Сводка недоступна. Нажмите эту ссылку, чтобы открыть запись.
-
Добро пожаловать
Добро пожаловать на блог "Записки хакера",я не являюсь хакером,просто знаю очень много информации
Я надеюсь мой блог поможет вам чему-то!
Использование SSH-тунелей
создано в
15:15
0
коммент.
Всем привет. Многие наверное сталкивались с проблемой маложивучести соксов и их присутствием в различных блеках. Как вы уже заметили сейчас набирает обороты продажа SSH-туннелей. SSH-туннель - это по сути своей тот же сокс, но работает он немного по другому принципу, что дает ему продолжительную живучесть. Да и в блеках SSH-туннели менее светятся. Их использование не представляет из себя ничего сложного, но многие еще не сталкивались с работой с SSH и иногда спрашивают в жабе показать как это делает. Поэтому я решил написать эту крохотную статейку, надеюсь вы найдете в ней пользу.
Итак, SSH-туннель выглядит так: 12.109.149.226;admin;default
12.109.149.226 - SSH IP
admin - логин
default - пароль
Мы будем использовать ачатовскую программу "Plinker", она очень проста:
Итак, SSH-туннель выглядит так: 12.109.149.226;admin;default
12.109.149.226 - SSH IP
admin - логин
default - пароль
Мы будем использовать ачатовскую программу "Plinker", она очень проста:
Собственно вводим все данные IP, логин, пароль SSH-туннеля, адрес локального сокса и доп параметры не трогаем, оставляем как есть.
Жмем старт. Вылетает командная строка:
Вводим букву "y", жмем ENTER.
Вуаля, туннель запущен.
Теперь запускаем всемизвестный проксифаер, вводим туда сокс,
который прописан в "Адрес локального сокса". Пользуемся.
Туннели хороши для тех случаев, когда нужно несколько раз зайти в один и тот же акк с одного IP (например в палку). Это быстрее чем с деда. Ну а насчет смертности SSH-туннелей, тут уж как повезет, ищите селлеров, покупайте, тестируйте. У меня жили 5-7 дней, думаю и больше проживут.
Скачать Plinker:
http://www.sendspace.com/file/rh3kwi
Ты аноним?????Ну да ведь тебе так сказали
создано в
15:03
0
коммент.
Анонимность в сети, к великому сожалению, почти не возможна.На самом деле вы, как тот смешной кот, надевший бумажный пакет на голову и анонимно бегающий по квартире.
Ваш трафф еще на уровне провайдера тщательно фильтруется на наличие определенных фраз (уже не отдельных слов, а целых осмысленных предложений),нужное надежно и навсегда фиксируется с занесением в "партийную книжицу", более того, возможности фильтров за последние годы серьезно возросли и теперь регистрируются визуальные материалы.
Индексация,применяется как способ оперативно-розыскных мероприятий (далее ОРМ). Благодаря ей в любом поисковике вы очень быстро найдете искомое, кстати, и не только вы. Индексация информации, требующей внимания, производится несколькими путями : самый простой - создание зеркал для скачивания "скачай action1488.zip на пупкин.ifolder.ru и получи маски-шоу на дом бесплатно". Смешно, не правда ли? А теперь вопрос. Сколько сейчас зеркал для того знаменитого видео (ну того самого)? Отвечу сразу, количество уже достигло десятка.Странно, а в первое время его днем с огнем было не найти,к тому же слишком опасен даже для простого хранения. Так для чего же столько зеркал? Как говорится, зри в корень.
Идентичный способ ОРМ в создании ультра-мега-брутального блога с соответствующим оформлением, лозунгами и хЫх терминами, с адресом хрень.живойжурнал. Особенно умиляет разделы "только для зарегистрированных друзей", это вас индексируют, чтобы легче было список составлять для рапорта.
Следующий способ ОРМ максимально прост и действует во всех провайдерах.Анализ траффа.Полная регистрация обращений на домены банановых республик,Африки и остальных, якобы свободных от законов, точек на карте.Кликнул на хрень.сс и ты в списке, точная и полная копия запрашиваемой страницы в архиве дополнит рапорт.Далее идет анализ вашего анонимного траффа, анализируется использование шифрованных соединений, длительность сеансов и обьем передаваемой информации, исследуется степень защищенности твоего железа, например, к чему круто настроенный агнитум с наглухо закрытыми портами, на развернутой виртуальной машине у студента филфака?
Как ловят п-и-едофилов в пиринговых сетях, при физической недосягаемости оригинального источника? Просто интересуются почему обьем вашего месячного аплоада в торренте так мал в отношении к скачанному, может вы скачиваете то, чем боитесь поделиться с другими? Будьте уверены внесут в список и отправят на подробный анализ.Никакой прокси не поможет.
Вот мы и добрались до самого могучего средства анонимности, великого, непобедимого и анонимного Прокси. Боюсь слишком быстро развенчать вашу уверенность в силу прокси .Вам врут, утверждающие, что трафф абсолютно анонимен. Пользуйтесь на здоровье, к вам придут не завтра и не через месяц, но обязательно придут и спросят. Вам врут, утверждающие, что это дело рук подлых спецслужб. У них слишком много юридических закорючек и контролирующих структур. А вот для большого бизнеса самый раз, дико простая и дважды выгодная схема. Коммерческая кампания предоставляет услуги платного прокси и площадки для отличного абузоустойчивого хостинга.Сервис действительно отличный, скоростной и непробиваемый. Вы купили сервис у тридесятого посредника и уверены, что вокруг одни коралловые рифы,а у смешного СБУ нет в наличии патрульных кораблей. Ведь в рекламе не стыдясь, публикуют адреса детского прона, дескать у нас вот такие уже пару лет процветают, и вы тоже будете цвести и пахнуть, всего за пару сотен зелени в месяц.Проходит год, два, пять... база пользователей собрана, трафф задокументирован, платежки отслежены.В нейтральную страну для встречи с заинтересованными сторонами выезжает крутой адвокат с деловым предложением и администраторскими паролями.
Вот так умные люди зарабатывают немерянно на хостинге, получают за базу нехилый счет в банке и медаль за отвагу, а вам отводят теплое местечко в холодных краях.
Рассмотрим самый анонимный из всех анонимных сервисов - цепочка индивидуальных мини-прокси Тор.Грамотная система-луковка без центра, без оплаты и без тревоги за будущее.С первым и вторым согласен.А вот тревога за будущее есть. Система действительно анонимна, если только чужие звенья цепи не заменят на свои, подконтрольные.
Включите и просмотрите в "Панель управления" закладку "Просмотреть сеть".В левом окне виден список рабочих серверов, их местонахождение и скорость.Обратите внимание в окне на то, что пишет в окошке "Соединения" и "Состояние".Там цепочка, например, BMWANON2,KODZERO,KYRONG.Внимательно просмотрим работу цепочки, откройте пару новостных страниц в браузере и взгляните как происходит соединение, можно увидеть что содержимое сайта лента.вру поступает через порт 80,в виде списка видны адреса типа img.lenta.vru, адреса счетчиков и рекламных модулей.
BMWANON2,KODZERO,KYRONG первый и последний сервер в цепочке не интересен для меня, у немцев и корейцев есть свои проблемы, им не до нас. А вот KODZERO, примечателен своей скоростью, Тор с завидной постоянностью вносит его в список цепочек.Несколько раз менял ним и заново запускал Тор, на каждый второй, третий раз появлялся KODZERO.Пощупаем его методом научного тыка.
Местонахождение: Saint Petersburg, RU ( ух, а вот и коралловый риф)
IP адрес: 92.62.52.90
Платформа: Tor 0.2.0.34 (r18423) on FreeBSD i386
Трафик: 1191 KB/s
Время работы: 1 days 1 hours 22 mins 15 secs
Обновление: 2009-08-26 13:25:16 GMT
Вбиваем IP адресок в поисковик и получаем
inetnum: 92.62.52.0 - 92.62.52.255
netname: NIENSCHANZ (das is Leningrad?)
descr: Nienschanz Telecom Ltd individual clients
country: RU
person: Dmitrij Novikov
address: CJSC "Nienschanz"
address: 2, Voroshilova str.
address: 193318, Saint-Petersburg
address: Russia
phone: +7 812 326 1090 ext 2311
phone: +7 812 326 0066
Провайдер, очень анонимный и очень русский.Теперь представьте,что все три имени в цепочке принадлежат таким вот очень русским серверам, а вы мечтательно блуждаете в иллюзии полной безнаказанности.Вот вам ваша анонимность.Искать иголку в стоге сена, говорите.Есть такая профессия, специализируется на иголках.
зы. Подлинно анонимен тот, кто вообще вне сети.А умника,откусившего порт для выхода в сеть с анлимом, взломав чужой комп, не существует.Вам лишь почудилось.
Далее отвечает хозяин узла (хотя мне кажется пиздешь) :
KODZERO
Мистер Dead2KFR к великому сожалению технически не компетентен в теме , которую он поднял, про анонимность в сети. Как держатель данного ресурса по адресу 92.62.52.90 могу с полной уверенностью заявить , что технически существует возможность взять траф с тора только на точке выхода. Как посредник в данной цепочке трафик не читается , так как ключик шифрования на какой-то момент времени для клиента лежит на замыкающем узле образованной цепочки. У каждого сервиса он один, да и машин в цепочке на самом деле не три как на картинке , а минимум три. Я не буду ничего излагать , вы можете обратиться к википедии по поводу ТОР или на официальный сайт. В википедии ясно и четко написано , что это действительно военная разработка министерства обороны США.
Только в руках самурая, его меч , имеет действительно свой разящий потанцевал. Хочу этим сказать, если вы действительно печетесь о своей анонимности, наймите самурая, раз ваша информация такая ценная, не надо заниматься самодеятельностью. Спрятаться технически реально в наши дни. Для таких параноиков , как Dead2KFR, если вы не доверяете ТОР , то соедините все в цепочку VPN + TOR + SSH , тогда вас точно никто не поймает. Только вот вопрос , действительно ли ваша информация имеет такую ценность ?))) И откуда вы тут взялись на этом форуме с таким постом и одним сообщением, столько много писали , столько усилий вложили , кто вы инкогнито ?))) , который ведет анти пропаганду, хоть и не быстрого, но действительно работающей анонимности в сети ? Тут недавно компьютерные ученые хвастались на презентации , что якобы научились отлавливать конечный адрес в течении 20 минут с сервиса на которое ведут нападение , если нападающий не меняется ним. )))) Смешно … А если там еще скоростной VPN + SSH и чел меняет НИМ ? )))) А ли вы именно тот ученый ?
Я то ладно , ваш пост через гугл нашел , так тут появился .
Не думайте , что я благотворительностью занимаюсь . Во всем этом тоже есть мой интерес . Левый трафик многих пользователей также дает своего рода анонимность для меня, а во вторых , скорее всего данный сервис существует из идеологических соображений о свободе слова и приватности информации, что это должно быть бесплатно.
Ну само собой , если вы полезите через данную цепочку в контакт.ру , то смысл всей вашей приватности теряется , так как вы находитесь в своей анкете и с людми , которые вас связывают в реальной жизни . Мое мнение , что истинному профессионалу установить ваше место положение координат на земной поверхности за 15-20 минут по мобиле которая у вас лежит в кармане , пусть даже с симкой, зарегистрированной не на вашу фамилию и имя.
Вот она сила , вот так сейчас ловят , вконтакте.ру и мобилка , которая у вас в кармане .))) Но таким способом , как вы написали, виртуального самурая не поймать.
Sigitov, если у тебя есть финансовая возможность и современный интеллект , то если захочешь , то не найдут. Надо просто все внимательно и медленно просчитать , выполнив это единожды.
Kostolom - какой способный экстрасенс )))))) Ничего , не переживай , если начнется третья гражданская в силу убеждений и готовности людей пойдем партизанить в леса, взорвем все вышки и перерубим оптику , чтобы не быть косным оружием в чьих-то больных идеях и поддержим собратьев за мнимыми границами , которые просто нажива и давно уже нет …
Последствия данных действий: Правительства стран в одиночестве и обиде на своих граждан, красные кнопки , а далее ядерная зима ))) Вот так все просто и логично …
Ваш трафф еще на уровне провайдера тщательно фильтруется на наличие определенных фраз (уже не отдельных слов, а целых осмысленных предложений),нужное надежно и навсегда фиксируется с занесением в "партийную книжицу", более того, возможности фильтров за последние годы серьезно возросли и теперь регистрируются визуальные материалы.
Индексация,применяется как способ оперативно-розыскных мероприятий (далее ОРМ). Благодаря ей в любом поисковике вы очень быстро найдете искомое, кстати, и не только вы. Индексация информации, требующей внимания, производится несколькими путями : самый простой - создание зеркал для скачивания "скачай action1488.zip на пупкин.ifolder.ru и получи маски-шоу на дом бесплатно". Смешно, не правда ли? А теперь вопрос. Сколько сейчас зеркал для того знаменитого видео (ну того самого)? Отвечу сразу, количество уже достигло десятка.Странно, а в первое время его днем с огнем было не найти,к тому же слишком опасен даже для простого хранения. Так для чего же столько зеркал? Как говорится, зри в корень.
Идентичный способ ОРМ в создании ультра-мега-брутального блога с соответствующим оформлением, лозунгами и хЫх терминами, с адресом хрень.живойжурнал. Особенно умиляет разделы "только для зарегистрированных друзей", это вас индексируют, чтобы легче было список составлять для рапорта.
Следующий способ ОРМ максимально прост и действует во всех провайдерах.Анализ траффа.Полная регистрация обращений на домены банановых республик,Африки и остальных, якобы свободных от законов, точек на карте.Кликнул на хрень.сс и ты в списке, точная и полная копия запрашиваемой страницы в архиве дополнит рапорт.Далее идет анализ вашего анонимного траффа, анализируется использование шифрованных соединений, длительность сеансов и обьем передаваемой информации, исследуется степень защищенности твоего железа, например, к чему круто настроенный агнитум с наглухо закрытыми портами, на развернутой виртуальной машине у студента филфака?
