Автовыполнения и Вредоносное программное обеспечение

Одна из целей большинства вредоносного программного обеспечения состоит в том, чтобы остаться активной на зараженной системе неопределенно. Вредоносное программное обеспечение поэтому всегда использовало ASEPs. Несколько лет назад, это обычно только предназначалось для простых расположений, таких как ключ Run под HKLM. Поскольку вредоносное программное обеспечение стало более сложным и трудным идентифицировать, его использование ASEPs стало более сложным также. Вредоносное программное обеспечение было реализовано как провайдеры Winsock и поскольку печать контролирует. Мало того, что такие расположения ASEP более неясны, но и вредоносное программное обеспечение, не обнаруживается в списке процесса, потому что оно загружается как DLL в существующем, законном процессе. Вредоносное программное обеспечение также стало более владеющим мастерством инфицирования и ­выполнения, не требуя административных полномочий, потому что там увеличивают числа пользователей, у которых только когда-либо есть стандартные пользовательские полномочия.

Кроме того, вредоносное программное обеспечение часто усиливает rootkits, которые ниспровергают целостность операционной системы. Rootkits прерывают и изменяют системные вызовы, ложь о программном обеспечении, которое использует задокументированные системные интерфейсы о состоянии системы. Rootkits может скрыть присутствие регистрационных ключей и значений, файлов и папок, процессов, сокетов, учетных записей пользователя, и больше, или они могут заставить программное обеспечение полагать, что что-то существует, когда это не делает. Короче говоря, компьютер, на котором вредоносное программное обеспечение работало с административными полномочиями, не может быть доверен, чтобы сообщить о его собственном состоянии точно. Поэтому, Автовыполнения, как могут всегда ожидать, не идентифицируют злонамеренные записи автоматического запуска на системе.

Однако не все вредоносное программное обеспечение - то, что сложный, и есть все еще некоторые контрольные знаки, которые могут указать на вредоносное программное обеспечение:

■                Записи с известным издателем, такие как Microsoft та проверка подписи сбоя. (К сожалению, не все программное обеспечение, опубликованное Microsoft, подписывается.)

■                Записи с каналом передачи изображения, указывающим на DLL или файл EXE, который пропускает информацию об Описании или Издателе (если конечный файл не находится).

■                Общий компонент Windows, который запускается от необычного или нестандартного расположения — например, svchost.exe запускаясь от C:\Windows (вместо от System32) или от информации об Объеме C:\System.

■                Записи, для которых дата файла и время запущенной программы соответствует, когда проблемы были сначала замечены или нарушение, как обнаруживают, произошли.

■                Отключение или удаление записи, нажатие F5, чтобы обновить дисплей, и обнаружение записи все еще представляют и включали. Вредоносное программное обеспечение будет часто контролировать свой ASEPs и откладывать их, если они будут удалены.

Вредоносное программное обеспечение и антивредоносное программное обеспечение остаются движущейся целью. Сегодняшние "лучшие методы" будут казаться наивными и недостаточными завтра.

Есть некоторые записи, с которыми Вы могли бы столкнуться, которые кажутся подозрительными, но безвредны:

■                Установка по умолчанию Windows XP или Windows Server 2003 покажет много "Файлов, не найденных" записи, особенно на вкладке Drivers. Они - записи наследства, для которых файлы были удалены из установки по умолчанию, но записи реестра были непреднамеренно сохранены.

 

■                Установка по умолчанию Windows XP покажет запись на вкладке Image Hijacks под Опциями Выполнения Файла изображения (IFEO). Имя записи - "Ваше Имя Файла изображения Здесь без пути," и это указывает на Ntsd.exe в папке System32. Цель записи состоит в том, чтобы служить выборкой для использования ключа IFEO.

■                У установки по умолчанию Windows Vista могло бы быть небольшое количество "Файла, не найденного" записи на вкладке Drivers для драйверов IPX NetWare и для "IP в Туннельном Драйвере IP."

■                У установки по умолчанию Windows 7 могло бы быть небольшое количество записей на вкладке Scheduled Tasks под "\Microsoft\Windows", которые показывают имя записи, но никакую дополнительную информацию.

Глава 6. PsTools

Sysinternals PsTools является комплектом 12 утилит управления Microsoft Windows с общими характеристиками:

■                Они - все консольные утилиты. Таким образом, они разрабатываются, чтобы работать в командной строке или от пакетного файла, и они пишут в стандартный вывод и стандартные потоки сообщений об ошибках (который может появиться в консоли или быть перенаправлен к файлам).

