спонсори:

Віруси - боремось вручну - прелюдія


Вірусологія - досить цікава та складни наука. Вивчення методик взлому та аналізу після цього - дуже хороший метод навчитись безпеці та методології налагодження безпеки.
Спробую розпочати цикл статей, з власного досвіду, який сподіваюсь допоможе комусь в розумінні та аналізі різноманітних систем.
Початок - на прикладі windows.
А далі - в залежності від своїх, а також Ваших побажань.

Ліричний вступ

Не люблю я windows


Знаю, дана система - переважаюча на ринку... І для бізнесу в ній створено всі можливі програмні продукти. І підтримка драйверів реалізована непогано, і знає її на банальному користувацькому рівні кожна собака.


Але не зважаючи на це - психологія роботи, відношення до користувача, а головне - наявність вірусів, та найнижчий серед усіх операційних систем рівень безпеки. І з цим я не можу миритись.


І про боротьбу з вірусами та частково безпеку я спробую сьогодні сказати кілька слів.


Що таке вінда?

Відповідь буде лише про недоліки. Нічого не можу з цим зробити, але переваг у вінди залишилось дуже мало, які можуть реально протистояти всім її недолікам.


На статтю мене "надихнула" недавня епопея боротьби з вірусами на моїй робочій станції.


І все би було добре, якщо б поряд не стояло дві робочих станції та сервера на "інородних" операційних системах(про них я не буду говорити). Скажу лише, що вони виконують аналогічну роботу, як і вінда - кількість файлів та різноманітних пристроїв, що проходять через них - аналогічна, але з безпекою проблем немає.


А вінда:

  • встановлений ліцензійний хороший антивірус
  • постійно стягуються та встановлюються останні сервіс-паки
  • не запускається жодних лівих інтернет програм
  • також не використовується Internet Explorer

І толку мало.


Є нюанс, з яким постійно зустрічається щодня дана робоча станція - в неї "вставляються" від 20-ти FLASH накопичувачів в день, які приносять замовники.


І що тільки не робилося - толку 0 - віруси лізуть і все тут. І саме головне - працюючи не від імені адміністратора, система заражається всерівно і заражається також і адміністративний профіль.


  • Поганий антивірус? Сумніваюсь - перепробували велику кількість як легальних так і не зовсім варіантів - без толку!
  • Погані користувачі? Також сумніваюсь - проблеми не тільки на моїй робочій станції.
  • Погана система? Погоджусь!
За більш як 8 років сервісно-адміністративної роботи в мене з'явилась певна теоретична та практична база знань та фактів, якими варто поділитись з іншими. Були в мене випадки, коли приходилось відновлювати системи "по телефону", мав практику знезараження серверів, які заборонено було вимикати та перевантажувати, доводилось відловлювати троянів та вірусів віддаленого адміністрування, які при вимиканні компа від мережі генерували синій екран смерті...

Проблеми безпеки

Параметри за замовчуванням

В системі windows існує величезна проблема - система безпеки налагоджена в стандарті дуже погано і не створено жодних можливостей для забезпечення на користувачькому рівні рішень від небажаних програм та дій. Крім того важлива частина системи - реєстр - проініціалізований загальносистемно так, що будь-який користувач, навіть гість може певними засобами завалити систему. або внести в неї певні параметри, які забезпечать можливість запуску небажаних програм або скриптів під час завантаження користувача з підвищеними привілеями. Це стосується профіля Allusers.


Окремим пунктом є "автоматизм", який МС вважає "зручним". Ідея звичайно хороша - при вмиканні нового пристрою - запустити пов'язаний їз цим алгоримт. Але це добре для накопичувачів, в яких рівень довіри наближається до 100 відсотків.


А як бути в випадку, якщо це розповсюджений флеш-накопичувач, зовнішній диск, або навіть підмонтований мережево розшарений ресурс?


Вимкнути автозапуск? Правильно! Але як це зробити звичайному користувачу? В системі ХР(Віста) навіть нормального інструменту для цього немає.

Складність розуміння структури системи

Чи багато з користувачів розуміє яким чином система обробляє скажімо запуск exe файла? Або навіть такий, на перший погляд безневинний процес, як процес запуску пов'язаної програми для перегляду банального текстового документа? Або як обробляється скажімо натискання на певному об'єкті в системі правої кнопки миші?
Все це реалізовано у даній ОС через велику та складну систему класів в реєстрі! І складністю цією користуються ті, хто пишуть віруси та трояни. 


Скажімо клікаєте ви на файл з розширенням *.doc - система перечитує реєстр, викликає відповідно назначену для цього програму або клас, з яким пов'язана певна функція виклику в деякому dll компоненті...


Складно? Так! І найгірше, що процес цей зовсім не захищений. Тобто будь-який ламер може змінити процедуру обробки такого кліка.


А тепер подумайте про такі виклики як
  • меню правої кнопки миші(в кожній з програм)
  • інсталяція програм
  • одноразовий виклик певних команд при перезавантаженні
  • неймовірна кількість місць в реєстрі, звідки можна зробити виклик програми без відома користувача
  • білі та чорні списки вебсайтів, яким довіряє користувач і яким недовіряє. Додати туди щось не складає проблеми.

