Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #40, МАРТ 2004 г.

С петлей на шее

Анализирующий

Спецвыпуск Xakep, номер #040, стр. 040-084-3


Режимы выполнения сценариев

Проблему командных сценариев вообще можно решить одним махом (вернее, кликом). Достаточно установить всего один параметр реестра, как все попытки скриптов выполнить хоть какое–то действие будут заканчиваться смачным нокаутом со стороны операционной системы. Однако такой радикальный подход нельзя назвать удачным, особенно когда скрипты WHS используются по своему прямому назначению. Сама Windows в своей работе использует их очень активно. Например, Eventquery.vbs для работы с журналом событий. Топор – не лучшее средство от головной боли. Отменить автоматическое выполнение сценариев можно, изменив действие по умолчанию с «Открыть» (подразумевается «Запустить») на «Изменить». Сделать это можно как из окна Сервис -> Свойства папки-> Типы файлов -> Дополнительно -> Действия, так и через реестр. После этих изменений скрипты станут запускаться через контекстное меню правой клавиши мыши, а при двойном клике или другом способе запуска ты увидишь их исходный код.

Альтернативным сервером для WSH может послужить весьма «надежный» браузер Internet Explorer. Достаточно лишь внедрить в HTML страничку слегка подправленный код – и мы получим результат, предваряющийся в лучшем случае безликой табличкой выбора между «Да» и «Нет», или без нее, если была заюзана очередная дыра. Благо, описания дыр с завидной регулярностью выкладываются на сайтах вроде www.securityfocus.ru, а ставить заплатки никто не торопится, надеясь на русское авось. Файлы HTML Applications (HTA) вообще запускаются без каких-либо предупреждений, что позволяет использовать их в качестве оболочки для сценариев и помещать в автозагрузку.

Большая часть вышесказанного касается не только скриптов Windows Script Host, но и любого потенциально опасного кода, будь то обычные EXE’шники или загружаемые из интернета ActiveX модули. Следовало бы еще рассмотреть такие средства защиты сценариев, как создание сертификата и цифровой подписи, однако это уже оффтопик. Последним на сегодня советом будет набившая оскомину банальность: не работай под Администратором. Эта учетная запись предназначена исключительно для выполнения настроек. Тогда и вирусы с троянами тебе будут не страшны.

Windows Script Host имеет ограничения по работе с реестром. Однако можно создать .REG файл, а затем запустить его командой regedit.exe с ключом “/s”.

Серверы сценариев находятся в папках %WINDIR%/System32/ (рабочие файлы) и %WINDIR%/System32/dllcache/ (резервные копии системы защиты файлов).

Eventquery.vbs и другие встроенные в Windows XP сценарии можно найти в папке \system32 системного каталога.

Изменять действия по умолчанию следует для файлов следующих типов: .wsf; .wsh; .vbs; .vbe; .js; .jse. Все они, за исключением .wsh, являются исполняемыми разновидностями сценариев WSH.

Файл с расширение .wsh – это аналог .pif для запускаемых программ Windows. Содержит ссылку на сценарий, максимальное время выполнения и флаг вывода версии сервера WSH для консольных файлов.

Назад на стр. 040-084-2  Содержание  Вперед на стр. 040-084-4