■                Они могут работать на локальном компьютере или на удаленном компьютере. В отличие от программ наиболее дистанционного управления, утилиты PsTools не требуют предварительной установки клиентского программного обеспечения в удаленных системах. (И конечно, как все другие утилиты Sysinternals, они не требуют никакой установки на локальном компьютере также.). Два исключения - то, что PsLoggedOn не принимает альтернативные учетные данные, ни делает PsPasswd, изменяя пароль для доменной учетной записи.

■                Они обеспечивают стандартный синтаксис для того, чтобы он определил альтернативные учетные данные так, чтобы задачи утилит могли быть выполнены как другой пользователь.

Утилиты, включенные в комплект PsTools:

■                PsExec Выполняет процессы удаленно и/или как Локальную Систему с перенаправленным выводом.

■                Списки PsFile или файлы завершений открылись удаленно.

■                Дисплеи PsGetSid Идентификатор безопасности (SID) компьютера, пользователя или группы.

■                Информация о Списках PsInfo о системе.

■                PsKill Завершает процессы по имени или ID процесса (PID).

■                Информация о Списках PsList о процессах.

■                Учетные записи Списков PsLoggedOn, которые зарегистрированы локально и через удаленные соединения.

■                Записи журнала событий Дампов PsLogList.

■                Пароли Изменений PsPasswd для учетных записей пользователя.

■                Списки PsService и службы Windows средств управления.

■                PsShutdown Завершает работу, выходит из системы, или изменяет состояние питания локальных и удаленных систем

■                PsSuspend Приостанавливает и возобновляет процессы.

 

Случайно, причина, что комплект называют PsTools и что у всех задействованных утилит есть Постскриптум как префикс к их именам, состоит в том, что первым из них, что я разработал, был PsList, который перечисляет рабочие процессы. Я назвал это в честь утилиты постскриптума, которая обеспечивает подобную функциональность на системах UNIX.

Прежде, чем мы начнем на утилитах, проблема, которая все еще подходит, - то, что иногда антивирусные продукты отметят некоторые из PsTools как программы Троянского коня или другие типы вредоносного программного обеспечения. Пребывайте в уверенности, что ни один из PsTools — или любые утилиты Sysinternals — не является вредоносным программным обеспечением. Однако, злодеи включили различный PsTools, особенно PsExec, в полезные нагрузки вредоносного программного обеспечения. Поскольку мое имя и Веб-сайт включаются в PsTools, и авторы вредоносного программного обеспечения обычно не помещают свою собственную контактную информацию в части полезной нагрузки, которую они пишут, я - тот, кто получает сердитые электронные письма от пользователей Windows, ругающих меня за то, что я записал вирусы и заразил их системы. Как я должен был объяснить много раз, PsTools служат законным целям, и их неправильное употребление не что-то, что я имею любой контроль. Кроме того утилиты не используют уязвимости или получают несанкционированный доступ. Они или должны уже работать с учетной записью, у которой есть необходимый доступ, или быть данной имя пользователя и пароль авторизованной учетной записи.

Типичные функции

Все утилиты в комплекте PsTools работают над всеми поддерживаемыми версиями клиента и сервера Windows. Это включает x86 и x64 версии Windows XP, Windows Vista, и Windows 7, и x86, x64, и версии IA-64 Windows Server 2003, 2008, и 2008 R2. Поддержка 64-разрядных версий требует, что WOW64, компоненты, которые поддерживают 32-разрядные приложения на 64-разрядном Windows, быть установленными. (WOW64 может быть удален на Ядре Сервера.)

Все утилиты PsTools поддерживают удаленные операции, используя синтаксис, который является непротиворечивым через весь комплект. Можно вывести на экран синтаксис для утилиты, выполняя это с -? на командной строке. Синтаксис командной строки для каждой из утилит PsTools перечисляется в "разделе" Синтаксиса Командной строки PsTools около конца этой главы.

Удаленные Операции

Утилиты PsTools могут выполнить операции на локальном компьютере или на удаленном компьютере. Каждая из утилит принимает дополнительное \\компьютерный параметр командной строки: пара наклонной черты влево, сопровождаемая именем компьютера или IP-адресом, направляет утилиту, чтобы выполнить действия на указанном компьютере. Например.

Некоторые из утилит выполняют удаленные операции просто при использовании API Windows, которые позволяют спецификацию удаленного компьютера, на котором можно работать. Некоторые из утилит выполняют удаленные операции, извлекая файл EXE, встроенный в его исполнимое изображение, копируя тот файл в долю Admin$ удаленного компьютера, регистрируя это как сервис на той системе и запуская ту службу, используя менеджера по Управлению службой Windows API, и затем ­связываясь с той службой, используя названный каналами. Создание удаленной службы требует, чтобы совместное использование файла и доля Admin$ были включены на целевом компьютере. Таблица в конце этой главы списки, которые из утилит PsTools требуют этих функций удаленной работы.