Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

articles:amp-snort-adds [2017/09/05 02:55] (текущий)
Строка 1: Строка 1:
 +====== AMP-Snort-adds ======
 +<​sub>​{{AMP-Snort-adds.odt|Original file}}</​sub>​
 +
 +====== ночь живых мертвецов —\\ активная защита против малвари\\ /* дополнение к статье */ ======
 +
 +крис касперски,​ ака мыщъх, ака nezumi, no email
 +
 +===== борьба с малварью\\ в искривленном пространстве времени =====
 +
 +Лучше всего, конечно,​ вообще не допускать вторжения малвари на свой компьютер,​ используя AMP или любую другую достойную IPS, но… даже AMP не дает 100% гарантии и потому время от времени нужно обследовать тачку на предмет наличия заразы. Забьем на антивирусы и пораскинем умом какие мы имеем вектора атаки.
 +
 +Малварь делится на две больших категории:​ одна обитает исключительно в оперативной памяти,​ другая же оседает на диске, либо создавая новые файлы, либо же внедряясь в уже существующие.
 +
 +Из памяти зараза убивается простой перезагрузкой,​ а потому нужно именно перезагружаться,​ а не делать компьютеру suspend. И обновляться! Обязательно обновляться,​ чтобы не схватить червя еще на стадии загрузки системы.
 +
 +Как обнаружить малварь на диске? Короткий ответ — никак. Развернутая версия — существует бесчисленное множество векторов атак, и каждый день появляются все новые. Антивирусы (и ревизоры) в основном концентрируются на exe/dll файлах,​ однако,​ малварь так же может поражать и расширения Горящего Лиса, винжеты Оперы, плагины Adobe Acrobat/​Reader'​а да и не только их одних! Дыры в графических библиотеках позволяют размещать вредоносный код в gif/jpg файлах,​ а дыры в MS Office – в doc, xls, ppt…Короче говоря,​ ситуация — ласты. Спасает лишь то, что по меньшей мере 90% малвари оседает именно в exe/dll файлах,​ которые мы и будем искать.
 +
 +Чтобы нейтрализовать root-kit'​ов,​ необходимо загрузиться либо с LiveCD (например,​ BartPE – www.nu2.nu/​pebuilder),​ либо с флешки (о том, как установить XP на флешку,​ мы уже неоднократно писали в "​хакере"​). Как вариант,​ можно воспользоваться съемным жестким диском с установленной XP. Тут на вкус и цвет товарищей нет, но LiveCD все-таки предпочтительнее,​ потому что его никак не заразишь,​ а вот флешку или съемный жесткий диск — запросто! Бороться же с активными root-kit'​ми под их управлением это… пустая трата времени.
 +
 +ОК, загрузились и что дальше?​ По хорошему,​ следовало бы воспользоваться каким-нибудь дисковым ревизором в стиле старого доброго AdInfo. Для малваи это, конечно,​ хорошо,​ ибо качественных ревизоров немного,​ форматы их баз, сохраняемые на жестком диске, давно известны и ничего не стоит их захачить. К тому же, ревизор — он денег стоит. На фиг. Будем действовать руками и головой. Скачаем бесплатную утилиту для подсчета контрольной суммы файлов — http://​www.pc-tools.net/​win32/​md5sums/​ и запустим ее for /​R X:​\ %A in (*.*) do md5sums.exe %A >> X-file.txt, где X:\ – буква диска для которого нужно создать текстовой файл X-file.txt с контрольными суммами всех файлов,​ рассчитанных по алгоритму MD5. После чего остается только загрузить X-file.txt в MS Word, преобразовать текст в таблицу,​ отсортировать ее по именам файлов и сохранить полученный результат в надежном месте.
 +
 +При последующих проверках на наличие малвари — повторить данную операцию вновь, сравнивая старый и новый X-file.doc средствами самого Word'​а,​ который покажет появление новых файлов или изменения контрольных сумм ранее существующих. Новоявленные/​измененные файлы отправляем прямиком на VirusTotal и смотрим результат. Утомительно?​ Да, конечно! Надежно?​ Увы! Во-первых,​ мы забыли о том, что малварь может скрыть свои файлы, сделав их доступными только определенным пользователям или системе (не администратору!).
 +
 +Во-вторых,​ а как же реестр?​! Куча программ хранит в нем макросы и другую информацию,​ предрасположенную к заражению. А какой ревизор реально проверяет реестр?​! Правильно — никакой и это приходится делать руками. Дампим реестр в текстовой файл средствами Редактора Реестра и сравниваем "​слепки",​ полученные в разное время, утилитой WinDiff, входящей в MS Resource Kit и комплект штатной поставки MS Visual Studio.
 +
 +Проблема в том, что реестр уже давно превратился в мусорную свалку и количество обнаруженных изменений очень и очень велико,​ причем,​ программы,​ хранящие свои настройки в бинарном виде (а таких — большинство) весьма затрудняют борьбу с малварью,​ поскольку,​ совершенно непонятно,​ что же конкретно было изменено.
 +
 +А не плюнуть ли на это мокрое дело и не воспользоваться ли нам автоматической утилитой типа AVZ или Hijackit? Воспользоваться,​ конечно,​ можно, только шансы найти малварь невелики. Не нужно считать всех хакеров идиотами. В момент своего появления AVZ/​Hijackit работали неплохо,​ но теперь,​ как говорят американцы:​ too known to stay alive, в смысле "​известность фраера сгубила"​. Сегодня с ними не борется только ленивый. Так что лапы, хвост и мозги — единственное _надежное_ орудие поиска!
 +
 +