Как ловят п-и-едофилов в пиринговых сетях, при физической недосягаемости оригинального источника? Просто интересуются почему обьем вашего месячного аплоада в торренте так мал в отношении к скачанному, может вы скачиваете то, чем боитесь поделиться с другими? Будьте уверены внесут в список и отправят на подробный анализ.Никакой прокси не поможет.
Вот мы и добрались до самого могучего средства анонимности, великого, непобедимого и анонимного Прокси. Боюсь слишком быстро развенчать вашу уверенность в силу прокси .Вам врут, утверждающие, что трафф абсолютно анонимен. Пользуйтесь на здоровье, к вам придут не завтра и не через месяц, но обязательно придут и спросят. Вам врут, утверждающие, что это дело рук подлых спецслужб. У них слишком много юридических закорючек и контролирующих структур. А вот для большого бизнеса самый раз, дико простая и дважды выгодная схема. Коммерческая кампания предоставляет услуги платного прокси и площадки для отличного абузоустойчивого хостинга.Сервис действительно отличный, скоростной и непробиваемый. Вы купили сервис у тридесятого посредника и уверены, что вокруг одни коралловые рифы,а у смешного СБУ нет в наличии патрульных кораблей. Ведь в рекламе не стыдясь, публикуют адреса детского прона, дескать у нас вот такие уже пару лет процветают, и вы тоже будете цвести и пахнуть, всего за пару сотен зелени в месяц.Проходит год, два, пять... база пользователей собрана, трафф задокументирован, платежки отслежены.В нейтральную страну для встречи с заинтересованными сторонами выезжает крутой адвокат с деловым предложением и администраторскими паролями.
Вот так умные люди зарабатывают немерянно на хостинге, получают за базу нехилый счет в банке и медаль за отвагу, а вам отводят теплое местечко в холодных краях.
Рассмотрим самый анонимный из всех анонимных сервисов - цепочка индивидуальных мини-прокси Тор.Грамотная система-луковка без центра, без оплаты и без тревоги за будущее.С первым и вторым согласен.А вот тревога за будущее есть. Система действительно анонимна, если только чужие звенья цепи не заменят на свои, подконтрольные.
Включите и просмотрите в "Панель управления" закладку "Просмотреть сеть".В левом окне виден список рабочих серверов, их местонахождение и скорость.Обратите внимание в окне на то, что пишет в окошке "Соединения" и "Состояние".Там цепочка, например, BMWANON2,KODZERO,KYRONG.Внимательно просмотрим работу цепочки, откройте пару новостных страниц в браузере и взгляните как происходит соединение, можно увидеть что содержимое сайта лента.вру поступает через порт 80,в виде списка видны адреса типа img.lenta.vru, адреса счетчиков и рекламных модулей.
BMWANON2,KODZERO,KYRONG первый и последний сервер в цепочке не интересен для меня, у немцев и корейцев есть свои проблемы, им не до нас. А вот KODZERO, примечателен своей скоростью, Тор с завидной постоянностью вносит его в список цепочек.Несколько раз менял ним и заново запускал Тор, на каждый второй, третий раз появлялся KODZERO.Пощупаем его методом научного тыка.
Местонахождение: Saint Petersburg, RU ( ух, а вот и коралловый риф)
IP адрес: 92.62.52.90
Платформа: Tor 0.2.0.34 (r18423) on FreeBSD i386
Трафик: 1191 KB/s
Время работы: 1 days 1 hours 22 mins 15 secs
Обновление: 2009-08-26 13:25:16 GMT
Вбиваем IP адресок в поисковик и получаем
inetnum: 92.62.52.0 - 92.62.52.255
netname: NIENSCHANZ (das is Leningrad?)
descr: Nienschanz Telecom Ltd individual clients
country: RU
person: Dmitrij Novikov
address: CJSC "Nienschanz"
address: 2, Voroshilova str.
address: 193318, Saint-Petersburg
address: Russia
phone: +7 812 326 1090 ext 2311
phone: +7 812 326 0066
Провайдер, очень анонимный и очень русский.Теперь представьте,что все три имени в цепочке принадлежат таким вот очень русским серверам, а вы мечтательно блуждаете в иллюзии полной безнаказанности.Вот вам ваша анонимность.Искать иголку в стоге сена, говорите.Есть такая профессия, специализируется на иголках.
зы. Подлинно анонимен тот, кто вообще вне сети.А умника,откусившего порт для выхода в сеть с анлимом, взломав чужой комп, не существует.Вам лишь почудилось.
Далее отвечает хозяин узла (хотя мне кажется пиздешь) :
KODZERO
Мистер Dead2KFR к великому сожалению технически не компетентен в теме , которую он поднял, про анонимность в сети. Как держатель данного ресурса по адресу 92.62.52.90 могу с полной уверенностью заявить , что технически существует возможность взять траф с тора только на точке выхода. Как посредник в данной цепочке трафик не читается , так как ключик шифрования на какой-то момент времени для клиента лежит на замыкающем узле образованной цепочки. У каждого сервиса он один, да и машин в цепочке на самом деле не три как на картинке , а минимум три. Я не буду ничего излагать , вы можете обратиться к википедии по поводу ТОР или на официальный сайт. В википедии ясно и четко написано , что это действительно военная разработка министерства обороны США.
Только в руках самурая, его меч , имеет действительно свой разящий потанцевал. Хочу этим сказать, если вы действительно печетесь о своей анонимности, наймите самурая, раз ваша информация такая ценная, не надо заниматься самодеятельностью. Спрятаться технически реально в наши дни. Для таких параноиков , как Dead2KFR, если вы не доверяете ТОР , то соедините все в цепочку VPN + TOR + SSH , тогда вас точно никто не поймает. Только вот вопрос , действительно ли ваша информация имеет такую ценность ?))) И откуда вы тут взялись на этом форуме с таким постом и одним сообщением, столько много писали , столько усилий вложили , кто вы инкогнито ?))) , который ведет анти пропаганду, хоть и не быстрого, но действительно работающей анонимности в сети ? Тут недавно компьютерные ученые хвастались на презентации , что якобы научились отлавливать конечный адрес в течении 20 минут с сервиса на которое ведут нападение , если нападающий не меняется ним. )))) Смешно … А если там еще скоростной VPN + SSH и чел меняет НИМ ? )))) А ли вы именно тот ученый ?
Я то ладно , ваш пост через гугл нашел , так тут появился .
Не думайте , что я благотворительностью занимаюсь . Во всем этом тоже есть мой интерес . Левый трафик многих пользователей также дает своего рода анонимность для меня, а во вторых , скорее всего данный сервис существует из идеологических соображений о свободе слова и приватности информации, что это должно быть бесплатно.
Ну само собой , если вы полезите через данную цепочку в контакт.ру , то смысл всей вашей приватности теряется , так как вы находитесь в своей анкете и с людми , которые вас связывают в реальной жизни . Мое мнение , что истинному профессионалу установить ваше место положение координат на земной поверхности за 15-20 минут по мобиле которая у вас лежит в кармане , пусть даже с симкой, зарегистрированной не на вашу фамилию и имя.
Вот она сила , вот так сейчас ловят , вконтакте.ру и мобилка , которая у вас в кармане .))) Но таким способом , как вы написали, виртуального самурая не поймать.
Sigitov, если у тебя есть финансовая возможность и современный интеллект , то если захочешь , то не найдут. Надо просто все внимательно и медленно просчитать , выполнив это единожды.
Kostolom - какой способный экстрасенс )))))) Ничего , не переживай , если начнется третья гражданская в силу убеждений и готовности людей пойдем партизанить в леса, взорвем все вышки и перерубим оптику , чтобы не быть косным оружием в чьих-то больных идеях и поддержим собратьев за мнимыми границами , которые просто нажива и давно уже нет …
Последствия данных действий: Правительства стран в одиночестве и обиде на своих граждан, красные кнопки , а далее ядерная зима ))) Вот так все просто и логично …
Защищенная ось без антивирусов и тормозов
создано в
12:50
0
коммент.
Автор - Крис Касперски.
Защищенная ось без антивирусов и тормозов
Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. Самый лучший антивирус — это сама ось! Нужно только научиться правильно ею пользоваться!
Терминологические войны
Windows NT (и все производные от нее системы — W2K, XP и частично Vista) изначально проектировалась как защищенная оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, необходимо уточнить ряд определений.
Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS, когда единственным средством добычи новых программ были дискеты товарища или, в лучшем случае, FIDO и BBS. С эпидемиологической точки зрения, все это создавало крайне напряженную обстановку. Копировать программы друг у друга — все равно что ширяться из одного шприца. С другой стороны, антивирус годичной давности считается вполне свежим и актуальным. Основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.
С появлением сети пользователи стали закачивать дистрибутивы программ из инета, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно не обязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь. Такие вирусы принято называть червями, и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.
Еще существуют «психологические» вирусы, представляющие собой обыкновенные исполняемые файлы и распространяющиеся через вложения электронной почты, ICQ, web и ftp. Свою историю они ведут от «крэкеров интернета», завлекающих бесплатным доступом в сеть, а на самом деле, форматирующим жесткий диск. Этот подкласс заразы назвали Троянским Конем. Сейчас же времена первобытного варварства остались позади, и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливают шпионскую закладку, похищающую пароли и содержимое электронных кошельков. Такие компьютеры принято называть зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей. Например, рассылать спам.
Антивирусы — за гранью возможного
Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти, на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлы средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скачанной из сети.
Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами и проверяющий их на лету, — это дополнительные тормоза (подчас очень значительные): конфликты, критические ошибки, голубые экраны смерти и прочий ничем не оправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности никакой гарантии, что вся зараза будет распознана, у нас нет. Более того, вирус, упакованный слегка подправленной версией крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП, и для их снятия требуется статический распаковщик, входящий в «движок» антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию, неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2), и антивирус идет лесом, поскольку переменная длина x86 инструкций не позволяет ему определить начало следующей машинной команды!
Впрочем, даже если антивирусу удастся побороть упаковщик и передать эвристику, распакованный код никаких вирусных признаков все равно там ни за что не обнаружит, ну разве что это будет пионерский вирус. Наличие незашифрованных текстовых строк с ключами реестра, ответственными за автозапуск, имен исполняемых файлов антивирусных программ, команд в стиле «rm -rf/» с высокой степенью указывает на зловредную программу, но их очень легко зашифровать. Еще эвристик может анализировать таблицу импорта и аргументы, передаваемые функции GetProcAddress. А если там встретится WriteProcessMemory, VirtualAllocEx, CreateRemoteThread или что-то еще в этом роде, он сделает вывод, что имеет дело с программой, способной внедряться в другие процессы. Верный признак червей и отладчиков. Ситуация сильно осложняется тем, что многие вирусные приемы сейчас активно используются протекторами, и, если эвристик не утихомирить, он отправит в топку добрую половину легальных программ, чего допускать ни в коем случае нельзя! Да и вообще, если создатель вируса неглупый человек, то он многократно прогонит его через различные эвристики, добиваясь их полной и безоговорочной капитуляции.
Что же касается червей (и, в частности, нашумевшего MS BLAST, известного также под кличкой Love San), то это вообще песня. Удаляют его антивирусы, не удаляют — что толку? Пока есть дыра, он словно феникс из пепла будет появляться вновь и вновь. К тому же всегда существует вероятность, что кто-то умный напишет свой собственный shell-код, не имеющий с MS BLAST'ом ничего общего, а потому и не детектируемый никаким антивирусом! Некоторые дыры можно закрыть брандмауэром, но в общем случае для этого необходимо установить заплатку от производителя уязвимого продукта, которым может быть как сама ось, так и один из ее компонентов: IE, FireFox и т.д.
Еще существует такой тип антивирусов, как ревизоры, в задачу которых входит проверка целостности существующих файлов и контроль за вновь созданными. Некоторые ревизоры также контролируют и реестр, особенно ветки, прямо или косвенно ответственные за автоматический запуск программ. Во времена MS-DOS это была очень хорошая штука, но сейчас винчестеры так разжирели, что процедура сканирования отнимает кучу времени, к тому же многие сканеры содержат ошибки, позволяющие заразить файл без изменения его контрольной суммы (см. статью «Как подделывают CRC16/32», опубликованную в «Хакере»), не говоря уже о том, что при правильной политике разграничения доступа сводит актуальность сканеров на нет, тем более, начиная с W2K, система сама контролирует целостность жизненно-важных файлов через механизм SFC. Ну вот, сейчас кто-то скажет, что SFC легко обмануть, особенно если вирус стелсируется на уровне ядра или вообще не внедряется ни в какие объекты файловой системы, существуя лишь в виртуальной памяти какого-нибудь процесса.
Контроль над целостностью виртуальной памяти процессоров берут на себя как антивирусы, так и персональные брандмауэры, распознающие и отсекающие все известные способы внедрения в чужое адресное пространство, да вот только работает этот механизм кое-как. Зловредному коду, запущенному с пониженными привилегиями, доступ к чужим процессам можно запретить средствами самой операционной системы, а код, запущенный с правами администратора, пройдет сквозь все уровни защиты, как нож сквозь масло (при условии, что его писал не пионер, а хотя бы комсомолец). Самое неприятное, что существует множество легальных программ, например, мультимедийных клавиатур и мышей, использующих внедрение в чужое адресное пространство для реализации своих мультимедийных возможностей, поэтому слепой запрет брандмауэра/антивируса приведет к их неработоспособности! Значит, необходимо предоставить пользователю возможность выбора. А сможет ли он отличить честную программу от нечестной? Но даже не это самое страшное. Чем глубже внедряется брандмауэр/антивирус в систему, тем сложнее зловредному коду его обойти, но и тем больше конфликтов и глюков он (брандмауэр/антивирус) вызывает.
