Найти и уничтожить!

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-084-2

При установке новых приложений и драйверов этот список может быть значительно пополнен. К сожалению, Диспетчер Задач не отображает полного пути к исполняемому файлу процесса, заставляя теряться в догадках, какому приложению он принадлежит. Попробуй поискать файл по его имени на диске или запусти FAR. Подогнав курсор к соответствующему процессу в списке, нажми <F3> , и FAR сообщит полный путь к нему. Файлы, находящиеся в каталоге легально установленного приложения, скорее всего этому приложению и принадлежат. Файлы, находящиеся в системном каталоге Windows, могут принадлежать кому угодно, и, чтобы избежать путаницы, возьми за правило каждый раз при установке нового приложения обращать внимание на процессы, которые оно добавляет.

Появление нового процесса, не связанного ни с одним из установленных приложений, - верный признак троянского внедрения. Скорми связанный с ним исполняемый файл свежей версии любимого антивируса.

Потоки и память

В последнее время вирусописатели все больше тяготеют к функциям CreateRemoteThread и WriteProcessMemory, позволяющим внедряться в адресные пространства уже запущенных процессов. Это значительно усложняет выявление заразы, и приходится прибегать к дедовским средствам, активно используемым еще во времена MS-DOS. Тогда системные операторы следили за количеством свободной оперативной памяти, скрупулезно записывая показания утилиты mem на бумажку :). Хотя простушку mem было легко обмануть, на это были способны лишь немногие из вирусов.

С тех пор многое изменилось. Операционные системы стали сложнее, но вместе с тем и умнее. Контроль за системными ресурсами значительно ужесточился, и прямой обман стал практически не возможным. Дождавшись окончания загрузки системы, запусти Диспетчер Задач и запомни (а лучше запиши) количество дескрипторов, процессов, потоков и объем выделенной памяти. При внедрении всякой автоматически загружающейся программы эти показания неизбежно изменятся!

Но изменение количества потоков в процессе работы с системой – вполне нормальное явление и само по себе еще ни о чем не говорит. Простой эксперимент. Запусти "Блокнот". Диспетчер Задач сообщает, что в нем имеется всего лишь один поток, так? А теперь открой диалог "Сохранить как", и увидишь, как количество потоков тут же поползет вверх. Один из них принадлежит драйверу звуковой карты, озвучивающему системные события, один – непосредственно самому диалогу. Остальные (если они есть) – прочим системным функциям, выполняющим свой код в контексте данного процесса.

Контроль целостности файлов