Idegenek az rendszermappákat - szoftverek
Ismét az ablak Task Manager (Feladatkezelő) extra folyamatok ... Mondanom sem kell, kellemes elég. Ki tudja, mit csinálnak, és hirtelen valami káros? És minden esetben, akkor kárba vész a rendszer erőforrásait.
Sajnos kevesen vagyunk igazán tudom a célból minden közmű a Windows mappából. Mégis, lássuk, hogyan lehet azonosítani a legtöbb Windows rendszerfájlok (és megtalálni a felesleges fájlokat, ha vannak ilyenek), hogy megkülönböztessék a barátot az ellenségtől. Ugyanakkor nézd meg, hogyan kell követni, hogy mely alkalmazások futnak a számítógépen, nem csak a szokásos, hanem egy újfajta rosszindulatú program - rootkit-rejtett fájlokat.
Mint mondják, a tolvaj nem székrekedés: Mi, persze, soha nem lehet tudni, hogy hol és mikor kell egy lyukat a védelmi rendszer, amelyen keresztül a támadók megpróbálják károsíthatja a rendszert, vagy ellopják az adatokat. Még ha a tűzfal, a legújabb verzióját az anti-vírus és anti-spyware scanner és a szigorú fegyelem tekintetében a fájlok letöltését az Internet, a számítógép még időnként talált fertőzés egyenesen az ón.
Víruskereső és egyéb biztonsági eszközök csak akkor hatékonyak jelenlétében egy jól átgondolt stratégia rendszeres és gyakori frissítések; nem tudnak blokkolni egy rosszindulatú program, amely nem előre programozott. Ennek megfelelően, a támadók írni és sugározzák a programokat, hogy azok esett a számítógépek az áldozatok során biztonsági rés - például amikor az internet már megjelent a kódot egy másik féreg, de a honlapok antivírus még nem az új bázis kerülnek blokkolására vagy megszünteti a fertőzést. Ez az időszak utolsó néhány perc vagy nap, amely idő alatt a vírus találja az áldozatai.
Szerencsére, miután a rosszindulatú kódot észlel, foglalkozni vele viszonylag könnyen, de ezt az eljárást, és unalmas.
A legfontosabb dolog ebben az esetben - emlékezni arra, hogy mi foglalkozunk az operációs rendszer. Ezért kap a rendszerfájlok és különösen, hogy távolítsa el őket - a recept a problémákat. Ilyen intézkedés lehet jól vezetni, hogy a Windows nem tud futni.
Ezután minden lépésben meg kell hagyni a visszavonulást. Ehhez a Windows XP, Me, és kényelmes a használata a Rendszer-visszaállítás funkciót. amely garantálja a visszatérést a status tönkremenetele előtt. Ehhez, akkor kattintson a Start - Programok (XP - Minden program) - Kellékek - Rendszereszközök - Rendszer-visszaállítás - Készítsen egy visszaállítási pontot (Start - Programok (XP - Minden program) - Kellékek - Rendszereszközök - Hozzon létre egy pontot, ahonnan nincs visszatérés) és kövesse a varázsló utasításait. Ezek csücsök kell létrehozni, mielőtt minden változást.
Egyes rendszerfájlok vannak elrejtve, és a normális beállítás a Windows felület nem jelennek meg a képernyőn. Látni őket, nyissa ki a Explorer (Intéző), vagy bármilyen mappát ablakot, és válassza az Eszközök - Mappa beállításai - Részletek (Eszközök - Mappa beállításai - nézet). A megnyíló ablakban Váltás Rejtett fájlok és mappák (Rejtett fájlok és mappák), és győződjön meg arról, hogy a rendszerek kiterjesztésének elrejtése ismert fájltípusok (nem jelenik meg a nem ismert fájltípusok) és Hide operációs rendszer védett fájljainak (ajánlott) (Hide védett fájlokat az operációs rendszer (ajánlott)) le vannak tiltva. Válaszul a jövőben minden Windows-előrejelző kattintva az Igen gombra (Igen). (Majd még beszélni ezeket a figyelmeztetéseket.) Ezután legújabb verzióját futtatják az anti-vírus szoftverek és anti-spyware scanner. Ha szükségessé válik, hogy törölje a fájlt, ezt csak a teljes bizalommal, hogy rosszindulatú kódot tartalmaz. Például, ne törölje a rendszer mappákat a régi DLL könyvtár.