Получается так, что грамотно настроенной системе никакой антивирус не нужен, а с безграмотной никакой антивирус все равно не справится (брандмауэр стоит ставить только затем, чтобы отделить домашнюю локальную сеть от интернета и следить за сетевой активностью установленных программ, выявляя не только шпионов, но и легальные программы, пытающиеся проверить корректность регистрации).
Никакие, даже самые совершенные антивирусы ни от чего не спасают! При этом они стоят немалых денег, пожирают сетевой трафик частыми обновлениями, вызывают конфликты и тормозят работу системы, между тем система вполне может справиться с вирусами и сама — никакие дополнительные костыли ей не нужны!
Разграничение доступа — попробуй пробей
В отличие, например, от BSD, Windows NT не является многопользовательской операционной системой, поскольку только один пользователь может работать с компьютером в любой момент времени, и прежде чем переключиться на другого, необходимо завершить текущий сеанс, закрыв все приложения, и лишь потом… А вот в BSD все очень просто: нажал Alt-F#, переключился на соседнюю консоль — и все! В Windows XP наконец-то появилась возможность переключения сеансов разных пользователей без завершения, но механизма взаимодействия между пользователями как не было, так и нет.
Правда, в текущем сеансе можно запускать программы от имени другого пользователя, но это, во-первых, совсем не то, а во-вторых, далеко не все программы соглашаются на такой запуск, и еще меньше из них сохраняют свою работоспособность в полном объеме. Так что без бубна здесь не обойтись. Если нет бубна, то сойдет и обычный оцинкованный таз.
Идея противостояния вирусам заключается в выборе правильной политики разграничения доступа, тогда вирус (или другая зловредная программа) просто не сможет напакостить и нанести значительный урон. А для этого все потенциально опасные программы нужно запускать в своеобразной песочнице. В идеале — на виртуальной машине типа VMware, но про VMware мы уже неоднократно писали, а вот про разграничение доступа материалов практически нет.
Начнем с того, что никогда, ни при каких обстоятельствах не следует постоянно сидеть под «администратором», поскольку любая запущенная программа может делать с системой все, что ей вздумается. Под администратором следует заходить в систему только для выполнения «ремонтных» работ — установки новых драйверов, изменения параметров конфигурации и т.д. А все остальное время проводить под «опытным пользователем» или просто «пользователем» с ограниченным доступом. Чем меньше у вас привилегий, тем меньше их и у каждой запущенной вами программы, однако под обыкновенным пользователем многие программы работать отказываются, поскольку требуют записи в каталог Program Files или в другие «злачные» места. Зато потом наступает тишь да гладь — ни вирусов, ни другого малваре.
Необходимость в периодическом резервировании, естественно, до сих пор существует. Надежнее всего резервироваться на CD-R/RW, DVD-RW, ZIP, стримеры и прочие внешние носители информации, однако это непроизводительно, неудобно, да и надежность у винчестеров все же повыше будет, чем у того же CD-RW. Поступим так. Создадим нового пользователя с администраторскими правами (Пуск -> Панель Управления -> пользователи и пароли -> Имя -> Пароль -> Другой -> Администраторы), назовем его, к примеру, «backup», зайдем под его именем в систему, создадим каталог general-stores (то есть общее хранилище) и скопируем туда все, что необходимо. Затем, щелкнув по каталогу правой кнопкой мыши, в появившемся контекстом меню выбираем вкладку «свойства», а там — «безопасность» со списком допущенных лиц. По умолчанию каталог доступен для всех, что никак не входит в наши планы, поэтому удаляем «всех» напрочь, предварительно сбросив галочку «переносить наследуемые от родительского объекта разрешения на этот объект». Все!!! Теперь этот каталог недоступен никому, даже системе! И только владелец, создавший его (то есть «backup»), может войти в раздел «безопасность» и вернуть «всех» на место. Внимание! Администратор не сможет этого сделать! Ну вообще-то, чтобы так не извращаться, после удаления «всех» можно добавить пользователя «backup», делегировав ему полный доступ к каталогу. Все же остальные пользователи, включая членов группы, добраться до этого каталога не смогут. Хорошая защита от вирусов и прочих деструктивных программ, неправда ли? Кстати говоря, задумаемся, а что произойдет, если случайно (преднамеренно) удалить пользователя «backup»? Ведь тогда доступ к архиву не сможет получить никто! К счастью, штатная утилита chkdsk распознает такую ситуацию, и, если видит подобный каталог-зомби, она автоматически возвращает «всех», воскрешая информацию из небытия.
Песочница — не только детская радость
Нашей следующей задачей будет постройка «песочницы» для всех тех программ, что могут быть атакованы из сети, к числу которых принадлежит IE, Fire Fox, Outlook Express, The Bat, ICQ и другие. Каждая из них должна быть запущена из-под ограниченного пользователя, не имеющего доступа ни к каким каталогам, кроме тех, которые явно нужны самой программе. В принципе, можно завести одного ограниченного пользователя на всех, обозвав его, к примеру, «sandbox» (то есть песочница), однако в этом случае червь, пробравшийся через IE, сможет разрушить почтовую базу, накопленную за многие годы, что будет обидно. Поэтому лучше всего дать каждой программе по пользователю (конечно, это увеличивает потребности системы в памяти, но не столь радикально).
Итак, создан ограниченный пользователь «sandbox», в свойствах «безопасности» каждого каталогов (или всех дисков целиков) «sandbox» добавлен, и доступ ему запрещен (политика запрета имеет приоритет над политикой разрешений, поэтому удалять «всех» совершенно не обязательно). По завершению этой нехитрой операции у sandbox'а останутся только те каталоги, которые ему нужны (как правило, это каталоги самой программы, причем без права записи в исполняемые файлы).
Попробуем запустить в песочнице, например, Firefox. Создаем ярлык с firefox.exe (если только это не сделал инсталлятор), щелкаем по нему правой клавишей, идем в «свойства», затем — в «дополнительно» и там взводим галочку «запускать от имени другого пользователя». Говорим «ОК» и запускаем. Появляется грозное диалоговое окно, требующее ввода имени и пароля. Вводим. И… Горящий Лис не запускается! Между прочим, в Linux/BSD подобная операция протекает без каких бы то ни было проблем (в XP и выше проблем с конкретной Firefox также не возникает. — Прим. редактора). А здесь нужен бубен или более конкретно — файловый монитор Марка Руссиновича, показывающий, на каких именно файловых операциях программа обламывается (вот так, значит, разработчики относятся к сообщениям об ошибках). Качаем файловый монитор: www.sysinternals.com/Utilities/Filemon.html (он, кстати, занимает меньше двухсот килобайт и распространяется совершенно бесплатно). Запускаем из-под администратора: создаем ярлык и взводим уже известную нам галочку «запускать от…»! В данном случае файловый монитор запускается, потому что запрограммирован правильно, и мы быстрым спортивным шагом идем в Options -> Filter/Highlight или нажимаем <CTRL-L>. В появившемся диалоговом окне взводим все галочки, кроме «Log Successes», поскольку мониторить успешные операции нам незачем! Нам нужны ошибки! Нажимаем «OK» и перезапускаем программу (фильтр будет действовать только после запуска). Вновь запускаем Горящего Лиса. Что мы видим? Сначала идут ошибки поиска динамических библиотек в тех каталогах, где их нет — это нормально. А вот дальше Горящий Лис пытается создать папку Mozilla прямо в каталоге WINNT (в ней он хранит свои настройки, кэш страниц и т.д.), куда его, естественно, не пускают, и он тихо умирает.
Да… задача. Пробуем утилиту командной строки runas, запустив ее так: «runas /user:sandbox firefox.exe» (при этом firefox.exe должен быть в текущей директории). Нас деловито спрашивают пароль и… ничего! Теперь Горящий Лис лезет в Document n Setting\Default User, куда ему также нет доступа! В чем же дело?! В чем причина?! А в том, что для корректной работы большинства программ необходимо загрузить еще и профиль пользователя, от имени которого мы их запускаем, поэтому правильный вариант выглядит так: «runas /profile /user:sandbox firefox.exe». Теперь запуск проходит без проблем!
А вот Опера хранит кэш не в профиле пользователя, а непосредственно в своем каталоге (впрочем, это зависит от ее настроек), поэтому sandbox'у необходимо присвоить права на запись в «program files\opera».
Остальные программы «распутываются» аналогичным образом. Если не помогает файловый монитор, то качаем монитор реестра (www.sysinternals.com/Utilities/Regmon.html) и смотрим, в каких ветвях нуждается программа. Маленький подводный камень: перенаправить ввод с клавиатуры на файл, увы, не удастся, и пароль придется каждый раз вводить вручную, что напрягает. Впрочем, программисты запросто напишут программу, лишенную этих недостатков. Нам же главное — создать кучу пользователей, распределив права доступа так, чтобы зловредные программы не имели никаких шансов ни для размножения, ни для шпионской деятельности.
Заключение
Создание защищенной системы без использования антивирусов — это реально! Пускай на первоначальном этапе нам придется проделать большой объем работы и очень много думать головой, создавая столько пользователей, чтобы полностью изолировать одно потенциально опасное приложение от всех остальных. Зато будешь знать наверняка, что, работая на твоей любимой машине, домашние ничего плохого с ней сделать не смогут.
Защищенная ось без антивирусов и тормозов
Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. Самый лучший антивирус — это сама ось! Нужно только научиться правильно ею пользоваться!
Терминологические войны
Windows NT (и все производные от нее системы — W2K, XP и частично Vista) изначально проектировалась как защищенная оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, необходимо уточнить ряд определений.
Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS, когда единственным средством добычи новых программ были дискеты товарища или, в лучшем случае, FIDO и BBS. С эпидемиологической точки зрения, все это создавало крайне напряженную обстановку. Копировать программы друг у друга — все равно что ширяться из одного шприца. С другой стороны, антивирус годичной давности считается вполне свежим и актуальным. Основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.
С появлением сети пользователи стали закачивать дистрибутивы программ из инета, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно не обязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь. Такие вирусы принято называть червями, и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.
Еще существуют «психологические» вирусы, представляющие собой обыкновенные исполняемые файлы и распространяющиеся через вложения электронной почты, ICQ, web и ftp. Свою историю они ведут от «крэкеров интернета», завлекающих бесплатным доступом в сеть, а на самом деле, форматирующим жесткий диск. Этот подкласс заразы назвали Троянским Конем. Сейчас же времена первобытного варварства остались позади, и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливают шпионскую закладку, похищающую пароли и содержимое электронных кошельков. Такие компьютеры принято называть зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей. Например, рассылать спам.
Антивирусы — за гранью возможного
Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти, на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлы средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скачанной из сети.
Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами и проверяющий их на лету, — это дополнительные тормоза (подчас очень значительные): конфликты, критические ошибки, голубые экраны смерти и прочий ничем не оправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности никакой гарантии, что вся зараза будет распознана, у нас нет. Более того, вирус, упакованный слегка подправленной версией крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП, и для их снятия требуется статический распаковщик, входящий в «движок» антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию, неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2), и антивирус идет лесом, поскольку переменная длина x86 инструкций не позволяет ему определить начало следующей машинной команды!
Впрочем, даже если антивирусу удастся побороть упаковщик и передать эвристику, распакованный код никаких вирусных признаков все равно там ни за что не обнаружит, ну разве что это будет пионерский вирус. Наличие незашифрованных текстовых строк с ключами реестра, ответственными за автозапуск, имен исполняемых файлов антивирусных программ, команд в стиле «rm -rf/» с высокой степенью указывает на зловредную программу, но их очень легко зашифровать. Еще эвристик может анализировать таблицу импорта и аргументы, передаваемые функции GetProcAddress. А если там встретится WriteProcessMemory, VirtualAllocEx, CreateRemoteThread или что-то еще в этом роде, он сделает вывод, что имеет дело с программой, способной внедряться в другие процессы. Верный признак червей и отладчиков. Ситуация сильно осложняется тем, что многие вирусные приемы сейчас активно используются протекторами, и, если эвристик не утихомирить, он отправит в топку добрую половину легальных программ, чего допускать ни в коем случае нельзя! Да и вообще, если создатель вируса неглупый человек, то он многократно прогонит его через различные эвристики, добиваясь их полной и безоговорочной капитуляции.
Что же касается червей (и, в частности, нашумевшего MS BLAST, известного также под кличкой Love San), то это вообще песня. Удаляют его антивирусы, не удаляют — что толку? Пока есть дыра, он словно феникс из пепла будет появляться вновь и вновь. К тому же всегда существует вероятность, что кто-то умный напишет свой собственный shell-код, не имеющий с MS BLAST'ом ничего общего, а потому и не детектируемый никаким антивирусом! Некоторые дыры можно закрыть брандмауэром, но в общем случае для этого необходимо установить заплатку от производителя уязвимого продукта, которым может быть как сама ось, так и один из ее компонентов: IE, FireFox и т.д.
Еще существует такой тип антивирусов, как ревизоры, в задачу которых входит проверка целостности существующих файлов и контроль за вновь созданными. Некоторые ревизоры также контролируют и реестр, особенно ветки, прямо или косвенно ответственные за автоматический запуск программ. Во времена MS-DOS это была очень хорошая штука, но сейчас винчестеры так разжирели, что процедура сканирования отнимает кучу времени, к тому же многие сканеры содержат ошибки, позволяющие заразить файл без изменения его контрольной суммы (см. статью «Как подделывают CRC16/32», опубликованную в «Хакере»), не говоря уже о том, что при правильной политике разграничения доступа сводит актуальность сканеров на нет, тем более, начиная с W2K, система сама контролирует целостность жизненно-важных файлов через механизм SFC. Ну вот, сейчас кто-то скажет, что SFC легко обмануть, особенно если вирус стелсируется на уровне ядра или вообще не внедряется ни в какие объекты файловой системы, существуя лишь в виртуальной памяти какого-нибудь процесса.
