...
...

Взлом Windows через реестр

В компьютерной прессе появилось несколько заметок по поводу запуска рекламных программ через реестр и методов борьбы с этим ("Компьютерные вести" N№N№ 6, 7, автор Андрей Ворошков). Информация в заметках неполная. Да и взглянуть на проблему хотелось бы с другой стороны.

Случилась беда: на вашем компьютере завелась какая-то "новая" программа, мешающая работать, например, хит сезона - Back Orifice (хакерский продукт, позволяющий получить полный контроль над системой, работающей под Windows 32) или рекламная программа, другая програм-мная "закладка".

Определить, что у вас работает программа, которую вы не устанавливали, можно, просмотрев следующие разделы реестра: строка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" - название раздела реестра, где содержится часть программ, которые автоматически запускаются при старте Windows. Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но туда додумается помещать программы для незаметного запуска только lamer.

Программа RegEdit.exe, Norton Registry Editor, покажет эти разделы и строчки. Можно в сеансе MS-DOS с помощью RegEdit.exe (ключ /e) конвертнуть реестр в текстовый файл и просмотреть соответствующие разделы.

Список разделов, позволяющих автоматически запускать программы при старте Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunservicesOnce

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ Current Version\Runservices

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunservicesOnce

В них необходимо просмотреть все "Строковые параметры", запускающие неизвестные программы. Программные закладки не обязательно будут присутствовать в виде exe-шника. К примеру, известный продукт для скрытой записи нажатий клавиатуры, времени/имени приложений Hookdump, отработав, оставляет в памяти только dll.

Можно переименовать исполняемые файлы с любым расширением или без него, но они все равно запустятся из строкового параметра командной строкой (например, переименовать notepad.exe в notepad.doc и запустить через реестр). Нужно быть хорошим системщиком, чтобы "отделить зерна от плевел": в этих разделах запускаются программы, необходимые для работы Windows internat.exe, SysTray.exe и т.п., так что не переусердствуйте.

Подраздел \SOFTWARE\Microsoft\Windows\CurrentVersion\Run существует не только в разделе HKEY_ LOCAL_MACHINE, а еще и в HKEY_USERS (HKEY_USERS\ .Default\ или HKEY_USERS\.Ваш_логин_при_старте\).

Поэтому, повторите поиск разделов "Run" ("RunOn-ce", "Run... ") еще в 2-х главных разделах.

Еще есть места, откуда смогут стартовать непрошеные гости: Win.ini раздел [windows], строки load, run. К примеру, Hookdump стартует именно оттуда. Можно просмотреть список активных процессов и удалить ненужную программу - воспользоваться утилитами XRun, Prcview, которые показывают/завершают запущенные программы.

Для просмотра активных процессов, на худой конец, можно воспользоваться MSInfo из MS Office, запускающейся из пункта меню помощи (О программе \О системе...) или System Information из нортоновских утилит (раздел Memory). Не все активные процессы видны в окне списка задач, которое появляется по нажатию Ctrl+Alt+Del.

Есть способы сделать программы недоступными по Ctrl+Alt+Del. Мне больше нравится Prcview с ее удобным оконным интерфейсом, ее я использую для изменения приоритетов задач и тонкой настройки процессов. Есть еще один неприятный момент в этих программных "закладках": раздел RunServices запускает программы до запуска диалога для ввода имени пользователя/пароля. Это намек на то, как могут "вороваться" пароли. Замечание: от зараженных вирусами программ подобные методы не спасают.

Процесс отслеживания подобных изменений (что актуально при серфинге по Интернет, где пользователя ждут ухабы и ловушки, хакеры и начинающие Интернет-хулиганы) можно до известной степени автоматизировать.

Программа RegTracker из пакета нортоновских утилит, работающая в фоновом режиме, отслеживает все изменения в реестре и INI-файлах, всегда можно просмотреть, что у вас на сегодня нового, и вернуть "чьи-то правки" на место.

Правда, здесь есть опасность запортить и программное обеспечение - программы тоже любят "делать пометки" в реестре. Можно использовать и WinCheckit 5-ой версии, в нем есть пункт System Spy - "шпион за системой", скорее местечковая "контрразведка":), позволяющая засечь изменения в INI и нескольких системных файлах изменения в программном обеспечении, аппаратном обеспечении.

Работает как в фоновом режиме (в "подносе"), так и делает Snapshot-ы. Правда, несколько слабоват: за реестром не следит. И последний щит: для отслеживания изменений файлов, появления новых и т.п. полезно при запуске системы делать "снимок" с помощью программ-ревизоров вроде AVP Inspector-a Касперского. Он засекает изменения в файлах, добавление новых файлов и каталогов.

Если его выставить в режим полной CRC (Опции\Конфигурация\Расширения), то пролезть тяжело будет даже навороченным вирусам типа WinCH, который записывается в пустоты исполнимого файла, не изменяя его размера.

Хочу предостеречь неискушенного пользователя не возвращать все изменения, которые выявил "инспектор" сходу на место, например, Windows при обновлении модифицирует загрузочный сектор. Вернув его правку на место, вы рискуете не только сделать компьютер незагружаемым, но и потерять всю информацию на жестком диске.

При наложении патчей и апдейтов на программное обеспечение многие файлы также модифицируются, и можно запросто убить "софт" с помощью ревизора Касперского.

P.S. С помощью недокументированных Win API 32 можно создать ключ, невидимый для редактора реестра.

Автор не несет ответственности за то, что материалы статьи могут использоваться как пособие для начинающих хакеров.

Black Prince (WEREWOLF)


© Компьютерная газета

полезные ссылки
Оффшорные банковские счета