| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
Почти все пути нахождения BO Сколько всего существует методов обнаружения Back Orifice?А фиг его знает..Но здесь представлены четыре наиболее лучших , и я могу говорить что будучи использоваными вместе , они дают 100% гарантию Вот эти методы: У каждого свои достоинства и недостатки. Netstat скажет тебе о присутствии BO , но о не может сказать где именно он находится. Исследование реестра может что-то дать.А может и не дать. Прочитайте описание каждого способа и решите , что именно вам необходимо. Название сервера BO при установке можно сделать таким , что Windows не примет его как правильное.Тогда при попытке BO записать себя в /system и стереть свой setup , windows не разрешит ему это сделать , а BO не сотрет себя после установки и будет запускаться оттуда.Это значит, что по идее местоположение BO на диске и в реестре может быть любым.. Главное что ты должен запомнить - не стоит полагаться только на реестр Есть 4 способа сделать так , чтобы BO v1.2 запускался после рестарта без своего обычного ключа в реестре :
Вот вам пример батника , который делает это: Так как BO заносит себя в реестр , то это нередко выдает его с головой : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Если на машине существует несколько копий BO , то каждая добавит в реестр сове собственное значение REGEDIT дает возможность прочитать и/или удалить то , что BO записал в реестр. Если BO запускается оттуда - то удаление этого ключа и последующая перезагрузка отключит BO Этот метод обладает большой эффективностью даже против части специально настроенных BO . Именно с него рекомендуется начинать Повторяю , что : Если вы удаляете подозрительные значения в реестре , а после каждой перезагрузки они появляются вновь - значит что-то вы упустили Эта стандартная виндовая программа при правильном использовании обладает очень большой эффективностью Сначала поищите WINDLL.DLL в Windows\System . BO v1.2 сует этот файл туда при каждо м своем запуске. Удалите его. Если после рестарта вы найдете его снова - то вы имеете BO. BO v1.2 должен быть как минимум 124,928 байта в длину (122K в Explorer'е ).Максимальный размер не ограничен. Большой размер говорит о том , что ваш BO содержит plugins / дополнения Используй "Поиск" чтобы найти все файлы больше 122 килобайт , затем рассортируй список по времени создания файла и среди недавно созданных ищи BO. Это особенно хорошо работает если ты имеешь MSInfo (глянь ниже) , т.к тогда ты можешь сравнить этот список со списком запущенных программ Это досовская утилитка показавает статус твоего TCP-соединения.Netstat может засечь деятельность BO Netstat может послужить для быстрого обнаружения попытки взлома твоей машины. Когда ты подключишся к интернету , запусти досовское окошко и набери: netstat -a Нажми Enter :). Netstat запустится netstat -an это покажет те же данные иначе , заменяя имена ip-адресами. netstat -an 1 Сделает тоже самое , но будет повторять это каждую секунду netstat -an 1>netstat.txt Скажет ему записывать результаты в файл netstat.txt.Это очень удобно для слежения , но анализировать полученный файл достаточно тяжело Если netstat покажет активность на порту 31337,ты почти наверняка имеешь Orifice. Но этот порт может быть назначен любым от 0 до 65535 минус те порты , которые зарезервированны , обычно это 0, 137, 138 и 139 BO , как и аналогичные программы , всегда используют TCP-порты и netstat всегда показывает что они это делают.Я рекомендую каждому чаще включать netstat чтобы знать , что он показвывает при открытии веб-страницы , при заборе почты и тогда ты сказу сможешь определить , что у тебя происходит что-то не то Используй комаду netstat /? чтобы увидеть все доступные функции netstat MSInfo входит в Office 97-98 и в некоторые другие программы.Чтобы проверить , есть ли у тебя MSInfo32, выбери Start = Пуск... Run = Выполнить... и набери, MSINFO32. Если не получилось, попробуй поискать его по имени файла Если ты нашел MSInfo и запустил его,просто нажми на Running Applications и ты увидишь полный ист с путями и названиями файлов. Затем просто опускайся вниз и проверяй , а не Back Orifice ли это Если у тебя нет этой MSInfo - то просто нажми Ctrl-Alt-Delete один раз и также увидишь список процессов Конечно вы хотите просто взять специальную программу и дать ей все сделать самой.Но такие трояны , как BO sniffer должны предостеречь вас.. [Назад][Содержание][Вперед] |
|
| ||||||||||||||||
|