Контроль над целостностью виртуальной памяти процессоров берут на себя как антивирусы, так и персональные брандмауэры, распознающие и отсекающие все известные способы внедрения в чужое адресное пространство, да вот только работает этот механизм кое-как. Зловредному коду, запущенному с пониженными привилегиями, доступ к чужим процессам можно запретить средствами самой операционной системы, а код, запущенный с правами администратора, пройдет сквозь все уровни защиты, как нож сквозь масло (при условии, что его писал не пионер, а хотя бы комсомолец). Самое неприятное, что существует множество легальных программ, например, мультимедийных клавиатур и мышей, использующих внедрение в чужое адресное пространство для реализации своих мультимедийных возможностей, поэтому слепой запрет брандмауэра/антивируса приведет к их неработоспособности! Значит, необходимо предоставить пользователю возможность выбора. А сможет ли он отличить честную программу от нечестной? Но даже не это самое страшное. Чем глубже внедряется брандмауэр/антивирус в систему, тем сложнее зловредному коду его обойти, но и тем больше конфликтов и глюков он (брандмауэр/антивирус) вызывает.
Получается так, что грамотно настроенной системе никакой антивирус не нужен, а с безграмотной никакой антивирус все равно не справится (брандмауэр стоит ставить только затем, чтобы отделить домашнюю локальную сеть от интернета и следить за сетевой активностью установленных программ, выявляя не только шпионов, но и легальные программы, пытающиеся проверить корректность регистрации).
Никакие, даже самые совершенные антивирусы ни от чего не спасают! При этом они стоят немалых денег, пожирают сетевой трафик частыми обновлениями, вызывают конфликты и тормозят работу системы, между тем система вполне может справиться с вирусами и сама — никакие дополнительные костыли ей не нужны!
Разграничение доступа — попробуй пробей
В отличие, например, от BSD, Windows NT не является многопользовательской операционной системой, поскольку только один пользователь может работать с компьютером в любой момент времени, и прежде чем переключиться на другого, необходимо завершить текущий сеанс, закрыв все приложения, и лишь потом… А вот в BSD все очень просто: нажал Alt-F#, переключился на соседнюю консоль — и все! В Windows XP наконец-то появилась возможность переключения сеансов разных пользователей без завершения, но механизма взаимодействия между пользователями как не было, так и нет.
Правда, в текущем сеансе можно запускать программы от имени другого пользователя, но это, во-первых, совсем не то, а во-вторых, далеко не все программы соглашаются на такой запуск, и еще меньше из них сохраняют свою работоспособность в полном объеме. Так что без бубна здесь не обойтись. Если нет бубна, то сойдет и обычный оцинкованный таз.
Идея противостояния вирусам заключается в выборе правильной политики разграничения доступа, тогда вирус (или другая зловредная программа) просто не сможет напакостить и нанести значительный урон. А для этого все потенциально опасные программы нужно запускать в своеобразной песочнице. В идеале — на виртуальной машине типа VMware, но про VMware мы уже неоднократно писали, а вот про разграничение доступа материалов практически нет.
Начнем с того, что никогда, ни при каких обстоятельствах не следует постоянно сидеть под «администратором», поскольку любая запущенная программа может делать с системой все, что ей вздумается. Под администратором следует заходить в систему только для выполнения «ремонтных» работ — установки новых драйверов, изменения параметров конфигурации и т.д. А все остальное время проводить под «опытным пользователем» или просто «пользователем» с ограниченным доступом. Чем меньше у вас привилегий, тем меньше их и у каждой запущенной вами программы, однако под обыкновенным пользователем многие программы работать отказываются, поскольку требуют записи в каталог Program Files или в другие «злачные» места. Зато потом наступает тишь да гладь — ни вирусов, ни другого малваре.
Необходимость в периодическом резервировании, естественно, до сих пор существует. Надежнее всего резервироваться на CD-R/RW, DVD-RW, ZIP, стримеры и прочие внешние носители информации, однако это непроизводительно, неудобно, да и надежность у винчестеров все же повыше будет, чем у того же CD-RW. Поступим так. Создадим нового пользователя с администраторскими правами (Пуск -> Панель Управления -> пользователи и пароли -> Имя -> Пароль -> Другой -> Администраторы), назовем его, к примеру, «backup», зайдем под его именем в систему, создадим каталог general-stores (то есть общее хранилище) и скопируем туда все, что необходимо. Затем, щелкнув по каталогу правой кнопкой мыши, в появившемся контекстом меню выбираем вкладку «свойства», а там — «безопасность» со списком допущенных лиц. По умолчанию каталог доступен для всех, что никак не входит в наши планы, поэтому удаляем «всех» напрочь, предварительно сбросив галочку «переносить наследуемые от родительского объекта разрешения на этот объект». Все!!! Теперь этот каталог недоступен никому, даже системе! И только владелец, создавший его (то есть «backup»), может войти в раздел «безопасность» и вернуть «всех» на место. Внимание! Администратор не сможет этого сделать! Ну вообще-то, чтобы так не извращаться, после удаления «всех» можно добавить пользователя «backup», делегировав ему полный доступ к каталогу. Все же остальные пользователи, включая членов группы, добраться до этого каталога не смогут. Хорошая защита от вирусов и прочих деструктивных программ, неправда ли? Кстати говоря, задумаемся, а что произойдет, если случайно (преднамеренно) удалить пользователя «backup»? Ведь тогда доступ к архиву не сможет получить никто! К счастью, штатная утилита chkdsk распознает такую ситуацию, и, если видит подобный каталог-зомби, она автоматически возвращает «всех», воскрешая информацию из небытия.
Песочница — не только детская радость
Нашей следующей задачей будет постройка «песочницы» для всех тех программ, что могут быть атакованы из сети, к числу которых принадлежит IE, Fire Fox, Outlook Express, The Bat, ICQ и другие. Каждая из них должна быть запущена из-под ограниченного пользователя, не имеющего доступа ни к каким каталогам, кроме тех, которые явно нужны самой программе. В принципе, можно завести одного ограниченного пользователя на всех, обозвав его, к примеру, «sandbox» (то есть песочница), однако в этом случае червь, пробравшийся через IE, сможет разрушить почтовую базу, накопленную за многие годы, что будет обидно. Поэтому лучше всего дать каждой программе по пользователю (конечно, это увеличивает потребности системы в памяти, но не столь радикально).
Итак, создан ограниченный пользователь «sandbox», в свойствах «безопасности» каждого каталогов (или всех дисков целиков) «sandbox» добавлен, и доступ ему запрещен (политика запрета имеет приоритет над политикой разрешений, поэтому удалять «всех» совершенно не обязательно). По завершению этой нехитрой операции у sandbox'а останутся только те каталоги, которые ему нужны (как правило, это каталоги самой программы, причем без права записи в исполняемые файлы).
Попробуем запустить в песочнице, например, Firefox. Создаем ярлык с firefox.exe (если только это не сделал инсталлятор), щелкаем по нему правой клавишей, идем в «свойства», затем — в «дополнительно» и там взводим галочку «запускать от имени другого пользователя». Говорим «ОК» и запускаем. Появляется грозное диалоговое окно, требующее ввода имени и пароля. Вводим. И… Горящий Лис не запускается! Между прочим, в Linux/BSD подобная операция протекает без каких бы то ни было проблем (в XP и выше проблем с конкретной Firefox также не возникает. — Прим. редактора). А здесь нужен бубен или более конкретно — файловый монитор Марка Руссиновича, показывающий, на каких именно файловых операциях программа обламывается (вот так, значит, разработчики относятся к сообщениям об ошибках). Качаем файловый монитор: www.sysinternals.com/Utilities/Filemon.html (он, кстати, занимает меньше двухсот килобайт и распространяется совершенно бесплатно). Запускаем из-под администратора: создаем ярлык и взводим уже известную нам галочку «запускать от…»! В данном случае файловый монитор запускается, потому что запрограммирован правильно, и мы быстрым спортивным шагом идем в Options -> Filter/Highlight или нажимаем <CTRL-L>. В появившемся диалоговом окне взводим все галочки, кроме «Log Successes», поскольку мониторить успешные операции нам незачем! Нам нужны ошибки! Нажимаем «OK» и перезапускаем программу (фильтр будет действовать только после запуска). Вновь запускаем Горящего Лиса. Что мы видим? Сначала идут ошибки поиска динамических библиотек в тех каталогах, где их нет — это нормально. А вот дальше Горящий Лис пытается создать папку Mozilla прямо в каталоге WINNT (в ней он хранит свои настройки, кэш страниц и т.д.), куда его, естественно, не пускают, и он тихо умирает.
Да… задача. Пробуем утилиту командной строки runas, запустив ее так: «runas /user:sandbox firefox.exe» (при этом firefox.exe должен быть в текущей директории). Нас деловито спрашивают пароль и… ничего! Теперь Горящий Лис лезет в Document n Setting\Default User, куда ему также нет доступа! В чем же дело?! В чем причина?! А в том, что для корректной работы большинства программ необходимо загрузить еще и профиль пользователя, от имени которого мы их запускаем, поэтому правильный вариант выглядит так: «runas /profile /user:sandbox firefox.exe». Теперь запуск проходит без проблем!
А вот Опера хранит кэш не в профиле пользователя, а непосредственно в своем каталоге (впрочем, это зависит от ее настроек), поэтому sandbox'у необходимо присвоить права на запись в «program files\opera».
Остальные программы «распутываются» аналогичным образом. Если не помогает файловый монитор, то качаем монитор реестра (www.sysinternals.com/Utilities/Regmon.html) и смотрим, в каких ветвях нуждается программа. Маленький подводный камень: перенаправить ввод с клавиатуры на файл, увы, не удастся, и пароль придется каждый раз вводить вручную, что напрягает. Впрочем, программисты запросто напишут программу, лишенную этих недостатков. Нам же главное — создать кучу пользователей, распределив права доступа так, чтобы зловредные программы не имели никаких шансов ни для размножения, ни для шпионской деятельности.
Заключение
Создание защищенной системы без использования антивирусов — это реально! Пускай на первоначальном этапе нам придется проделать большой объем работы и очень много думать головой, создавая столько пользователей, чтобы полностью изолировать одно потенциально опасное приложение от всех остальных. Зато будешь знать наверняка, что, работая на твоей любимой машине, домашние ничего плохого с ней сделать не смогут.
Вся правда о краже Web-money. История из жизни
создано в
10:20
0
коммент.
2005 года статья
Вступление.
Жизнь сложная штука, в ней мы постоянно что-то находим, что-то теряем. И не надо сильно отчаиваться при потерях, ибо жизнь идет и все хорошее только впреди. Каждая жизненная неудача даёт нам бесценный опыт. Я хочу рассказать вам об одной неприятной историей которая случались со мной. Однажды я наконец-то решил проапгретить свою настольный персональный компьютер, т.к работа на стром пеньке с 1 Ггц на борту и 64 мб оперативки мне изрядно надоела. Сходив в магаз я приобрел свеженький пень с 3 ГГц на борту 640 мб озу.
На новой тачке стояла лицензионная Windows XP без каких либо сервис паков Когда новое оборудование было окончательно настроено и приведено в работоспособное состояние, файлы ключей от моего Wm-кипера были успешно импортированы со старого компа на новый. Работать в сети я начал на новом Пк. Каждый день руки никак не доходили до установки фаервола и всех необходимых обновлений для дуршлага под название Windows. Заказы поступали, работы было ну просто навалом, сами знаете как это бывает..
Завязка
В одни прекрасный летний вечер я пересылал своему партнеру небольшую сумму денег, где-то 30 WMz, включив при этом код протекции сделки (я всегда включаю код протекции, привычка ). После отправки денег, я отписался в ICQ партнеру, что денеги выслал. Через пару минут чел ответил, что никаких денег он от меня не получил. Я был возмущен и решил проверить историю операций на своем Z кошельке.
Какого же было мое удивление, когда я увидел что все мои деньги (кроме 1 Wmz) были переведены на неизвестный мне Z кошель. И самое интересное что код протекции был включен! (код был не похож на тот который я ставил при пересылке денег). Этот факт меня удивил . Было ясно что меня протроянили, как это случилось я расскажу чуть позже... Через минут 5 я уже разговаривал с службой поддержки WM, к которой можно обратиться по одному из этих телефонов:
+7 (095) 727-43-33 - Москва.
+7 (812) 336-43-18 - Петербург.
+1 (212) 202-66-06 - Нью-Йорк.
Объяснив в красках оператору что меня обокрали, я попросил заблокировать Z кошелек обидчика. Оператор отреагировал мгновенно и кошель обидчика был заморожен. На мою просьбу вернуть мне мои деньги, оператор сказал что если деньги не были выведены из системы WEBMoney, либо переведены на др кошелек с последующем выводомиз системы, то единственный способ отвоевать честно заработанные это обратиться в арбитраж. Арбитраж является постоянно действующим сервисом разрешения споров между участниками системы WebMoney Transfer.
На момент кражи у меня был аттестат псевдонима (который выдается при регистрации кошелька), узнав что для подачи иска в арбитраж необходимо иметь формальный аттестат (процедура регистрации формального аттестата бесплатна и очень проста. Чтобы его получить необходимо лишь заполнить специальную форму, в которой необходимо указать паспорт, Фио итп вещи, которые на валидность (для формального аттестата) некто проверять не будет.). После получения формального аттестата, я зашел на https://arbitrage.webmoney.ru/asp/iNewProcess.asp? для подачи иска.
Подача иска.
Подача иска представляет собой не сложную процедуру, которую мне необходимо было выполнить. Сейчас я вкратце опишу как правильно подать иск.
После авторизации на https://arbitrage.webmoney.ru/asp/iNewProcess.asp? перед вами откроется страница для подачи иска на WmID обидчика. На ней будут присутствовать следующие поля:
1. Ваш WM идентификатор - заполнять не надо, в нем будет написан ваш WmId с которого вы авторизировались для подачи иска.
2. WM идентификатор ответчика – в этом поле необходимо написать WMiD вашего обидчика, в моем случае я пробил через Z кошель WmID обидчика и вписал его в это поле.
