Здесь Вы можете почитать различные статьи о компьютерах. Только не забывайте возвращаться, раздел постоянно пополняется. А лучше всего подпишитесь на рассылку, если конечно Вы этого еще не сделали, и тогда Вы не упустите ни одной новой компьютерной статьи.
Защита от "троянов"
Запись от ILYXA54RUS размещена 10.07.2012 в 16:01
Многие современные антивирусы имеют функции блокирования тоянских кодов. Тем не менее, вы легко можете найти в Интернете утилиты, предназначенные только для решения этой проблемы. Например Ad-aware от Lavasoft. Её можно скачать на http://www.lavasoft.com/. Подобные программы настроены на поиск следов торянов (ключей в реестре, записей на жёстком диске). В качестве превентивных мер необходимо проводить проверку электронных подписей защищённых файлов системы, максимально повысить уровень безопасности офисных программ и обозревателя, разрешить выполнение только подписанных сценариев. Так же необходимо знать основные способы автоматического запуска троянских программ.
В системе существует множество способов автоматического запуска. Полный перечень загружаемых программ можно получить с помощью утилиты Сведения о системе. Вредоносное ПО часто использует тот или иной способ автозапуска, поэтому контроль за списком автоматически загружаемых программ может помочь от него избавиться.
Вредоносная программа может быть запущена с использованием:
1. файлов autoexec.bat, config.sys – эти варианты используют не часто.
2. файла win.ini. Запись программ в строки Run и Load обеспечивает их запуск системой
3. папки Автозагрузка
4. ключей реестра, содержащих автоматически запускаемые программы:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
Через групповую политику можно отключить автозапуск программ при старте системы, прописанных в параметрах Run и RunOnce. Для этого в командной строке вводим gpedit.msc. жмём OK, Выбираем Конфигурация компьютера | Административные шаблоны | Система | Вход в систему | параметры: Не обрабатывать. И то же самое в разделе для пользователя. В то же время необходимые для запуска программы можно прописать для автозапуска через параметр групповой политики в ветвях:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run
5. Browser helper object
(BHO) – в Windows можно
встраивать специальные программы в браузер Internet Explorer, предназначенные для расширения
его возможностей. Хакеры часто используют такие программы, так как они имеют
практически неограниченный доступ к локальной системе. Они подключаются в этой ветви реестра по своему GUID:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser
Helper Objects
Так как среди подобных программ присутствуют и полезные, то
при анализе системы нужно найти в реестре ту программу, которая
зарегистрировала данный GUID.
Для этого можно использовать утилиту HijackThis (http://www.spywareinfo.com).
6. ключей реестра, про которые часто забывают:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellServiceObjectsDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\Shell
HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System\Scripts
HKEY_LOCAL_MACHINE
\Software\Policies\Microsoft\Windows\System\Script s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_Dlls
Очень часто вредоносные программы маскируют своё присутствие
путём создания непримечательных процессов, которые в свою очередь запускают сам
вирус. В таких случаях помогут утилиты, отображающие зависимость процессов. К
ним относится Process Explorer.
7. программ, запуск которых назначен в расписании
(контролируется просмотром назначенных заданий).
8. ActiveX.
Этот вариант сейчас используют редко, так как в современных ОС требуется явное
согласие пользователя. И всегда можно просмотреть установленные модули и
удалить подозрительные. Свойства обозревателя | Общие | Параметры
| Просмотр объектов.
9. служб и драйверов. Установленный в виде службы или
драйвера вирус сложно обнаружить, так как пользователю необходимо знать точные
настройки системы и список драйверов. Основной способ защиты от таких установок
– отказ от использования учётных записей с правами администратора в ежедневной
работе.
В системе существует множество способов автоматического запуска. Полный перечень загружаемых программ можно получить с помощью утилиты Сведения о системе. Вредоносное ПО часто использует тот или иной способ автозапуска, поэтому контроль за списком автоматически загружаемых программ может помочь от него избавиться.
Вредоносная программа может быть запущена с использованием:
1. файлов autoexec.bat, config.sys – эти варианты используют не часто.
2. файла win.ini. Запись программ в строки Run и Load обеспечивает их запуск системой
3. папки Автозагрузка
4. ключей реестра, содержащих автоматически запускаемые программы:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
Через групповую политику можно отключить автозапуск программ при старте системы, прописанных в параметрах Run и RunOnce. Для этого в командной строке вводим gpedit.msc. жмём OK, Выбираем Конфигурация компьютера | Административные шаблоны | Система | Вход в систему | параметры: Не обрабатывать. И то же самое в разделе для пользователя. В то же время необходимые для запуска программы можно прописать для автозапуска через параметр групповой политики в ветвях:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run
5. Browser helper object
(BHO) – в Windows можно
встраивать специальные программы в браузер Internet Explorer, предназначенные для расширения
его возможностей. Хакеры часто используют такие программы, так как они имеют
практически неограниченный доступ к локальной системе. Они подключаются в этой ветви реестра по своему GUID:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser
Helper Objects
Так как среди подобных программ присутствуют и полезные, то
при анализе системы нужно найти в реестре ту программу, которая
зарегистрировала данный GUID.
Для этого можно использовать утилиту HijackThis (http://www.spywareinfo.com).
6. ключей реестра, про которые часто забывают:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellServiceObjectsDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\Shell
HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System\Scripts
HKEY_LOCAL_MACHINE
\Software\Policies\Microsoft\Windows\System\Script s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_Dlls
Очень часто вредоносные программы маскируют своё присутствие
путём создания непримечательных процессов, которые в свою очередь запускают сам
вирус. В таких случаях помогут утилиты, отображающие зависимость процессов. К
ним относится Process Explorer.
7. программ, запуск которых назначен в расписании
(контролируется просмотром назначенных заданий).
8. ActiveX.
Этот вариант сейчас используют редко, так как в современных ОС требуется явное
согласие пользователя. И всегда можно просмотреть установленные модули и
удалить подозрительные. Свойства обозревателя | Общие | Параметры
| Просмотр объектов.
9. служб и драйверов. Установленный в виде службы или
драйвера вирус сложно обнаружить, так как пользователю необходимо знать точные
настройки системы и список драйверов. Основной способ защиты от таких установок
– отказ от использования учётных записей с правами администратора в ежедневной
работе.