детектор лжи

КРИС КАСПЕРСКИ АКА МЫЩЪХ

Спецвыпуск: Хакер, номер #070, стр. 070-060-1

NO-EMAIL

ВЫЯВЛЕНИЕ ВРЕДОНОСНОГО ПО

АНТИВИРУСЫ (ДАЖЕ СО ВСЕМИ АПДЕЙТАМИ) ДАЛЕКО НЕ ВСЕГДА РАСПОЗНАЮТ МАЛВАРЬ. ПОЭТОМУ СТОИТ ДОВЕРЯТЬ ТОЛЬКО ОТЛАДЧИКУ SOFT-ICE И ДРУГОМУ НИЗКОУРОВНЕВОМУ ИНСТРУМЕНТАРИЮ, ПОЗВОЛЯЮЩЕМУ ПРОБУРИТЬ НОРУ ДО САМОГО ЯДРА И РАЗОБЛАЧИТЬ ЗЛОВРЕДНЫЕ ПРОГРАММЫ, ГДЕ БЫ ОНИ НЕ СКРЫВАЛИСЬ

Во времена MS-DOS ручная чистка компьютера была обычным делом. Количество исполняемых файлов измерялось десятками, и существовало не так уж и много мест, пригодных для внедрения малвари. Под «малварью» (от английского malware) подразумевается вредоносное программное обеспечение — вирусы, черви, шпионы и т. д. С приходом Windows все изменилось. Из крохотного поселка операционная система превратилась в огромный, стремительно разрастающийся мегалополис, среди сотен тысяч файлов которого может спрятаться и слонопотам.

Один человек за разумное время вряд ли сумеет обнаружить качественно спроектированную и грамотно заложенную закладку. Намного проще (да и быстрее) переустановить Windows с нуля. К счастью, качественная малварь — огромная редкость, практически не встречающаяся в живой природе. В основном приходится сталкиваться с пионерскими поделками, оставляющими после себя кучу следов и легко различимыми с помощью soft-ice и сопутствующих ему утилит.

Весь вопрос в том, как правильно ими пользоваться. Ну, установил soft-ice, нажал <CTRL-D>, увидел черный экран... Дальше-то что?! А вот дальше начинаем делиться хакерскими секретами...

[время оставляет отпечатки.]

Чаще всего малварь копирует свою тушу в новый файл со случайным или фиксированным названием, реже — внедряется в уже существующие (что требует не только знания устройства PE-формата, но и определенных привилегий, в частности, из-под пользовательского аккаунта системные файлы просто так не заразишь). При этом подавляющее большинство malware-писателей забывают скорректировать дату/время создания файла, выдавая себя с головой.

Допустим, ты запустил файл сомнительного происхождения и хочешь узнать, не натворил ли он чего в системе. Пуск -> Найти -> Файлы и Папки -> Параметры Поиска -> Файлы, созданные за xxx последних дней (в нашем случае за один). Все изменения, произошедшие за последние сутки в системе, становятся видны как на ладони. Как вариант: в FAR'е устанавливаешь режим сортировки по дате создания (<CTRL-F8>) и заходишь во все «злачные» каталоги типа WINNT, System32 и т.д. Прием простой, как паровой котел, но чрезвычайно эффективный!

Конечно, чем позже ты спохватишься, тем сложнее будет отличить «легальные» файлы от «нелегальных», особенно если на компьютер ставится большое количество самого разнообразного программного обеспечения. Но все файлы, устанавливаемые инсталлятором (где бы он их не размещал, в Program Files, WINNT или System32), имеют одну и ту же дату создания с небольшим разбросом во времени (ведь файлы создаются не параллельно, а последовательно), поэтому их стразу можно исключить из списка подозреваемых. А оставшиеся — подвергнуть тщательному допросу.

Естественно, дата создания файла элементарно изменяется средствами win32-API, и малвари, при желании, ничего не стоит замаскироваться. Однако на NTFS-разделах каждый файл обладает множеством «невидимых» атрибутов, до которых нельзя дотянуться через API. В частности, атрибут 30h ($FILE_NAME) помимо стандартных времен создания/модификации/последнего обращения хранит время последней модификации данной записи MFT (Master File Table – специального мастерфайла, содержащего информацию обо всех остальных объектах файловой системы). У «честных» файлов время создания и время последней модификации MFT всегда совпадает, а если это не так — перед тобой подделка. Еще существует атрибут 10h ($STANDARD_INFORMATION), так же хранящий информацию о времени создания/модификации/последнего доступа файла и времени последней модификации MFT, однако, в отличие от атрибута 30h, здесь время последней модификации MFT автоматически обновляется всякий раз, когда файлу выделяется новая порция кластеров, а потому со временем его создания оно может и не совпадать.