|
|
|
hang |
e |
|
|
|
|
||
|
|
C |
|
|
E |
|
|
|||
|
X |
|
|
|
|
|
|
|||
- |
|
|
|
|
|
|
d |
|
||
F |
|
|
|
|
|
|
|
t |
|
|
98P |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|||
D |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
BUY |
|
|
||||
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
|
.c |
|
||
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
n |
e |
|
||
|
|
|
-xcha |
|
|
|
|
|||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
P |
|
|
|
|
|
|
|
|
i |
|
D |
|
Глава 4 |
||||||||
|
|
|
|
|
|
|
|
r |
||
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
BUY |
|
|
|||
w Click |
to |
|
|
|
|
m |
||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Рис. 4.5. Диспетчер задач — запущенные процессы
Еще один случай произошел через пару лет, когда мне поручили создать программу для слежения за тем, какие программы работают на компьютерах сотрудников нашей фирмы. Тогда троянского коня я назвал scanbisk.exe. И опять все прошло незамеченным. Просто в системах Windows 9x была утилита scandisk.exe для сканирования дисков, и никто не заметил, что в названии заменена буква "d" на "b".
Точно так же хакеры производят подмены символов и маскируют программы под другие. Буквы удобно замещать цифрами со схожим начертанием. Например, буква "О" может быть заменена цифрой 0, и это будет уже другой файл, а вот названия будут похожи, и на скорую руку отличие заметить сложно. Затем такой файл кладут в ту же папку, где находится программа, сходства с которой мы добиваемся, и большинство пользователей уже можно считать обманутыми.
Сервисы
В Windows у вирусов и троянов существует способ активизироваться при входе в систему — стать сервисом (службой). Сервисы — это программы, которые выполняются невидимо для пользователя и могут автоматически запускаться при старте системы.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||
- |
|
|
|
|
d |
|
|
- |
|
|
|
|
d |
|
|||||||
|
F |
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
t |
|
||
|
СоветыP |
|
i |
|
P |
|
|
|
|
|
|
|
|
i |
|
||||||
|
хакера |
D |
|
|
|
|
|
99 |
|||||||||||||
|
D |
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
r |
|||
|
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
NOW! |
o |
||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
wМногие начинающие пользователи боятся управлять службами Windows, потому |
|||||||||||||||||||||
w Click |
to |
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
m |
|
|
|
|
|
|
m |
||||||||
|
чтоdf |
некоторыеn |
из них могут оказаться критичными для работы. Именно поэтомуdf n |
||||||||||||||||||
|
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||
|
|
|
|
-xcha |
e |
|
|
|
|
|
-x cha |
e |
|
||||||||
хакеры в последнее время все больше внимания уделяют написанию зловредного
кода в виде сервисов. Лично я подобных вирусов пока еще не видел, но трояны уже попадались. В ближайшее время все может измениться, и появятся вирусы, а может быть, это уже случилось, но я просто с ними не сталкивался.
Если мне не изменяет память, то первыми под службы начали маскировать программы нелегального сбора информации с компьютеров пользователей. Есть еще достаточно много злостных нарушителей нашего спокойствия, и вы должны регулярно следить за своими сервисами, чтобы там не появилось никаких неожиданных программ, которых вы не просили.
Управление службами происходит с помощью оснастки Службы (Services). Для ее запуска нужно выполнить Пуск | Настройка | Панель управления | Администри-
рование | Службы (Start | Control Panel | Administrative tools | Services). Перед вами откроется окно, как на рис. 4.6.
Рис. 4.6. Оснастка Службы
Список служб состоит из пяти колонок:
Имя (Name) — короткое название;
Описание (Description) — назначение службы;
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||
- |
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
|||||||
|
F |
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
100P |
|
|
|
|
|
i |
|
P |
|
|
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
r |
D |
|
Глава 4 |
|||||||||||||
|
D |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
|
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
NOW! |
o |
|||||||
w |
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
Состояние (Status) — текущий статус сервиса, здесь может быть надпись Рабо- |
|||||||||||||||||||||
|
|
|
to |
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
|
||||
w Click |
|
|
|
|
|
|
m |
|
|
n |
|
|
|
m |
||||||||
|
|
|
dfтаетn |
|
(Started), если в данный момент служба функционирует; |
w |
|
df |
|
|
|
|
o |
|
||||||||
|
w |
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
e |
|
|
|
|
|
-x cha |
|
e |
|
||||||||
Тип запуска (Startup Type) — способ запуска службы. Здесь могут быть такие варианты:
Автоматически (Automatic) — служба запускается автоматически при старте системы;
Вручную (Manual) — служба запускается либо вручную, либо при запуске программ, которые ее запускают;
Отключена (Disabled) — службу запустить нельзя;
Вход от имени (Log On As) — учетная запись, права которой будет иметь служба. Если учетная запись имеет права администратора, то служба будет обладать доступом ко всем ресурсам, а для гостевой учетной записи права ограничены. Чаще всего указывают системную запись, тогда служба будет иметь права пользователя, который вошел в систему.