3. Суть конфликта- в этом поле необходимо описать суть вашего иска. Тут я написал жалобу, в которой подробно описал все мои действия до подачи иска в арбитраж, и почему я считаю что меня обокрали и часть доказательств.
4. Тип иска - в этом поле необходимо выбрать тип вашего иска из 3 возможных:
а)Невыполнение условий торговой сделки - это поле необходимо выбрать если вы перевели бабло за какой либо товар (будь то картон либо банка сгущенки) на счет ответчика и он вам его не предоставил, попросту говоря кинул. Либо если вы например продавая 5-знак дали его для теста покупателю (чтобы он убедился что вы не кидок, хотя имхо лучше юзать гарант), но покупатель мало того что не заплатил вам денег за ваш бесценный 5-знак, но и сменив на нем пасс, оставил его себе.
б) Опротестование несанкционированного платежа - необходимо выбрать в моем случае, что я в последствии и сделал.
в) Претензия на владение Wm идентификатором - выберите если злоумышленник угнал у вас wmid, либо у вас отказал файл ключей (Данное поле возможно выбрать если вы имеете аттестат не ниже персонального).
5. Цена иска - поле в котором необходимо указать сумму на которую вы подаете иск. В моем случае я вписал 600 Wmz. Если иск имеет не денежный характер, то необходимо поставить соответствующую галочку в боксе слева от поля.
6. Ваш e-mail - здесь впишите ваш действующий емаил.
7.Ваш арбитр - в этом поле выберите себе арбитра самостоятельно, либо попросите систему WEbMoney назначить арбитра самостоятельно выбрав соответствующую запись.
Ниже если вы хотите чтобы информацию о ходе вашего дело могли просмотреть другие люди то поставьте галочку чекбоксе "Прошу сделать разбирательство по данному иску публичным для любого участника WebMoney Transfer ", если вы не хотите чтобы публика следила за ходом иска то ставить там галочку не стоит.
Далее ознакомившись с с регламентом Арбитража системы WebMoney Transfer, нажмите кнопку "подать иск".
Ну вот в принципе все, иск подан. Для начала рассмотрения вашего необходимо внести взнос в размере 10% от суммы иска, иначе некто и не захочет возиться с вами, нынче жизнь такая пошла. Я же занял у своего знакомого сумму в 60 бачей и судебный взнос.
Встать! Суд идет.
Разбирательство пошло.. Ответчик объявился и оказался неплохим соц. инженером. Эта сука написала, мол деньги получил случайно, разблокируйте кипер и я верну их ответчику. На мой вопрос не страдает ли он экстрасенсорными способностями по поводу отгадки кодов протекции, он ответил что-то вроде, я нечего не знаю я ввел qwerty и проканало, а почему так произошло не знаю и знать не желаю". " Профессионалов из систему WM такой ответ вполне устроил и они даже не проверили этот Факт!!!
Печальная концовка.
Буквально в этоже время я серьезно заболел, отравился.. и лежал никакой 3 дня в больнице. По приезду домой я увидел что пароль к моему Icq номеру не подходит. Я быстро ретеривнул пас через e-mail. И тут оказалось что этот чёртобес от моего имени по всему контакт листу продавал супер мегаприватные эксплоиты. Короче кинул он одного чела от моего имени на 200 баксов..
Я дурак морознулся и сразу не отформатировал винт, за что и поплатился. Здоровье хромало, бабло украли, серваки локали, работа стояла… Короче жизнь казалось полным дерьмом, но всеже в душе была маленькая надежда что деньги то я смогу вернуть. Но не тут то было. Этот сукин сын с****л у меня файл ключей, предварительно его уменьшив с 90 мегов до 1-го. и затем их сменил.. Короче я потерял полный контроль над кошельком. В этот же день мне пришло уведомление на емаил, что типа суд завершился в мою пользу. С кошелька обидчика на мой(кот украли ) перевели 600 баксов. В конце концов этот чел, вывел все мое бабло с моего кошелька через еголд..
Я написал в саппорт с мыла кот. было привязано к моему WMID они все объяснили как есть и сказали, мол иди к ментам обращайся мы тебе больше не помощники, типа и вообще мы незнаем может это нам не хозяин пишет а злоумышленник.
Спустя недельку этот сученок постучался мне в ICQ. И давай радостно рассказывать, как ему было весело со мной потягаться. Он сказал что у кардерства нет лица, что кардеру пох кого кидать будь то наш соотечественник, либо америкос. Этот п***р еще сказал мол что подарок пришлет по адрессу кот. был прописан в моем формальном аттестате. Но выслал подарок он или нет мне узнать так и не удастся, т.к формальный аттестат был оформлен на мое имя, но адресс и нек. др инфа была мною выдумана..
О том как я был протроянен
А протроянен я был через свежую брешь в MS Outlook. Как-то мне пришло странное письмо, с непонятным содержанием. Больше у меня догадок нет. Через браузер я протрояниться не мог т.к юзал свежую мозилу.. Хотя возможно и наткнулся где-то на приватный сплоит.. Да это уже особо не важно.
Итоги и советы:
Я потерял 600 долларов + от меого имени кинули человека на 200 $. Это событие для меня послужило хорошим уроком, надеюсь вы переймете мой печальный опыт и поступите правильно в схожей ситуации. Теперь своей защите я уделяю максимальное внимание.
Для вашей безопасности советую:
1. Поставить блокировку по диапазону IP адрессов для входа в Wm-кипер.
2. Ежедневно обновлять антиврусы, фаерволы и накладывать все патчи от мелкомягких.
3. Не доверять некому кроме себя.
4. Постоянно просматривать автозагрузку, и системные процессы на наличиe построних процессов, либо записей.
5. Если заметите малейшее странное поведение вашей системы то срочно форматируйте все,чтобы потом небыло мучительно больно ( до форматирования ес-но необходимо забэкапить все важную для вас текстовую(да именно текстовую, ибо бинарники могут быть протроянены) информацию).
Вступление.
Жизнь сложная штука, в ней мы постоянно что-то находим, что-то теряем. И не надо сильно отчаиваться при потерях, ибо жизнь идет и все хорошее только впреди. Каждая жизненная неудача даёт нам бесценный опыт. Я хочу рассказать вам об одной неприятной историей которая случались со мной. Однажды я наконец-то решил проапгретить свою настольный персональный компьютер, т.к работа на стром пеньке с 1 Ггц на борту и 64 мб оперативки мне изрядно надоела. Сходив в магаз я приобрел свеженький пень с 3 ГГц на борту 640 мб озу.
На новой тачке стояла лицензионная Windows XP без каких либо сервис паков Когда новое оборудование было окончательно настроено и приведено в работоспособное состояние, файлы ключей от моего Wm-кипера были успешно импортированы со старого компа на новый. Работать в сети я начал на новом Пк. Каждый день руки никак не доходили до установки фаервола и всех необходимых обновлений для дуршлага под название Windows. Заказы поступали, работы было ну просто навалом, сами знаете как это бывает..
Завязка
В одни прекрасный летний вечер я пересылал своему партнеру небольшую сумму денег, где-то 30 WMz, включив при этом код протекции сделки (я всегда включаю код протекции, привычка ). После отправки денег, я отписался в ICQ партнеру, что денеги выслал. Через пару минут чел ответил, что никаких денег он от меня не получил. Я был возмущен и решил проверить историю операций на своем Z кошельке.
Какого же было мое удивление, когда я увидел что все мои деньги (кроме 1 Wmz) были переведены на неизвестный мне Z кошель. И самое интересное что код протекции был включен! (код был не похож на тот который я ставил при пересылке денег). Этот факт меня удивил . Было ясно что меня протроянили, как это случилось я расскажу чуть позже... Через минут 5 я уже разговаривал с службой поддержки WM, к которой можно обратиться по одному из этих телефонов:
+7 (095) 727-43-33 - Москва.
+7 (812) 336-43-18 - Петербург.
+1 (212) 202-66-06 - Нью-Йорк.
Объяснив в красках оператору что меня обокрали, я попросил заблокировать Z кошелек обидчика. Оператор отреагировал мгновенно и кошель обидчика был заморожен. На мою просьбу вернуть мне мои деньги, оператор сказал что если деньги не были выведены из системы WEBMoney, либо переведены на др кошелек с последующем выводомиз системы, то единственный способ отвоевать честно заработанные это обратиться в арбитраж. Арбитраж является постоянно действующим сервисом разрешения споров между участниками системы WebMoney Transfer.
На момент кражи у меня был аттестат псевдонима (который выдается при регистрации кошелька), узнав что для подачи иска в арбитраж необходимо иметь формальный аттестат (процедура регистрации формального аттестата бесплатна и очень проста. Чтобы его получить необходимо лишь заполнить специальную форму, в которой необходимо указать паспорт, Фио итп вещи, которые на валидность (для формального аттестата) некто проверять не будет.). После получения формального аттестата, я зашел на https://arbitrage.webmoney.ru/asp/iNewProcess.asp? для подачи иска.
Подача иска.
Подача иска представляет собой не сложную процедуру, которую мне необходимо было выполнить. Сейчас я вкратце опишу как правильно подать иск.
После авторизации на https://arbitrage.webmoney.ru/asp/iNewProcess.asp? перед вами откроется страница для подачи иска на WmID обидчика. На ней будут присутствовать следующие поля:
1. Ваш WM идентификатор - заполнять не надо, в нем будет написан ваш WmId с которого вы авторизировались для подачи иска.
2. WM идентификатор ответчика – в этом поле необходимо написать WMiD вашего обидчика, в моем случае я пробил через Z кошель WmID обидчика и вписал его в это поле.
3. Суть конфликта- в этом поле необходимо описать суть вашего иска. Тут я написал жалобу, в которой подробно описал все мои действия до подачи иска в арбитраж, и почему я считаю что меня обокрали и часть доказательств.
4. Тип иска - в этом поле необходимо выбрать тип вашего иска из 3 возможных:
а)Невыполнение условий торговой сделки - это поле необходимо выбрать если вы перевели бабло за какой либо товар (будь то картон либо банка сгущенки) на счет ответчика и он вам его не предоставил, попросту говоря кинул. Либо если вы например продавая 5-знак дали его для теста покупателю (чтобы он убедился что вы не кидок, хотя имхо лучше юзать гарант), но покупатель мало того что не заплатил вам денег за ваш бесценный 5-знак, но и сменив на нем пасс, оставил его себе.
б) Опротестование несанкционированного платежа - необходимо выбрать в моем случае, что я в последствии и сделал.
в) Претензия на владение Wm идентификатором - выберите если злоумышленник угнал у вас wmid, либо у вас отказал файл ключей (Данное поле возможно выбрать если вы имеете аттестат не ниже персонального).
5. Цена иска - поле в котором необходимо указать сумму на которую вы подаете иск. В моем случае я вписал 600 Wmz. Если иск имеет не денежный характер, то необходимо поставить соответствующую галочку в боксе слева от поля.
6. Ваш e-mail - здесь впишите ваш действующий емаил.
7.Ваш арбитр - в этом поле выберите себе арбитра самостоятельно, либо попросите систему WEbMoney назначить арбитра самостоятельно выбрав соответствующую запись.
Ниже если вы хотите чтобы информацию о ходе вашего дело могли просмотреть другие люди то поставьте галочку чекбоксе "Прошу сделать разбирательство по данному иску публичным для любого участника WebMoney Transfer ", если вы не хотите чтобы публика следила за ходом иска то ставить там галочку не стоит.
Далее ознакомившись с с регламентом Арбитража системы WebMoney Transfer, нажмите кнопку "подать иск".
Ну вот в принципе все, иск подан. Для начала рассмотрения вашего необходимо внести взнос в размере 10% от суммы иска, иначе некто и не захочет возиться с вами, нынче жизнь такая пошла. Я же занял у своего знакомого сумму в 60 бачей и судебный взнос.
Встать! Суд идет.
Разбирательство пошло.. Ответчик объявился и оказался неплохим соц. инженером. Эта сука написала, мол деньги получил случайно, разблокируйте кипер и я верну их ответчику. На мой вопрос не страдает ли он экстрасенсорными способностями по поводу отгадки кодов протекции, он ответил что-то вроде, я нечего не знаю я ввел qwerty и проканало, а почему так произошло не знаю и знать не желаю". " Профессионалов из систему WM такой ответ вполне устроил и они даже не проверили этот Факт!!!
Печальная концовка.
Буквально в этоже время я серьезно заболел, отравился.. и лежал никакой 3 дня в больнице. По приезду домой я увидел что пароль к моему Icq номеру не подходит. Я быстро ретеривнул пас через e-mail. И тут оказалось что этот чёртобес от моего имени по всему контакт листу продавал супер мегаприватные эксплоиты. Короче кинул он одного чела от моего имени на 200 баксов..
Я дурак морознулся и сразу не отформатировал винт, за что и поплатился. Здоровье хромало, бабло украли, серваки локали, работа стояла… Короче жизнь казалось полным дерьмом, но всеже в душе была маленькая надежда что деньги то я смогу вернуть. Но не тут то было. Этот сукин сын с****л у меня файл ключей, предварительно его уменьшив с 90 мегов до 1-го. и затем их сменил.. Короче я потерял полный контроль над кошельком. В этот же день мне пришло уведомление на емаил, что типа суд завершился в мою пользу. С кошелька обидчика на мой(кот украли ) перевели 600 баксов. В конце концов этот чел, вывел все мое бабло с моего кошелька через еголд..
Я написал в саппорт с мыла кот. было привязано к моему WMID они все объяснили как есть и сказали, мол иди к ментам обращайся мы тебе больше не помощники, типа и вообще мы незнаем может это нам не хозяин пишет а злоумышленник.