Mi működik a rendszer?
Most itt az ideje, hogy megtudja, milyen programok és szolgáltatások a számítógépen éppen most. A Task Manager (Feladatkezelő) tükrözi nem minden futó alkalmazást. Ezért, hogy megoldja ezt a problémát is jobb, hogy egy ingyenes segédprogram Sysinternals Process Explorer (www.sysinternals.com). Procexpnt.zip kicsomagolás a fájlt, és futás procexp.exe, azt találjuk, hogy míg a Task Manager a Windows Process Explorer - mint Sherlock Holmes képest Inspector Lestrade: talán nem olyan ragyogó néz ki, de működik, sokkal megbízhatóbb és hatékonyabb. És mellesleg, ellentétben a magánnyomozók dolgozik ingyen.
Konfigurálása Process Explorer így kiválaszthatja bármelyik aktív folyamat, és lásd az alsó panel listáját DLL-könyvtárak használ. Az oszlopot Command Line (Command Line) számoltak be, amelyekben mappában futó programok és a szolgáltatások esetében (amelyek néha futni svchost.exe) - hozzon a svchost.exe fut a szolgáltatás.
Az első gyanú folyamatok futnak a Temp mappában. Spyware, mint felszerelni, zug. Ugyanez vonatkozik azokra a folyamatokra, amelyek hivatkoznak a DLL-könyvtárak található a Temp mappában. „Tiszteletre méltó” programok futnak a Temp mappából egy esetben: ha az alkalmazás telepítése a InstallShield vagy bármely más telepítési eszközt. Amellett, hogy a explorer.exe Windows XP, valószínűleg jelennek meg, és más aktív folyamatok, beleértve Smss.exe, winlogon.exe, Services.exe alg.exe és lsass.exe. Mindegyikük szükséges a Windows. Ne érintse meg őket.
Számos nagyobb figyelmet érdemel egy „legitim” A Windows - rundll32.exe, ha ő lesz körében az aktív folyamatokat. Mert ez a program, néha elrejtik malware, elosztani DLL-fájlok - az általuk használt, mint egy ugródeszka letölthető. A Task Manager (Feladatkezelő) csak rundll32, de Process Explorer, az oszlop Command Line (Command Line) megjeleníti az összes DLL-könyvtár kapcsolatos rundll32. Mégis, mielőtt eltávolítja a folyamatot, győződjön meg arról, hogy valóban szükség van: ez RUNDLL32 „legitim” használ illesztőprogramok egyes készülékek. Ebben a döntésben segít az utat a DLL fájl.
Keresés behatolók
Ha a mező Leírás (Description) vagy cég neve (Company) tartalmazó vagy üres ismeretlen nevek valószínűleg egy kicsit mélyebbre ásni. Kattintson a jobb gombbal a folyamat nevét a listán Process Explorer, majd kattintson a Tulajdonságok (Properties). Ha a tartalmát a lap Image (kép) nem tisztázzák a helyzetet, nyissa meg a Szolgáltatások fülre (Szolgáltatás). Ez a lap felsorolja néhány „legális” szolgáltatás, amely a fő ablakban Process Explorer tartalmazza services.exe a csoport (és nem egy leírást a Leírás mezőben).
Tegyük fel például, hogy megtaláltuk a Process Explorer folyamat két szabad mezők leírása (Description) és cég neve (cég): slee81.exe és WLTRYSVC.EXE. Alaposabban szemügyre véve a Szolgáltatások fülre (Szolgáltatás) kiderül, hogy slee81.exe - ez a fájl Steganos Élő Encryption Engine. A felhasználó beállítja magát Steganos szoftvert a számítógépre, ne lepődj meg, hogy dolgoznak a háttérben. Ez nem sérti a védelmi rendszer, hanem egy ok arra, hogy úgy gondolja, hogy ha nem használja ezt a programot, akkor érdemes kikapcsolni, és engedje CPU erőforrások?
