Вернуться   Компьютерный форум > Блоги > Компьютерные статьи
Здесь Вы можете почитать различные статьи о компьютерах. Только не забывайте возвращаться, раздел постоянно пополняется. А лучше всего подпишитесь на рассылку, если конечно Вы этого еще не сделали, и тогда Вы не упустите ни одной новой компьютерной статьи.
Оценить эту запись

Защита от "троянов"

Запись от ILYXA54RUS размещена 10.07.2012 в 16:01

Многие современные антивирусы имеют функции блокирования тоянских кодов. Тем не менее, вы легко можете найти в Интернете утилиты, предназначенные только для решения этой проблемы. Например Ad-aware от Lavasoft. Её можно скачать на http://www.lavasoft.com/. Подобные программы настроены на поиск следов торянов (ключей в реестре, записей на жёстком диске). В качестве превентивных мер необходимо проводить проверку электронных подписей защищённых файлов системы, максимально повысить уровень безопасности офисных программ и обозревателя, разрешить выполнение только подписанных сценариев. Так же необходимо знать основные способы автоматического запуска троянских программ.
В системе существует множество способов автоматического запуска. Полный перечень загружаемых программ можно получить с помощью утилиты Сведения о системе. Вредоносное ПО часто использует тот или иной способ автозапуска, поэтому контроль за списком автоматически загружаемых программ может помочь от него избавиться.

Вредоносная программа может быть запущена с использованием:

1. файлов autoexec.bat, config.sys – эти варианты используют не часто.

2. файла win.ini. Запись программ в строки Run и Load обеспечивает их запуск системой

3. папки Автозагрузка

4. ключей реестра, содержащих автоматически запускаемые программы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

Через групповую политику можно отключить автозапуск программ при старте системы, прописанных в параметрах Run и RunOnce. Для этого в командной строке вводим gpedit.msc. жмём OK, Выбираем Конфигурация компьютера | Административные шаблоны | Система | Вход в систему | параметры: Не обрабатывать. И то же самое в разделе для пользователя. В то же время необходимые для запуска программы можно прописать для автозапуска через параметр групповой политики в ветвях:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run





5. Browser helper object
(BHO) – в Windows можно
встраивать специальные программы в браузер Internet Explorer, предназначенные для расширения
его возможностей. Хакеры часто используют такие программы, так как они имеют
практически неограниченный доступ к локальной системе. Они подключаются в этой ветви реестра по своему GUID:





HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser
Helper Objects





Так как среди подобных программ присутствуют и полезные, то
при анализе системы нужно найти в реестре ту программу, которая
зарегистрировала данный GUID.
Для этого можно использовать утилиту HijackThis (http://www.spywareinfo.com).





6. ключей реестра, про которые часто забывают:





HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellServiceObjectsDelayLoad


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\Shell


HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System\Scripts


HKEY_LOCAL_MACHINE
\Software\Policies\Microsoft\Windows\System\Script s


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_Dlls





Очень часто вредоносные программы маскируют своё присутствие
путём создания непримечательных процессов, которые в свою очередь запускают сам
вирус. В таких случаях помогут утилиты, отображающие зависимость процессов. К
ним относится Process Explorer.





7. программ, запуск которых назначен в расписании
(контролируется просмотром назначенных заданий).





8. ActiveX.
Этот вариант сейчас используют редко, так как в современных ОС требуется явное
согласие пользователя. И всегда можно просмотреть установленные модули и
удалить подозрительные. Свойства обозревателя | Общие | Параметры
| Просмотр объектов.





9. служб и драйверов. Установленный в виде службы или
драйвера вирус сложно обнаружить, так как пользователю необходимо знать точные
настройки системы и список драйверов. Основной способ защиты от таких установок
– отказ от использования учётных записей с правами администратора в ежедневной
работе.
Размещено в Без категории
Просмотров 1569 Комментарии 0 Отправить другу ссылку на эту запись

Текущее время: 17:17. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.