Спустя недельку этот сученок постучался мне в ICQ. И давай радостно рассказывать, как ему было весело со мной потягаться. Он сказал что у кардерства нет лица, что кардеру пох кого кидать будь то наш соотечественник, либо америкос. Этот п***р еще сказал мол что подарок пришлет по адрессу кот. был прописан в моем формальном аттестате. Но выслал подарок он или нет мне узнать так и не удастся, т.к формальный аттестат был оформлен на мое имя, но адресс и нек. др инфа была мною выдумана..
О том как я был протроянен
А протроянен я был через свежую брешь в MS Outlook. Как-то мне пришло странное письмо, с непонятным содержанием. Больше у меня догадок нет. Через браузер я протрояниться не мог т.к юзал свежую мозилу.. Хотя возможно и наткнулся где-то на приватный сплоит.. Да это уже особо не важно.
Итоги и советы:
Я потерял 600 долларов + от меого имени кинули человека на 200 $. Это событие для меня послужило хорошим уроком, надеюсь вы переймете мой печальный опыт и поступите правильно в схожей ситуации. Теперь своей защите я уделяю максимальное внимание.
Для вашей безопасности советую:
1. Поставить блокировку по диапазону IP адрессов для входа в Wm-кипер.
2. Ежедневно обновлять антиврусы, фаерволы и накладывать все патчи от мелкомягких.
3. Не доверять некому кроме себя.
4. Постоянно просматривать автозагрузку, и системные процессы на наличиe построних процессов, либо записей.
5. Если заметите малейшее странное поведение вашей системы то срочно форматируйте все,чтобы потом небыло мучительно больно ( до форматирования ес-но необходимо забэкапить все важную для вас текстовую(да именно текстовую, ибо бинарники могут быть протроянены) информацию).
Жестокая правда о WM
создано в
09:46
0
коммент.
Какую информацию собирает о нас система Web Money, можно ли ей доверять? Просидев за дизассемблером всю ночь напролет, пришел к весьма неутешительным выводам, которых придерживаются и другие пользователи. Как обезопасить себя и обеспечить максимальную анонимность?
[Введение]
Популярная платежная система Web-Money реализована в виде двух независимых программ: Keeper Classic и Keeper Light, каждая из которых имеет свои достоинства и недостатки. Keeper Classic представляет собой обычное Windows-приложение, требующее инсталляции на компьютер. Вот что об этом говорят некоторые пользователи: «Это — поделка от Web-Money, в которую неизвестно что зашито, может, и троян. И даже если его там нет, это творение небезупречно: пару раз ставил на несколько компов, так они стали хромать на обе ноги, вплоть до BSOD. На других же компах работа была нормальной. Следовательно, эта программа недоработана и ведет себя непредсказуемо".
Но прикладное приложение, которым пытается казаться Keeper Classic, не может вызывать BSOD, поскольку это прерогатива драйверов, работающих на уровне ядра. Значит, Keeper каким-то образом проникает в ядро, причем не совсем легальным путем (отсюда конфликты и BSOD). Во всяком случае, я не видел никакого запроса на установку драйверов при инсталляции, и никаких драйверов не появилось в каталоге WINNTSystem32Drivers, где им и положено быть, но… запуск утилиты R-Studio, восстанавливающей удаленные файлы, показал наличие созданного и тут же удаленного файла winio.sys, ссылка на который обнаружилась в компоненте Keeper'a: WMClient.dll. Судя по названию, этот драйвер открывает доступ к портам ввода/вывода с прикладного уровня, что создает нехилую дыру в системе безопасности, не говоря уже о том, что некорректное обращение с портами чревато не только голубыми экранами смерти, зависанием компьютера, но и потерей данных вместе с порчей оборудования.
Тут же, по соседству с «winio.sys», приютились текстовые строки: «\.PhysicalDrive%d», «\.Scsi%d:» и «SCSIDISK», недвусмысленно свидетельствующие в пользу того, что Keeper работает с жесткими дисками на низком уровне!
А дальше... дальше идет нечто совершенно невероятное:
Фрагмент WMClient.DLL, передающий жесткому диску ATA-команды
Но это только цветочки. Если поставить Keeper на VMWare, то система Web-Money автоматически заблокирует электронный кошелек при первой же попытке оплаты, даже не уведомив тебя об этом! Если бы Keeper просто не работал под VM Ware, то и черт с ним. Может, они просто не совместимы… или VM Ware чего-то дурит (с ней это часто случается). Но он ведь работает только до первой транзакции, а это значит, что вместе с данными о самой транзакции Keeper скрытно передает некоторую персональную информацию: как минимум конфигурацию оборудования, и, возможно, что-то еще.
Не секрет, что многие используют Web-Many в основном для совершения анонимных платежей (расплата за взлом, перевод зарплаты, в обход налоговой и т. д.). Однако эта анонимность только кажущаяся, тем более что компания охотно предоставляет сыщикам всю информацию о своих клиентах, которую ей только удалось собрать, а собирает она многое...
Система Keeper Light работает только из-под браузера и построена на механизме сертификатов. Никакой дополнительной информации о пользователе она не собирает, и единственной ниточкой, за которую могут зацепиться сыщики, оказывается IP-адрес. Не слишком серьезная улика, к тому же всегда существует возможность спрятаться за анонимным Proxy или атаковать один из компьютеров и осуществлять все транзакции его «руками». К сожалению, по своим функциональным возможностям Keeper Light значительно отстает от Classic'а и к тому же пожирает намного больше трафика (что для медленных соединений весьма актуально). Но ставить Classic'а на свою основную машину я так и не рискнул. Почему — читайте ниже.
[Хакерские инструменты]
Итак, Keeper Classic лежит у нас в руках, точнее жужжит жестким диском, устанавливая какие-то компоненты, но какие именно не говорит! А еще кто-то вирусов нехорошими словами называет! Компьютерный вирус — это такая штука, которая скрыто делает на твоем компьютере действия, о которых ты даже не подразумеваешь, а если бы и подразумевал — навряд ли бы дал свое согласие.
Чтение технической документации и заумных лицензионных соглашений не дает никакой полезной информации, и трепанацией Keeper'а приходится заниматься самостоятельно. Как это можно осуществить? Самое простое – перехватить обмен Keeper'а с «базой», снифая трафик любым подходящим sniffer'ом, например, тем, что встроен в персональный брандмауэр SyGate Firewall, однако, если трафик зашифрован, его будет не так-то легко расшифровать!
Гораздо проще воспользоваться файловым монитором и монитором реестра Марка Руссиновича (оба можно найти на www.sysinternals.com), а также монитором шины Bus Hound от компании Perisoft (www.perisoft.com). Полезно также снять дамп с работающей программы любой утилитой по вкусу (например, PE-TOOLS) и поковыряться в нем на предмет интересных текстовых строк, MAC-адресов и прочих приватных данных. Самые опытные исследователи могут прибегнуть к тяжелой артиллерии — дизассемблеру IDA Pro, который покажет, чем на самом деле занимается Keeper при запуске и в процессе перевода денег. Естественно, полное дизассемблирование занимает слишком много времени, поэтому мы будем обращать внимание лишь на самые заметные, наименее замаскированные места, сразу же бросающиеся в глаза при анализе.
[Внутри Keeper'а]
Последняя версия Keeper'а проходила под номером 3.0.0.2 и занимала порядка ~1,9 Мб. После установке на диске в папке WebMoney образовалось множество файлов, среди которых были WebMoney.exe (пусковой файл, размером 183,024 байт, упакованный, по сообщению PEiD, протектором ASProtect 1.2x - 1.3x) и WWClient.dll (динамическая библиотека, реализующая основной функционал, размер — 3331,824 байт, не упакована).
Собственно говоря, WebMoney.exe можно сразу отбросить в сторону, не тратя силы на распаковку — все равно ничего интересного там нет. Но прежде нужно запустить монитор реестра и посмотреть, в какие ветви реестра лезет Keeper и не пытается ли он получить доступ к той информации, разглашать которую мы не хотим?
Даже невооруженным глазом видно, что сразу же после запуска Keeper ринулся определять имя чипа сетевой карты («AMD PCNET Family PCI Ethernet» в данном случае), имя машины («W2K»), и, если покопаться в дампе памяти, там можно обнаружить и MAC-адрес моей сетевой карты: 00-0C-29-F6-6C-3C (виртуальный, естественно). Кстати, чтобы узнать свой MAC-адрес, достаточно запустить штатную утилиту ipconfig c ключом /all (см. рис).
«Честные» программы не нуждаются в MAC-адресах и работают с сетью через TCP/IP-протоколы. Зачем же тогда Keeper'у потребовался наш MAC-адрес? А вот зачем! MAC-адрес уникален для каждой карты, и, хотя его теоретически возможно сменить на другой, даже без использования программатора, это считается веской уликой при расследовании преступления.
Значит, все-таки Keeper палит наш компьютер! И насколько глубоко? Берем в руки IDA Pro, загружаем WWClient.dll внутрь, и пока оно там дизассемблируется (а дизассемблироваться оно будет долго), достаем из заначки непочатую бутылку пива, затягиваемся сигаретой и думаем, думаем, думаем…
Лучше всего начинать анализ с поиска текстовых строк. Их легко найти в окне «Name Windows», вызываемом комбинацией клавиш . Тестовые ASCIIZ-строки начинаются с префикса «a». Действительно, здесь притаилось немало непуганой дичи:
Текстовые строки «pic_xxx», обнаруженные в Keeper'е
Поскольку виртуальные машины, в частности VM Ware, несут на своем борту довольно специфический набор оборудования и выделяют MAC-адреса из фиксированного пула адресов, становится ясно, как система распознает факт наличия виртуальной машины. Она просто сравнивает конфигурацию пользовательского оборудования с конфигурацией виртуальной машины, и, если они совпадают, электронный кошелек закрывается без предупреждений. Причем сравнение происходит не на клиентской, а на серверной стороне! То есть Keeper не просто опрашивает PCI-шину, но еще и передает эти данные в сеть, где они, по всей видимости, заносятся в банк данных, представляющий огромный интерес для спецслужб различных стран.
Штатные средства VM Ware не позволяют менять ни MAC-адреса, ни конфигурацию оборудования (в новых версиях вроде бы сделаны некоторые шаги в этом направлении, но не слишком радикальные). К счастью, есть неофициальная заплатка, позволяющая менять все, что угодно: http://honeynet.rstack.org/tools/vmpatch.c. Эксперименты подтверждают: после изменения конфигурации Keeper перестает распознавать VM Ware, и электронный кошелек больше не «палится».
В текстовых строках можно ковыряться до бесконечности. Это настоящий Клондайк, раскрывающий зловредные намерения Keeper'а хуже любого предателя. На месте разработчиков я бы обязательно их зашифровал, а то как-то несерьезно получается.
Как вам нравится следующее? Keeper динамически создает драйвер citio.sys (на NT/W2K/XP)/citio.vxd (на 9x), тут же его загружает в память, а после удаляет:
Ссылки на неопознанный драйвер, обнаруженные в Keeper'e
«Источники, приближенные к кругам разработчиков» сообщили, что все эти драйвера вставлены вовсе не из-за пакости или желания навредить пользователю. Напротив! Они охраняют Keeper от нехороших программ, крадущих электронную наличность. Как говорится, все на благо пользователя, даже если это благо идет ему вопреки. Я повторяю еще раз: нормально спроектированный платежный клиент работает исключительно на прикладном уровне, а не вгрызается в систему, как бульдозер в асфальт. Если на компьютер проникла зловредная программа, захватившая администраторские права (а такие права заполучить очень легко), она может вытворять с Keeper'ом все, что угодно, и никакие драйвера не в состоянии ее остановить, поскольку, после того как зловредная программа загрузит свой собственный драйвер, она уровняет свои шансы с Keeper'ом, а в противостоянии двух драйверов обороняющаяся сторона всегда обречена на поражение.
Но не будем зацикливаться на текстовых строках и двинемся дальше. Посмотрим на список импортируемых API-функций. Для этого достаточно воспользоваться утилитой dumpbin.exe, входящей в штатную поставку компилятора Microsoft Visual C++ и Platform SDK. Вызываем ее («dumpbin.exe /EXPORTS WMClient.dll > output») и смотрим на результат:
Функции, импортируемые Keeper'ом (фрагмент)
Dump of file WMClient.dll
KERNEL32.dll
А функция DeviceIoControl() — это вообще ласты. Ее основное предназначение — посылать драйверам специальные управляющие IOCTL-коды, с помощью которых можно напрямую читать или писать на диск. Поскольку разработчики никак не замаскировали ее вызов, все IOCTL-коды видны в IDA Pro как на ладони! Давайте разберемся, что же такого делает Keeper с нашим оборудованием, чего нельзя было бы сделать с помощью нормальных API-функций?!
Переходим в IDA Pro, нажимаем для открытия окна «Name», пишем «DeviceIoControl» (полностью вводить имя необязательно — IDA Pro сама поставит курсор на него, как только поймет, что же мы от нее хотим). Теперь нажимаем и оказываемся в секции импорта. По умолчанию IDA Pro отображает только первые две перекрестные ссылки. Чтобы увидеть остальные, необходимо в меню «View» выбрать пункт «Open subview», а там — «Cross references» или просто нажать ,,.
Первая же перекрестная ссылка ведет нас к следующему коду, который нам сейчас и предстоит дешифровать:
Фрагмент Keeper'а, вызывающий функцию DeviceIoControl
Вводим IOCTL-код в окошко «VALUE» и получаем полную расшифровку: Device – DISK (0x7), Function – 0x20, Access – «FILE_READ_ACCESS», Method – «METHOD_BUFFERED». Ага, значит, чтение. Ну хорошо хоть не запись! Однако запись еще впереди! Например:
Еще один фрагмент Keeper'а, вызывающий функцию DeviceIoControl
[Заключение]
Мы выяснили, что Keeper Classic не только собирает (и отсылает) приватную информацию, но и отличается крайне агрессивным поведением. Скрываясь под аляповатым интерфейсом прикладной программы, он пробивает тоннель к самому центру операционной системы и делает это настолько некорректно, что у ряда легальных пользователей появляются серьезные проблемы.