Elismerik a második fájlt, WLTRYSVC.EXE. még könnyebb - a mező tartalmát (Service). Mivel a folyamat nevét (WLTRYSVC szolgáltatás) kis tájékoztató találunk WLTRYSVC fájl található egy szint alá, és úgy találják, hogy WLTRYSVC folyamat elindult egy másik alkalmazás - BCMWLTRY.EXE. Ez a fájl azonosították Broadcom Wireless Network kisalkalmazásban - egy másik alkalmazás a számítógépre telepített.
Így a „fésű” minden aktív szolgáltatások és a háttér alkalmazások. A legnehezebb megoldani a problémát azokkal, akik nem azonosítható formában nem végez semmilyen hasznos funkciót. A nevek ilyen „sötét ló” kell keresni az interneten - esetleg tevékenységük nem tetszik.
Ha a program még mindig gyanú, hogy lehetséges, hogy úgy vélik, a Task List programok listáját AnswersThatWork.com hely, ahol van egy lista a közös programok, kémprogramok és vírusok közművek. Egy is használhatja folyamatosan működő helyi eszközökkel, például WinPatrol (www.winpatrol.com) és WinTasks 5 Professional (www.liutilities.com/products/wintaskspro/). Mindkét program csatlakozik a feltették az internetre adatbázis, amely információkat ezer DLL-könyvtárak és alkalmazások. Emellett WinTasks még mindig a „fekete lista” nemkívánatos folyamatok, amelyek megakadályozzák, hogy nem indul újra.
Azok, akik számára a keresést malware - tartós foglalkoztatás, lehet kihasználni a program Security Task Manager (www.neuber.com/taskmanager), amely megvizsgálja az összes futtatható fájlok és DLL vezetők, függetlenül attól, hogy aktív-e vagy sem.
És az utolsó. Keresés a fájl információkat az interneten nem lehet felületes. Minél több információt kap, annál valószínűbb, hogy nem törli a hasznos program vagy DLL-könyvtár hiba.
Viszonylag nemrég egy új fajta malware - rootkit-fájlok futó operációs rendszer kernel szintjén. Ezek az eszközök lehetővé teszik a hackerek elrejteni a nyomait a fájlokat (és maguk a fájlok) a fertőzött számítógépen. Szerencsére vannak olyan programok felismerni és eltávolítani a fertőzést.
Hackerek rootkit-menedzsment szoftver és támadások, valamint, hogy információt gyűjtsön a rendszerek, amelyek képesek telepíteni egy rootkit - általában egy vírus vagy hacker.
Azonban rootkit-működő programok szintjén az operációs rendszer magja, módosítsa a kernel vagy operációs rendszer összetevőit is. Ezen felül, ezek sokkal nehezebb felismerni.
Különösen néhány rootkit zavarják a rendszer kéri, át a kernel az operációs rendszer, és törli azokat, amelyek foglalkoznak rootkit-programokat. Általában ez vezet az a tény, hogy a tájékoztatás a program vagy hardver konfiguráció láthatatlanná válnak a rendszergazda vagy a keresési közművek malware.
Első rootkit-programban megjelent és elterjedt Linux és UNIX. Ahogy a neve is mutatja, lehetővé teszi, hogy a támadó hozzáférhet a legfelső szintet - a legmagasabb szintű rendszergazdai jogosultságokkal. A legveszélyesebb fajta rootkit - indítja megszakítóeszközök kulcsok, amelyek lehetővé teszik, hogy tudja a regisztrációs adatokat és jelszavakat.
Bogárok rootkit
A legtöbb szoftver detektorok, beleértve az anti-vírus, anti-spyware és IDS (Intrusion Detection érzékelők - behatolás érzékelő) nem érzékel rootkit-programot a sejtmagban.
Stratégiák elismerés kernel rootkit a fertőzött számítógépen kicsi, hiszen minden rootkit viselkedik a maga módján és a maga módján, hogy fedezze a számokat.
