детектор лжи

КРИС КАСПЕРСКИ АКА МЫЩЪХ

Спецвыпуск: Хакер, номер #070, стр. 070-060-10

:IDT

Int Type Sel:Offset Attributes Symbol/Owner

IDTbase=80036400 Limit=07FF

0000 IntG32 0008:804625E6 DPL=0 P ntoskrnl!Kei386EoiHelper+0590

0001 IntG32 0008:80462736 DPL=3 P ntoskrnl!Kei386EoiHelper+06E0

0002 IntG32 0008:0000144E DPL=0 P

0003 IntG32 0008:80462A0E DPL=3 P ntoskrnl!Kei386EoiHelper+09B8

В дополнение к этому, малварь может устанавливать в начало (или даже середину!) некоторых ядерных функций jump свой обработчик, контролирующий целостность перехваченной SST/IDT. Для выявления такого способа перехвата необходимо сравнить образ ядра с файлом NTOSKRNL.EXE, что можно осуществить при помощи утилиты PE-TOOLS с плагином eXtreme Dumper или сдампить ядро непосредственно из самого soft-ice (что намного надежнее) с установленными расширениями IceExt или IceDump.

[в остатке.]

Два основных пути проникновения малвари на компьютер — файлы, запускаемые самим пользователем, и дырявое программное обеспечение (последнее преимущественно относится к IE и линейке NT). И если первое еще можно как-то предотвратить — не открывать потенциально опасных вложений, полученных по почте, пользоваться приложениями только от проверенных поставщиков, не скачивать crack'и, написанные непонятно кем и неизвестно для чего, то от дыр никуда не уйти. Даже если пересесть с IE на Lynx, останутся дефекты оси, коих в NT просто до фига, и к которым постоянно добавляются новые, ранее неизвестные. То есть это нам они неизвестные, а кому-то очень даже хорошо известные и эксплуатируемые. Никто не может чувствовать себя в безопасности, если не будет регулярно проверять все закоулки системы руками и, конечно, могучим soft-ice со всей его свитой.

WWW.RUNTIME.ORG/GDBNT.ZIP

NTEXPLORER

WWW.OLLYDBG.DE

OLLYDBG

WWW.SYSINTERNALS.COM/UTILITIES/PROCESSEXPLORER.HTML

PROCESS EXPLORER

HTTP://STENRI.PISEM.NET

ICEEXT

ICEDUM

HTTP://PROGRAMMERSTOOLS.ORG/SYSTEM/FILES?FILE=ICEDUMP6.026.ZIP

WWW.WASM.RU/BAIXADO.PHP?MODE=TOOL&ID=124

PE-TOOLS (BASE)

HTTP://NEOX.IATP.BY

PE-TOOLS (UPDATES)

HTTP://NEOX.IATP.BY/EXTREMEDUMPER.ZIP

EXTREMEDUMPER

WWW.SECURITY.ORG.SG/CODE/SDTRESTORE.HTML

SDT RESTORE

ПОД «МАЛВАРЬЮ» ПОДРАЗУМЕВАЕТСЯ ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ — ВИРУСЫ, ЧЕРВИ, ШПИОНЫ И ПРОЧИЕ «ДРУЗЬЯ ЧЕЛОВЕКА»

КАЧЕСТВЕННАЯ МАЛВАРЬ — ОГРОМНАЯ РЕДКОСТЬ, ПРАКТИЧЕСКИ НЕ ВСТРЕЧАЮЩАЯ В ЖИВОЙ ПРИРОДЕ

ЧАЩЕ ВСЕГО МАЛВАРЬ КОПИРУЕТ СВОЮ ТУШУ В НОВЫЙ ФАЙЛ СО СЛУЧАЙНЫМ ИЛИ ФИКСИРОВАННЫМ НАЗВАНИЕМ

ОБЫЧНО МАЛВАРЬ СОЗДАЕТ СВОЙ СОБСТВЕННЫЙ ПРОЦЕСС

ПОТОКИ, ПОРОЖДЕННЫЕ МАЛВАРЬЮ, ЛИБО ШПИОНЯТ ЗА КЛАВИАТУРОЙ, ЛИБО ОТКРЫВАЮТ BACKDOOR, ЛИБО РАССЫЛАЮТ СПАМ

ДЛЯ СОКРЫТИЯ СВОЕГО ПРИСУТСТВИЯ В СИСТЕМЕ МАЛВАРЬ ВНЕДРЯЕТСЯ В ЕЕ ЯДРО И ПЕРЕХВАТЫВАЕТ ОДИН ИЛИ НЕСКОЛЬКО СЕРВИСОВ

ОТ ДЫР НИКУДА НЕ УЙТИ