Крис Касперски
[Введение]
Популярная платежная система Web-Money реализована в виде двух независимых программ: Keeper Classic и Keeper Light, каждая из которых имеет свои достоинства и недостатки. Keeper Classic представляет собой обычное Windows-приложение, требующее инсталляции на компьютер. Вот что об этом говорят некоторые пользователи: «Это — поделка от Web-Money, в которую неизвестно что зашито, может, и троян. И даже если его там нет, это творение небезупречно: пару раз ставил на несколько компов, так они стали хромать на обе ноги, вплоть до BSOD. На других же компах работа была нормальной. Следовательно, эта программа недоработана и ведет себя непредсказуемо".
Но прикладное приложение, которым пытается казаться Keeper Classic, не может вызывать BSOD, поскольку это прерогатива драйверов, работающих на уровне ядра. Значит, Keeper каким-то образом проникает в ядро, причем не совсем легальным путем (отсюда конфликты и BSOD). Во всяком случае, я не видел никакого запроса на установку драйверов при инсталляции, и никаких драйверов не появилось в каталоге WINNTSystem32Drivers, где им и положено быть, но… запуск утилиты R-Studio, восстанавливающей удаленные файлы, показал наличие созданного и тут же удаленного файла winio.sys, ссылка на который обнаружилась в компоненте Keeper'a: WMClient.dll. Судя по названию, этот драйвер открывает доступ к портам ввода/вывода с прикладного уровня, что создает нехилую дыру в системе безопасности, не говоря уже о том, что некорректное обращение с портами чревато не только голубыми экранами смерти, зависанием компьютера, но и потерей данных вместе с порчей оборудования.
Тут же, по соседству с «winio.sys», приютились текстовые строки: «\.PhysicalDrive%d», «\.Scsi%d:» и «SCSIDISK», недвусмысленно свидетельствующие в пользу того, что Keeper работает с жесткими дисками на низком уровне!
А дальше... дальше идет нечто совершенно невероятное:
Фрагмент WMClient.DLL, передающий жесткому диску ATA-команды
Диску посылается IOCTL-код IOCTL_SCSI_PASS_THROUGH, позволяющий передавать любую ATA-команду в обход операционной системе! ATA-команды — это наиболее низкоуровневые команды, на которых «разговаривает» диск, и с их помощью можно сделать все, что угодно. Малейшая неосторожность (или несовместимость) способна разрушить содержимое диска или уничтожить его «прошивку», что еще хуже. Девять из десяти, что эта процедура используется для чтения показаний SMART, однако не исключено, что Keeper пишет на диск какую-то гадость. Мне было лень досконально изучать этот вопрос, поскольку в любом случае Keeper мутит..text:100B7A31 push 557; nOutBufferSize .text:100B7A36 lea eax, [ebp+OutBuffer] .text:100B7A3C push eax; lpOutBuffer .text:100B7A3D push 3Ch; nInBufferSize .text:100B7A3F lea ecx, [ebp+OutBuffer] .text:100B7A45 push ecx; lpInBuffer .text:100B7A46 push 4D008h;IoControlCode(IOCTL_SCSI_PASS_THROUGH) .text:100B7A4B mov edx, [ebp+hObject] .text:100B7A4E push edx; hDevice .text:100B7A4F call ds:DeviceIoControl
Но это только цветочки. Если поставить Keeper на VMWare, то система Web-Money автоматически заблокирует электронный кошелек при первой же попытке оплаты, даже не уведомив тебя об этом! Если бы Keeper просто не работал под VM Ware, то и черт с ним. Может, они просто не совместимы… или VM Ware чего-то дурит (с ней это часто случается). Но он ведь работает только до первой транзакции, а это значит, что вместе с данными о самой транзакции Keeper скрытно передает некоторую персональную информацию: как минимум конфигурацию оборудования, и, возможно, что-то еще.
Не секрет, что многие используют Web-Many в основном для совершения анонимных платежей (расплата за взлом, перевод зарплаты, в обход налоговой и т. д.). Однако эта анонимность только кажущаяся, тем более что компания охотно предоставляет сыщикам всю информацию о своих клиентах, которую ей только удалось собрать, а собирает она многое...
Система Keeper Light работает только из-под браузера и построена на механизме сертификатов. Никакой дополнительной информации о пользователе она не собирает, и единственной ниточкой, за которую могут зацепиться сыщики, оказывается IP-адрес. Не слишком серьезная улика, к тому же всегда существует возможность спрятаться за анонимным Proxy или атаковать один из компьютеров и осуществлять все транзакции его «руками». К сожалению, по своим функциональным возможностям Keeper Light значительно отстает от Classic'а и к тому же пожирает намного больше трафика (что для медленных соединений весьма актуально). Но ставить Classic'а на свою основную машину я так и не рискнул. Почему — читайте ниже.
[Хакерские инструменты]
Итак, Keeper Classic лежит у нас в руках, точнее жужжит жестким диском, устанавливая какие-то компоненты, но какие именно не говорит! А еще кто-то вирусов нехорошими словами называет! Компьютерный вирус — это такая штука, которая скрыто делает на твоем компьютере действия, о которых ты даже не подразумеваешь, а если бы и подразумевал — навряд ли бы дал свое согласие.
Чтение технической документации и заумных лицензионных соглашений не дает никакой полезной информации, и трепанацией Keeper'а приходится заниматься самостоятельно. Как это можно осуществить? Самое простое – перехватить обмен Keeper'а с «базой», снифая трафик любым подходящим sniffer'ом, например, тем, что встроен в персональный брандмауэр SyGate Firewall, однако, если трафик зашифрован, его будет не так-то легко расшифровать!
Гораздо проще воспользоваться файловым монитором и монитором реестра Марка Руссиновича (оба можно найти на www.sysinternals.com), а также монитором шины Bus Hound от компании Perisoft (www.perisoft.com). Полезно также снять дамп с работающей программы любой утилитой по вкусу (например, PE-TOOLS) и поковыряться в нем на предмет интересных текстовых строк, MAC-адресов и прочих приватных данных. Самые опытные исследователи могут прибегнуть к тяжелой артиллерии — дизассемблеру IDA Pro, который покажет, чем на самом деле занимается Keeper при запуске и в процессе перевода денег. Естественно, полное дизассемблирование занимает слишком много времени, поэтому мы будем обращать внимание лишь на самые заметные, наименее замаскированные места, сразу же бросающиеся в глаза при анализе.
[Внутри Keeper'а]
Последняя версия Keeper'а проходила под номером 3.0.0.2 и занимала порядка ~1,9 Мб. После установке на диске в папке WebMoney образовалось множество файлов, среди которых были WebMoney.exe (пусковой файл, размером 183,024 байт, упакованный, по сообщению PEiD, протектором ASProtect 1.2x - 1.3x) и WWClient.dll (динамическая библиотека, реализующая основной функционал, размер — 3331,824 байт, не упакована).
Собственно говоря, WebMoney.exe можно сразу отбросить в сторону, не тратя силы на распаковку — все равно ничего интересного там нет. Но прежде нужно запустить монитор реестра и посмотреть, в какие ветви реестра лезет Keeper и не пытается ли он получить доступ к той информации, разглашать которую мы не хотим?
Даже невооруженным глазом видно, что сразу же после запуска Keeper ринулся определять имя чипа сетевой карты («AMD PCNET Family PCI Ethernet» в данном случае), имя машины («W2K»), и, если покопаться в дампе памяти, там можно обнаружить и MAC-адрес моей сетевой карты: 00-0C-29-F6-6C-3C (виртуальный, естественно). Кстати, чтобы узнать свой MAC-адрес, достаточно запустить штатную утилиту ipconfig c ключом /all (см. рис).
«Честные» программы не нуждаются в MAC-адресах и работают с сетью через TCP/IP-протоколы. Зачем же тогда Keeper'у потребовался наш MAC-адрес? А вот зачем! MAC-адрес уникален для каждой карты, и, хотя его теоретически возможно сменить на другой, даже без использования программатора, это считается веской уликой при расследовании преступления.
Значит, все-таки Keeper палит наш компьютер! И насколько глубоко? Берем в руки IDA Pro, загружаем WWClient.dll внутрь, и пока оно там дизассемблируется (а дизассемблироваться оно будет долго), достаем из заначки непочатую бутылку пива, затягиваемся сигаретой и думаем, думаем, думаем…
Лучше всего начинать анализ с поиска текстовых строк. Их легко найти в окне «Name Windows», вызываемом комбинацией клавиш . Тестовые ASCIIZ-строки начинаются с префикса «a». Действительно, здесь притаилось немало непуганой дичи:
Текстовые строки «pic_xxx», обнаруженные в Keeper'е
Семейство сток, гнездящихся вокруг слова «pci», наводит на мысль, что Keeper опрашивает PCI-шину для получения списка подключенных устройств. Сканер шины это действительно подтверждает, а в дампе памяти обнаруживаются идентификационные строки всех периферийных устройств..rdata:1021ECB0 aPci_wmtid db 'pci_wmtid=',0; DATA XREF: sub_100901C0+C45o .rdata:1021ECBC aPci_pursedest db '&pci_pursedest=',0; DATA XREF: sub_100901C0+CCCo .rdata:1021ECCC aPci_pursesrc db '&pci_pursesrc=',0; DATA XREF: sub_100901C0+D53o .rdata:1021ECDC aPci_amount db '&pci_amount=',0; DATA XREF: sub_100901C0+DDAo .rdata:1021ECEC aPci_marker db '&pci_marker=',0; DATA XREF: sub_100901C0+E61o .rdata:1021ECFC aPci_desc db '&pci_desc=',0; DATA XREF: sub_100901C0+EE8o .rdata:1021ED08 aPci_datecrt db '&pci_datecrt=',0; DATA XREF: sub_100901C0+F6Fo .rdata:1021ED18 aPci_modeTest db '&pci_mode=test',0; DATA XREF: sub_100901C0+FFFo
Поскольку виртуальные машины, в частности VM Ware, несут на своем борту довольно специфический набор оборудования и выделяют MAC-адреса из фиксированного пула адресов, становится ясно, как система распознает факт наличия виртуальной машины. Она просто сравнивает конфигурацию пользовательского оборудования с конфигурацией виртуальной машины, и, если они совпадают, электронный кошелек закрывается без предупреждений. Причем сравнение происходит не на клиентской, а на серверной стороне! То есть Keeper не просто опрашивает PCI-шину, но еще и передает эти данные в сеть, где они, по всей видимости, заносятся в банк данных, представляющий огромный интерес для спецслужб различных стран.
Штатные средства VM Ware не позволяют менять ни MAC-адреса, ни конфигурацию оборудования (в новых версиях вроде бы сделаны некоторые шаги в этом направлении, но не слишком радикальные). К счастью, есть неофициальная заплатка, позволяющая менять все, что угодно: http://honeynet.rstack.org/tools/vmpatch.c. Эксперименты подтверждают: после изменения конфигурации Keeper перестает распознавать VM Ware, и электронный кошелек больше не «палится».
В текстовых строках можно ковыряться до бесконечности. Это настоящий Клондайк, раскрывающий зловредные намерения Keeper'а хуже любого предателя. На месте разработчиков я бы обязательно их зашифровал, а то как-то несерьезно получается.
Как вам нравится следующее? Keeper динамически создает драйвер citio.sys (на NT/W2K/XP)/citio.vxd (на 9x), тут же его загружает в память, а после удаляет:
Ссылки на неопознанный драйвер, обнаруженные в Keeper'e
С самим драйвером я не разбирался. Выяснил только, что он имеет размер 4048 байт и, по сообщениям на форумах, часто является источником многих проблем. Тут уже дело не в конфиденциальности, а в надежности и стабильности работы. Мастерить драйвера — это вам не прикладные программы писать. Малейшая небрежность/неосторожность превращается в сплошной геморрой. Зачем пускать к себе на компьютер заведомо некорректно написанную программу?!.rdata:10222D5C aSystem32Driver db 'system32driverscitio.sys',0 .rdata:10222D78 aFileName db '\.citio',0 .rdata:10222D8C aSystemCitio_vx db 'systemcitio.vxd',0 .rdata:10222DA0 a_Citio_vxd db '\.CITIO.VXD',0
«Источники, приближенные к кругам разработчиков» сообщили, что все эти драйвера вставлены вовсе не из-за пакости или желания навредить пользователю. Напротив! Они охраняют Keeper от нехороших программ, крадущих электронную наличность. Как говорится, все на благо пользователя, даже если это благо идет ему вопреки. Я повторяю еще раз: нормально спроектированный платежный клиент работает исключительно на прикладном уровне, а не вгрызается в систему, как бульдозер в асфальт. Если на компьютер проникла зловредная программа, захватившая администраторские права (а такие права заполучить очень легко), она может вытворять с Keeper'ом все, что угодно, и никакие драйвера не в состоянии ее остановить, поскольку, после того как зловредная программа загрузит свой собственный драйвер, она уровняет свои шансы с Keeper'ом, а в противостоянии двух драйверов обороняющаяся сторона всегда обречена на поражение.