Не поленитесь и узнайте, какие службы для чего предназначены. Это можно сделать с помощью описания, Интернета или специализированной литературы по ОС Windows. Сейчас в качестве сервисов распространяется много вредоносного кода, и вы должны уметь его обезвредить, не надеясь на антивирус.
Если вы видите название службы, которая вызывает подозрение, дважды щелкните по соответствующей строке, и перед вами откроется окно свойств выбранного сервиса (рис. 4.7).
На вкладке Общие (General) вы можете увидеть следующую информацию:
Имя службы (Service Name) — короткое название сервиса;
Отображаемое имя (Display Name) — название, которое вы видите в списке;
Описание (Description) — короткий комментарий. Он очень краток, даже меньше того описания, которое можно увидеть в панели подсказки при расширенном просмотре списка сервисов;
Исполняемый файл (Path to executable) — название файла и его расположение, т. е. командная строка, используемая для старта службы. После имени могут идти параметры, передаваемые сервису.
Вся эта информация предназначена только для просмотра, и редактировать ее нельзя. Но книга называлась бы по-другому, если бы я не показал вам, как можно ее изменить.
Если очень хочется, то подкорректировать можно все, и для этого нет необходимости наматывать мышью километры. Нужно только залезть в реестр и открыть ветку
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services. Вот здесь и пере-
числены все сервисы, и вы можете изменять любые их параметры. Названия разделов не всегда понятны и в большинстве случаев ничего не говорят об их предназначении. Поэтому приходится выделять каждый из них и смотреть в параметрах ключ DisplayName, чтобы определить точное имя.
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
X |
|
|
|
|
|
|
|||
- |
|
|
|
|
|
d |
|
|||
F |
|
|
|
|
|
|
|
t |
|
|
СоветыP |
|
i |
|
|||||||
хакера |
||||||||||
D |
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
BUY |
|
|
||||
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
|
.c |
|
||
|
p |
|
|
|
|
g |
|
|
||
|
|
df |
|
|
n |
e |
|
|||
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
P |
|
|
|
|
|
|
|
|
|
i |
|
D |
|
|
|
|
|
101 |
|||||
|
|
|
|
|
|
|
|
|
r |
||
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
-x cha |
|
|
|
|
|
||
Рис. 4.7. Свойства службы
С помощью реестра вы безболезненно можете редактировать описания. Если хотите изменить параметры запуска, то тут желательно проштудировать документацию по интересующей вас службе. Изучайте хорошенько, потому что при неправильно заданных параметрах служба может запуститься не так, как вы хотите, или вообще не заработать.
Если вы сейчас посмотрите на свой реестр, то заметите, что разделов намного больше, чем вы могли видеть сервисов в оснастке Службы (Services) на рис. 4.6. Это связано с тем, что некоторые драйверы в системе запускаются как сервисы и даже работают схожим образом, но оснастка сервисов тут не помощник.
Как всегда, Microsoft предоставила нам возможность ограниченного управления, а большинство вещей осталось скрытыми. Главная проблема состоит в том, что мы не можем штатными средствами точно определить, какие службы сейчас запущенны, потому что видим далеко не все. Некоторые из сервисов достаточно сложны, состоят из нескольких частей и могут иметь по две ветки в реестре.
Я бы за это программистам Microsoft спасибо не сказал, потому что создается обширная поляна для маскировки вредоносного кода, который пока еще не очень прячется в сервисах. Но через год или два, если не появится хорошей возможности мониторинга служб, противный код основательно переберется из процессов в сервисы.
Но вернемся к окну свойств службы. В поле Исполняемый файл (Path to executable) окна настройки службы (см. рис. 4.7) можно увидеть путь к запускае-