные пользователи будут

работать, как будто ничего не случилось. Правда, атакованное приложение может повести себя совершенно неадекватным образом (зависит от конкретной реализации), и его придется перезагрузить. При этом если атакован системный процесс, то окошко с уведомлением о перезагрузке не выскочит, система будет поддерживаться в максимально работоспособном состоянии. Программа практически ничем не напоминает о своем существовании в системе, кроме серой иконки замка в трее. В случае атаки иконка становится красной, со звуковой сигнализацией.

Однако использование проги не дает стопроцентной гарантии защиты от эксплоитов. Например, не защищаются от исполнения глобальные буферы исполняемых модулей и динамических библиотек. Другими словами, использование Anti-Cracker Shield не избавляет от необходимости использования фаерволов и антивирусов, установки заплаток. Anti-Cracker Shield - это еще одно жизненно необходимое звено в цепи безопасности.

Программу тяни с www.softsphere.com/cgi-bin/redirect.pl? Name=ACSHIELD, а русский хелп к ней - с www.softsphere.com /files/acshield.chm.

ключом –a. К сожалению, она не выдает имени процесса, установившего данное соединение (а для поиска троянов это актуально), вынуждая искать более совершенный инструментарий. Большой популярностью пользуется утилита TCPView Марка Руссиновича (www.sysinternals.com), не только выводящая развернутую статистику, но и позволяющая одним движением мыши закрыть любое сетевое соединение.

Еще лучше оградить свой компьютер персональным брандмауэром. Многие из брандмауэров, кстати говоря, содержат сис-

темы обнаружения вторжений и антивирусные модули. Брандмауэр не только сообщает о подозрительных сетевых соединениях – он позволяет их блокировать, предотвращая утечку данных с твоего компьютера и выдавая предупредительные сообщения на ранних стадиях вторжения. Впрочем, брандмауэр – это еще не панацея, и он не может защитить от атак, которые совершаются не через него. Вирусы – не его специализация, и в борьбе с ними он малоэффективен. E

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

hang

NOW!

BUY

ЗАЩИТА

БОРТОВОЙЖУРНАЛ

w Click

Анализирующий (analyst1945@mail.ru, www.wshinform.boom.ru)

БОРТОВОЙ

-xcha

O W S

À W I N D

ЖУРНАЛ

ПРЕПАРИРУЕМ ЛОГИ WINDOWS

Ò À Ê

исти логи три раза в день!», «Уходя, он почистил за собой логи», «Заглянув в логи, администратор

«×обнаружил…» - едва ли не самые часто встречающиеся фразы в историях андеграунда. Чистка логов –

гарантия безопасности взломщика и залог его спокойного сна.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

×рскую байку, а, может, и не байку, а преукра-

шенную историю, я об- ратил внимание наитая очередную хаке-

стандартную концовку. Хеппи-энд выделялся в этом отчете полным отсутствием каких-либо подробностей, хотя все остальное было описано четко и внятно, с примерами команд, а в некоторых местах - и со скриншотами. Можно было подумать, что чистка логов - настолько простое занятие, что доступно любому пользователю, прошедшему недельные курсы и научившемуся после них отличать клавишу CTRL от SHIFT. Так что же представляет собой на самом деле чистка логов?

Для чистки используются всевозможные логвайперы и руткиты, и используются они преимущественно в Linux-системах. Но этот номер посвящен Win-системам, которые, кстати, могут вести логи не хуже пингвинообразных осей. Вся работа будет проводиться средствами, встроенными в саму систему, так что практически никакого стороннего софта нам не понадобится.

WSH – ВСТРОЕННАЯ СИСТЕМА АВТОМАТИЗАЦИИ

По функциональным возможностям WSH (Windows Script Host) может успешно потягаться с консольными скриптами Linux, значительно превосходя их по простоте создания. В каче- стве инструмента разработки подойдет любой текстовый редактор. Сценарии готовы к работе сразу же после написания, если WSH не отключены на данном компьютере и поддерживаются операционной системой. Поддержка скриптов присутствует в Windows начиная с 98-й версии (для более ранних версий ОС сервер сценариев устанавливается отдельно), которой логи не снились в самом кошмарном сне. Возможности и синтаксис VBScript рассмотрены достаточно подробно в прошлых номерах журнала, поэтому упомянем лишь о том, что код сценария помещается в тексто-

вый файл с расширением WSF после XML-конструкции в начале:

<?xml version="1.0" encoding="windows1251"?>

]]>

</script>

</job>

в конце.

НАШ ВЫБОР

Если слишком буквально понимать призыв «чисти логи!», то на программирование уйдет не более пары минут.

Сценарий, который можно видеть на врезке, достаточно поместить в папку «Автозагрузка». Результатом будет кристальная чистота журнала (или журналов - кому как нравится) событий и скрупулезный поиск багов, троянов и прочих mallware админом на почве обостренной подозрительности. Впрочем, если нет желания возв-

ращаться на "попользованную" систему и нет желания вдаваться в подробности, то акт приравнивания к нулю объема файла журнала можно считать прощальным хлопком дверью, что будет ощутимым ударом по изнеженным нервам системщика.

Тому, кто планирует периодически навещать понравившуюся систему, разумнее было бы ограничить коли- чество информации, хранимой в логах, по объему или числу прошедших дней. Это можно сделать с помощью командной строки, получив доступ к свойствам журнала событий с помощью псевдонима NTEVENTLOG. Для начала откроем окно командной консоли: Пуск –> Выполнить -> “cmd”. Затем запустим программу, позволяющую работать с WMI через командную строку, используя псевдонимы: «wmic». Для изменения нужных параметров наберем команды:

NTEVENTLOG WHERE

LogFileName=”Application” SET

MaxFileSize=65536

(для задания максимального размера файла журнала «Приложение» в 64 килобайт).

ОЧИЩАЕМ ЖУРНАЛЫ СОБЫТИЙ

'Выбирается журнал событий LogType = “Application” ‘Приложение ‘LogType = “System” ’Безопасность ‘LogType = “Security” ’Система

‘Подключается к пространству WMI – одной строкой! Set Eventlog =

GetObject(“winmgmts:{impersonationLevel=impersonate}”).ExecQuery(“select *from Win32_NTEventLogFile where Logfilename=’” & LogType & “’”)

‘Очищаются выбранные журналы For each Entry in EventLog Entry.ClearEventlog()

'И завершающие штрихи – скипт стирает сам себя. Scriptname=wscript.scriptfullname

set fso=CreateObject("Scripting.FileSystemObject") fso.Getfile(Scriptname).Delete

‘Завершение работы сценария Wscript.Quit

ХАКЕРСПЕЦ 11(48) 2004

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 149 10 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202412.23 Mб16Специальный выпуск 43_Optimized.pdf
#
20.04.202410.68 Mб17Специальный выпуск 44_Optimized.pdf
#
20.04.202411.27 Mб15Специальный выпуск 45_Optimized.pdf
#
20.04.202412.65 Mб14Специальный выпуск 46_Optimized.pdf
#
20.04.202411.92 Mб16Специальный выпуск 47_Optimized.pdf
#
20.04.20249.21 Mб16Специальный выпуск 48_Optimized.pdf
#
20.04.20249.67 Mб14Специальный выпуск 49_Optimized.pdf
#
20.04.20249.14 Mб15Специальный выпуск 50_Optimized.pdf
#
20.04.20248.45 Mб14Специальный выпуск 51_Optimized.pdf
#
20.04.20249.27 Mб16Специальный выпуск 52_Optimized.pdf
#
20.04.20249.18 Mб16Специальный выпуск 53_Optimized.pdf