Но не будем зацикливаться на текстовых строках и двинемся дальше. Посмотрим на список импортируемых API-функций. Для этого достаточно воспользоваться утилитой dumpbin.exe, входящей в штатную поставку компилятора Microsoft Visual C++ и Platform SDK. Вызываем ее («dumpbin.exe /EXPORTS WMClient.dll > output») и смотрим на результат:
Функции, импортируемые Keeper'ом (фрагмент)
Dump of file WMClient.dll
KERNEL32.dll
Функции семейства TOOLHELP32 (CreateToolhelp32Snapshot(), Process32First(), Heap32ListFirst(), Heap32ListNext(), Module32First(), Module32Next(), Process32Next(), Thread32First() и Thread32Next****** служат для получения списка процессов и потоков, имеющихся в системе. Только зачем Keeper'у знать об этом?! Чтобы «отлавливать» троянские программы?! Непохоже… Троянские программы меняют свои имена как перчатки, и к тому же никакого «черного списка» внутри Keeper'а нет. Судя по всему, он передает их на сервер, и умные дядьки смотрят: а каким, собственного, программным обеспечением мы пользуемся? И где гарантия, что, увидев OllyDbg, PE-TOOLS и прочие хакерские утилиты, они не ликвидируют наш аккаунт или не настучат «куда нужно»? Keeper – идеальное средство для удаленного наблюдения за миллионами машинами, тем более что своего любопытства он даже и не скрывает. Больше всего смущает наличие функций Heap32ListFirst() и Heap32ListNext(), выдающих карту памяти каждого из процессов.83 DeviceIoControl 353 Thread32Next 352 Thread32First 28C Process32Next 262 Module32Next 260 Module32First 204 Heap32ListNext 203 Heap32ListFirst 28A Process32First 6C CreateToolhelp32Snapshot
А функция DeviceIoControl() — это вообще ласты. Ее основное предназначение — посылать драйверам специальные управляющие IOCTL-коды, с помощью которых можно напрямую читать или писать на диск. Поскольку разработчики никак не замаскировали ее вызов, все IOCTL-коды видны в IDA Pro как на ладони! Давайте разберемся, что же такого делает Keeper с нашим оборудованием, чего нельзя было бы сделать с помощью нормальных API-функций?!
Переходим в IDA Pro, нажимаем для открытия окна «Name», пишем «DeviceIoControl» (полностью вводить имя необязательно — IDA Pro сама поставит курсор на него, как только поймет, что же мы от нее хотим). Теперь нажимаем и оказываемся в секции импорта. По умолчанию IDA Pro отображает только первые две перекрестные ссылки. Чтобы увидеть остальные, необходимо в меню «View» выбрать пункт «Open subview», а там — «Cross references» или просто нажать ,,.
Первая же перекрестная ссылка ведет нас к следующему коду, который нам сейчас и предстоит дешифровать:
Фрагмент Keeper'а, вызывающий функцию DeviceIoControl
Прокрутив дизассемблерный листинг вверх, мы узнаем, что в переменной [ebp + hObject] находится дескриптор, возвращенный функцией CreateFileA(), которой скормили строку «\.PhysicalDrive%d». Очень интересно! Значит, перед нами код, напрямую взаимодействующий с жестким диском. Но как именно он с ним взаимодействует? Ответ скрыт в IOCTL-коде, равном 74080h. Все, что нам нужно, — перевести его в удобочитаемую константу, а для этого необходимо знать, как формируются IOCTL-коды, или воспользоваться online-калькулятором, доступном на http://www.osronline.com/article.cfm?article=229..text:100B76C3 push 0; lpOverlapped .text:100B76C5 lea edx, [ebp+BytesReturned] .text:100B76CB push edx; lpBytesReturned .text:100B76CC push 18h; nOutBufferSize .text:100B76CE lea eax, [ebp+OutBuffer] .text:100B76D4 push eax; lpOutBuffer .text:100B76D5 push 0; nInBufferSize .text:100B76D7 push 0; lpInBuffer .text:100B76D9 push 74080h; dwIoControlCode .text:100B76DE mov ecx, [ebp+hObject] .text:100B76E4 push ecx; hDevice .text:100B76E5 call ds:DeviceIoControl
Вводим IOCTL-код в окошко «VALUE» и получаем полную расшифровку: Device – DISK (0x7), Function – 0x20, Access – «FILE_READ_ACCESS», Method – «METHOD_BUFFERED». Ага, значит, чтение. Ну хорошо хоть не запись! Однако запись еще впереди! Например:
Еще один фрагмент Keeper'а, вызывающий функцию DeviceIoControl
Калькулятор говорит, что IOCTL-код 7C088h обеспечивает как запись, так и чтение данных с диска на секторном уровне в обход файловой системы и всех установленных ею ограничений. Возможно, что Keeper создает на жестком диске какой-то «тайник» или своеобразную метку, помогающую «людям в погонах» отождествить его. Или это просто Keeper так привязывается к оборудованию, чтобы его было нельзя запустить с чужого компьютера (скорее всего, так оно и есть, ведь WM Keeper не загрузит ключи на другом железе. — Прим. ред.)? Кто знает, полное исследование требует большой концентрации сил, ресурсов и времени, но вряд ли конечный результат стоит того, поскольку и без того ясно, что за зверь этот Keeper (а еще невинным муравьем прикидывается!)..text:100B7F63 push 0; lpOverlapped .text:100B7F65 mov ecx, [ebp+lpBytesReturned] .text:100B7F68 push ecx; lpBytesReturned .text:100B7F69 push 210h; nOutBufferSize .text:100B7F6E mov edx, [ebp+lpOutBuffer] .text:100B7F71 push edx; lpOutBuffer .text:100B7F72 push 20h; nInBufferSize .text:100B7F74 mov eax, [ebp+lpInBuffer] .text:100B7F77 push eax; lpInBuffer .text:100B7F78 push 7C088h; dwIoControlCode .text:100B7F7D mov ecx, [ebp+hDevice] .text:100B7F80 push ecx; hDevice .text:100B7F81 call ds:DeviceIoControl
[Заключение]
Мы выяснили, что Keeper Classic не только собирает (и отсылает) приватную информацию, но и отличается крайне агрессивным поведением. Скрываясь под аляповатым интерфейсом прикладной программы, он пробивает тоннель к самому центру операционной системы и делает это настолько некорректно, что у ряда легальных пользователей появляются серьезные проблемы.
Крис Касперски
Законный способ отъехать от судебных решений по долгам
создано в
01:08
0
коммент.
Не для кого не секрет, что долги на небольшую сумму (до 100000 по ГПК) выбиваются судебными приказами. Плюсов для взыскателя по сравнению с исковым производством куча - не нужен ответчик, минимум процессуальных документов, быстрота рассмотрения и реального вступления в законную силу, быстрое начало исполнительного производства, даже пошлина в 2 раза меньше.
Как от таких приказов отъехать в 90% случаев.
ст.128 ГПК - "Судья высылает копию судебного приказа должнику, который в течение десяти дней СО ДНЯ ПОЛУЧЕНИЯ ПРИКАЗА имеет право представить возражения относительно его исполнения". Если живете не по прописке проблем вообще нет, приказ до Вас с вероятностью в 99% не дойдет. Если по прописке объясните почтальону и родным (а еще чтобы никаких заказных писем вообще не брали), что Вы "тут не живете" (все равно проверять никто не будет) и письмо не берете. Рассмотрен самый плохой случай, когда к своим обязанностям добросовестно отнесся почтальон и помощник судьи. Двум моим знакомым, живущим по прописке, письма с приказами так и не дошли.
ст.129 ГПК - "Судья отменяет судебный приказ, если от должника в установленный срок поступят возражения относительно его исполнения. В определении об отмене судебного приказа судья разъясняет взыскателю, что заявленное требование им может быть предъявлено в порядке искового производства." - В 4 случаях на меня и моих знакомых (макс. сумма - 20000) никто иски не подавал, у меня есть мнение на этот счет.
Далее на основании судебного приказа СП начинают исполнительное производство и присылают Вам "письмо счастья". Ваши действия - прийти и объяснить приставу, ведущему Ваше дело (лучше еще начальнику СП района), что никакого приказа в глаза не видели, а это значит, что приказ в законную силу не вступил, следовательно исполнительное производство и сопутствующие ему "радости", ограничивающие права и свободы незаконны, можно намекнуть про прокуратуру, СК и превышение полномочий (ст.286 УК). Дублируете это письмом УССП - ответ должны дать в течение месяца. По ФЗ "Об ИП" отменить ИП они не должны, но вводить меры принудительного исполнения побояться.
Далее суд - существует 2 варианта действий: быстрый и медленный. Быстрый - приходите в суд с заявлением, в котором указываете, что от ССП узнали, что в отношении вас вынесен судебный приказ, копию приказа на руки не получали, соответственно 10 дней СО ДНЯ ПОЛУЧЕНИЯ ПРИКАЗА даже не начинались, с судебным приказом не согласны и руководствуясь ст.129 ГПК РФ просите его отменить. Судья, если дружит с головой, приказ отменяет. Нотариально заверенную копию (на всякий случай) определения об отмене приказа относите СП. СП в соответствие с п.4 ч.2 ст.42 ФЗ "Об ИП" ИП отменяет. Медленный - пишите в суд письмо, что от ССП стало известно о приказе, приказ Вы не получали, просите выслать для ознакомления. В течение месяца Вам присылают приказ, дальше как в быстром варианте, единственное ССП о прекращенном приказа не уведомляете (не обязаны это делать)
Данная схема опробована 4 "должниками" в 2 субъектах РФ. Максимальная сумма долга 20000р. Деньги не платились, последствий нет
Как от таких приказов отъехать в 90% случаев.
ст.128 ГПК - "Судья высылает копию судебного приказа должнику, который в течение десяти дней СО ДНЯ ПОЛУЧЕНИЯ ПРИКАЗА имеет право представить возражения относительно его исполнения". Если живете не по прописке проблем вообще нет, приказ до Вас с вероятностью в 99% не дойдет. Если по прописке объясните почтальону и родным (а еще чтобы никаких заказных писем вообще не брали), что Вы "тут не живете" (все равно проверять никто не будет) и письмо не берете. Рассмотрен самый плохой случай, когда к своим обязанностям добросовестно отнесся почтальон и помощник судьи. Двум моим знакомым, живущим по прописке, письма с приказами так и не дошли.
ст.129 ГПК - "Судья отменяет судебный приказ, если от должника в установленный срок поступят возражения относительно его исполнения. В определении об отмене судебного приказа судья разъясняет взыскателю, что заявленное требование им может быть предъявлено в порядке искового производства." - В 4 случаях на меня и моих знакомых (макс. сумма - 20000) никто иски не подавал, у меня есть мнение на этот счет.
Далее на основании судебного приказа СП начинают исполнительное производство и присылают Вам "письмо счастья". Ваши действия - прийти и объяснить приставу, ведущему Ваше дело (лучше еще начальнику СП района), что никакого приказа в глаза не видели, а это значит, что приказ в законную силу не вступил, следовательно исполнительное производство и сопутствующие ему "радости", ограничивающие права и свободы незаконны, можно намекнуть про прокуратуру, СК и превышение полномочий (ст.286 УК). Дублируете это письмом УССП - ответ должны дать в течение месяца. По ФЗ "Об ИП" отменить ИП они не должны, но вводить меры принудительного исполнения побояться.
Далее суд - существует 2 варианта действий: быстрый и медленный. Быстрый - приходите в суд с заявлением, в котором указываете, что от ССП узнали, что в отношении вас вынесен судебный приказ, копию приказа на руки не получали, соответственно 10 дней СО ДНЯ ПОЛУЧЕНИЯ ПРИКАЗА даже не начинались, с судебным приказом не согласны и руководствуясь ст.129 ГПК РФ просите его отменить. Судья, если дружит с головой, приказ отменяет. Нотариально заверенную копию (на всякий случай) определения об отмене приказа относите СП. СП в соответствие с п.4 ч.2 ст.42 ФЗ "Об ИП" ИП отменяет. Медленный - пишите в суд письмо, что от ССП стало известно о приказе, приказ Вы не получали, просите выслать для ознакомления. В течение месяца Вам присылают приказ, дальше как в быстром варианте, единственное ССП о прекращенном приказа не уведомляете (не обязаны это делать)
Данная схема опробована 4 "должниками" в 2 субъектах РФ. Максимальная сумма долга 20000р. Деньги не платились, последствий нет
Мастер одностраничников
создано в
00:55
0
коммент.
Очень подробный курс про одностраничники. Рассказывается вся история создания + как сделать свой, чтобы продать свой продукт максимально.
Обмен WM -> LR онлайн
создано в
00:22
0
коммент.
Сам использовал следующую цепочку:
Webmoney -> Yandex.Money -> Z-Payment -> Liberty Reserve
(точно так же в обратном порядке)
1. WM -> YM.
Обменник: www.prochange.ru
Комиссия: 0% (даже +0,2% - на полном серьёзе).
2. YM -> ZP
Обменник: www.autoconverter.net
Комиссия: ~6,5%.
3. ZP -> LR
Обменник: www.cashtochange.net
Комиссия: сложно посчитать из-за разных валют. Где-то около 3-4%.
Эта схема не требует верификации аккаунтов и прочей лабуды. Обмен происходит моментально. В общей сложности потеря составила порядка 10% (без учёта комиссии платёжных систем).
Дополнение:
Буквально на следующий день после написания статьи, Webmoney ввели фичу с верификацией при обмене. Т.е. теперь чтобы совершить обмен WM->ЯД нужно верифицировать оба аккаунта. Я не смог найти ни один обменник, который согласится менять без вериф. Выхода два: либо верифицировать, либо пополнять ЯД другими способами (в РУ - не проблема).
Webmoney -> Yandex.Money -> Z-Payment -> Liberty Reserve
(точно так же в обратном порядке)
1. WM -> YM.
Обменник: www.prochange.ru
Комиссия: 0% (даже +0,2% - на полном серьёзе).
2. YM -> ZP
Обменник: www.autoconverter.net
Комиссия: ~6,5%.
3. ZP -> LR
Обменник: www.cashtochange.net
Комиссия: сложно посчитать из-за разных валют. Где-то около 3-4%.
Эта схема не требует верификации аккаунтов и прочей лабуды. Обмен происходит моментально. В общей сложности потеря составила порядка 10% (без учёта комиссии платёжных систем).
Дополнение:
Буквально на следующий день после написания статьи, Webmoney ввели фичу с верификацией при обмене. Т.е. теперь чтобы совершить обмен WM->ЯД нужно верифицировать оба аккаунта. Я не смог найти ни один обменник, который согласится менять без вериф. Выхода два: либо верифицировать, либо пополнять ЯД другими способами (в РУ - не проблема).
Подписаться на:
Комментарии (Atom)