І це ще не все.

Доступ заборонено

Думаю кожен користувач вінди час від часу отримував таке повідомлення. Чесно кажучи я взагалі не пригадую випадків, коли таке повідомлення виникало в справжньому випадку, коли заборона була потрібна(ну я не рахую тих випадків, які були викликані параметрами системи, заданими мною). В оносновному таке повідомлення виникало в випадку необхідності доступу до мережевого ресурсу на сусідній машині, або при необхідності інсталяції певного програмного забезпечення, яке вимагало адміністративних привілей і в даний момент існталяція відбувалась під профілем неадміністративного користувача в режимі Run as...(Запуск від імені іншого користувача).


А знаєте, як обобляють таке повідомлення "інші" ОС?


 
Вікно, що виникає кожен раз, якщо існує загроза доступу до важливих системних файлів

Вони виводять на екран вікно вводу логіна та пароля користувача, який має права. Зручно? Так! Безпечно? Так! А от чому саме безпечно? - Домашнє завдання Вам 8))))))).

Аналіз безпеки

Для вивчення питання безпеки є два методи - аналізування змін в системі та вивчення варіантів взлому.
Спірне питання який варіант є кращим... НМД - другий. Бо вірусологія - це ключ до розуміння принципів роботи на всіх рівнях.

Спробую навести приклад

Як можна навчитись створювати автозавантаження з якогось диска, що Ви записуєте?

В документації до Вінди про це мало що написано - більше в MSDN, який коштує великих грошей, або на сайті майкрософта, де частково це можна почитати(із великою кількістю помилок та застарілої інформації). Можуть в цьому допомогти також і спеціальні програми(стороннього виробника і не завжди безкоштовні), в яких може бути присутній певний варіант інтерфейсу до функцій автозавантаження, які надає вінда.


В прикладах, які описані на різноманітних вебсайтах - метод дуже хороший, але не завжди універсальний


В вірусології, де точно можна знайти найрізноманітніші методики автоматичного запуску, які точно працюють!

Класно, правда? Я описуюю тут технології вірусів, які мають перевагу над офіційною документацією розробників ОС. 

 Як можна проаналізувати зміни в системі?

Приклад. Встановили Ви якусь програму, що понастворювала в системі величезну кількість перехоплень викликів по правій кнопці мишки, додала колосальну функціональність до ОС зручними фічами, понастворювала велику кількість файлів, позакидала в автозавантаження себе і свої компоненти, пододавала велику кількість служб та драйверів тощо. Як все це побачити? Реально ж повзунок інсталяції дуже малоінформативний! Для цього в системі вінди немає user-friendly інструментів. А ті, що є - вимагають значних знань, на рівні адміністрування великих серверів windows. Я спробую показати на прикладі Microsoft management Console яким чином легком'які пропонують робити аналіз вже зроблених змін в системі(замість того, щоб не допустити цих змін).

Як можна відкотити зміни в системі?

Загалом в випадку вінди це або незручно, або дорого. Про один з методів відновлення роботоздатності вінди я писав раніше - Відновлення роботоздатності Windows.

Незручно

Незручно тим, що система сама не надає нормальних засобів для резервування даних на рівні користувача. Все, що є - це пафос. Хоча в прямих руках можна користуватись і цим. Крім того самі ці засоби створені коряво, і ними досить часто користуються віруси для внесення змін в систему.

Дорого

Для резервного копіювання потрібно мати подвійну ємність накопичувачів. А це прямі витрати. Хоча мабуть вінда - це єдина система, в випадку використання якої резервне копіювання насправді вигідне. Як мінімум економією часу.


Потрібно

І навіть дуже! В випадках, коли Ваша система для повної переінсталяції вимагає часу в районі тижня-місяця. Крім того врахуйте, що не всі віруси залишають цілісність Ваших даних. А зруйновані дані ніяка переінсталяція не відновить.


Хоча в більшості випадків достатньо зберігати копію найважливіших системних параметрів, з якими реально завантажитись на певному етапі.

Кроки

  • Вимикаємо всі можливі автоматичні процеси в системі
  • Змінюєм параметри реєстру з максимально можливим захистом
  • Налагоджуєм права доступу до певних гілок реєстру
  • Робим резервну копію головних параметрів
  • Налагоджуєм політики безпеки
  • Налагоджуєм права доступу до важливих файлів на файловій системі(NTFS)
  • З допомогою MMC робимо збереження налагоджених параметрів для аналізу в майбутньому

Але про ці кроки - в майбутніх статтях

Trackback URL для цього допису

http://itua.name/uk/trackback/109

КТЗ

Сьогодні в мене якийсь день про опір. Про це і продовжую писати.

Почалось все з того, що я мав нагоду покататись по вечірньому Києву і отримати від того катання купу задоволення.

Тепер же - отримав хороше і позитивне посилання від знайомого. Не те ...

Share this

Об'єднати вміст Об'єднати вміст

Propeople Expert

Партнери

експерименти

Rambler's Top100