Néha lehet felismerni rootkit kernel, ellenőrzése fertőzött rendszert másik számítógépre a hálózaton. Egy másik módszer -, hogy indítsa újra a számítógépet a Windows PE. Rövidített változata a Windows XP fut CD-ROM, és hasonlítsa össze a profilokat, és tisztítsa meg a fertőzött operációs rendszereket.
A Windows fájlokat a rootkit-jó munkát ingyenes segédprogram RootkitRevealer (www.sysinternals.com), amely megkeresi a fájlok és rendszerleíró kulcsokat, amely releváns lehet a rootkit. Azonban a RootkitRevealer program nem védi a „bolond bizonyíték”: nem minden tárgyat találtak, hogy rosszindulatú. Annak érdekében, hogy hatékonyan használják a RootkitRevealer, az általa nyújtott információk kell helyesen értelmezni.
RootkitRevealer nem távolítja vagy blokk észlelt rootkit, és még csak nem is mondhatjuk biztosan, hogy az észlelt fájlt része egy rootkit. De ha a program észleli valamit, nem kell ezen a helyen, és az antivírus nem tudja eltávolítani - nagy a valószínűsége, hogy megtalálta azt, amit keresett.
RootkitRevealer kell egyedül dolgozni: a felhasználó kötelessége, hogy kapcsolja ki az összes többi programot, beleértve a háttérben, és az is, hogy automatikusan benne, mint például egy képernyővédő, hogy elhalasztja az egeret, lépésre a számítógépet, és hagyja RootkitRevealer hogy végezzék a munkájukat.
Ha a párhuzamosan RootkitRevealer a számítógép fog futni valami mást, a rendszer meghibásodása nem fordul elő, de a keresési kell majd bontani, és az eredmények pontatlanok lehetnek.
Az eredmény RootkitRevealer egy fájlok listáját, amelyek között esik NTFS metaadatok minden partíción. Ezek a fájlok jönnek létre a normál működés során a Windows, és nem minden esetben jelzik a jelenlétét a rootkit. Néhány különbség elfogadható. Például az első 10-20 eredmények öltheti hagyományos rendszerleíró kulcsok, hanem meg kell állni Hozzáférés megtagadva. Ez azt eredményezi, normál hagyományos rendszerben, függetlenül a jelenléte abban rootkit.
De a fájlok vannak megjelölve rejtett Windows API - van ok az aggodalomra. Ezek a fájlok lehetnek átmeneti mappák, Windows mappában, vagy valahol máshol a lemezen. Ha úgy találja, ezeket a fájlokat, próbálja navigálni őket a Windows Explorer (Windows Explorer), és ellenőrizze, hogy látnak ott? Ugyanakkor, és ez nem egy közvetlen bizonyíték. Például elrejteni fájlokat technológiák felhasználásával, mint hasznos programok, mint a Kaspersky Anti-Virus.
Sokkal több gyanús program hosszú fájlnevek álló véletlenszerű betűk és számok. Észlelése esetén az ilyen fájlok ajánlott frissíteni az anti-vírus, és hogyan lehet végrehajtani alaposabb ellenőrzést a számítógép.
A kevésbé tapasztalt felhasználók igénybe a víruskeresőt F-Secure BlackLight (www.f-secure.com/blacklight), amely észleli és semlegesíti rootkit-fájlokat. Annak ellenére, hogy a spártai design, ez elég komoly programot.
Ha eltávolítjuk a kernel rootkit nem maradhat a legvégső - a formázás a fertőzött meghajtót és az operációs rendszer újratelepítése.
Összefoglalva, azt látjuk, hogy bár a rootkit meg először a UNIX és Linux, ma már a legtöbb kedvelt - a Windows. Ilyen populyarnostostyu ez nemcsak az a kötelessége elterjedt, hanem a jelenlét is erős API (Application Programming Interfaces - alkalmazásprogramozási felület), hogy könnyen, hogy álcázza a valódi rendszer viselkedését. Népszerű Web-böngésző Internet Explorer csak leegyszerűsíti a behatoló a rendszert a hackerek, vírusok, férgek és elektronikai, gyakran hordozói rootkit-kódot.