InfoCity
InfoCity - виртуальный город компьютерной документации
Реклама на сайте







Размещение сквозной ссылки

 

Почти все пути нахождения BO


Сколько всего существует методов обнаружения Back Orifice?А фиг его знает..Но здесь представлены четыре наиболее лучших , и я могу говорить что будучи использоваными вместе , они дают 100% гарантию

Вот эти методы:

У каждого свои достоинства и недостатки. Netstat скажет тебе о присутствии BO , но о не может сказать где именно он находится. Исследование реестра может что-то дать.А может и не дать. Прочитайте описание каждого способа и решите , что именно вам необходимо.

Кое-что интересное и плохое :


Название сервера BO при установке можно сделать таким , что Windows не примет его как правильное.Тогда при попытке BO записать себя в /system и стереть свой setup , windows не разрешит ему это сделать , а BO не сотрет себя после установки и будет запускаться оттуда.Это значит, что по идее местоположение BO на диске и в реестре может быть любым..

Главное что ты должен запомнить - не стоит полагаться только на реестр

Есть 4 способа сделать так , чтобы BO v1.2 запускался после рестарта без своего обычного ключа в реестре :

  1. Засунуть BO в StartUp = Автозагрузка. Если BO прикидывается другое программой - то это вполне может одурачить пользователя
  2. Добавить его загрузку в autoexec.bat . Это будет выглядеть примерно так: WIN [path\][bofilename].
  3. Осуществлять его запуск из WIN.INI. Это будет выглядеть так: run=[path\][bofilename].
  4. И наконец , он может быть запущен из другой части реестра , например:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Вот вам пример батника , который делает это: нажми чтобы скачать. Работает весьма эффективно...

Regedit = редактор реестра


Так как BO заносит себя в реестр , то это нередко выдает его с головой :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Если на машине существует несколько копий BO , то каждая добавит в реестр сове собственное значение

REGEDIT дает возможность прочитать и/или удалить то , что BO записал в реестр. Если BO запускается оттуда - то удаление этого ключа и последующая перезагрузка отключит BO

Этот метод обладает большой эффективностью даже против части специально настроенных BO . Именно с него рекомендуется начинать

Повторяю , что : Если вы удаляете подозрительные значения в реестре , а после каждой перезагрузки они появляются вновь - значит что-то вы упустили

Explorer/File Find


Эта стандартная виндовая программа при правильном использовании обладает очень большой эффективностью

Сначала поищите WINDLL.DLL в Windows\System . BO v1.2 сует этот файл туда при каждо м своем запуске. Удалите его. Если после рестарта вы найдете его снова - то вы имеете BO.

BO v1.2 должен быть как минимум 124,928 байта в длину (122K в Explorer'е ).Максимальный размер не ограничен. Большой размер говорит о том , что ваш BO содержит plugins / дополнения

Используй "Поиск" чтобы найти все файлы больше 122 килобайт , затем рассортируй список по времени создания файла и среди недавно созданных ищи BO. Это особенно хорошо работает если ты имеешь MSInfo (глянь ниже) , т.к тогда ты можешь сравнить этот список со списком запущенных программ

Netstat


Это досовская утилитка показавает статус твоего TCP-соединения.Netstat может засечь деятельность BO

Netstat может послужить для быстрого обнаружения попытки взлома твоей машины. Когда ты подключишся к интернету , запусти досовское окошко и набери:

netstat -a

Нажми Enter :). Netstat запустится

netstat -an

это покажет те же данные иначе , заменяя имена ip-адресами.

netstat -an 1

Сделает тоже самое , но будет повторять это каждую секунду

netstat -an 1>netstat.txt

Скажет ему записывать результаты в файл netstat.txt.Это очень удобно для слежения , но анализировать полученный файл достаточно тяжело

Если netstat покажет активность на порту 31337,ты почти наверняка имеешь Orifice. Но этот порт может быть назначен любым от 0 до 65535 минус те порты , которые зарезервированны , обычно это 0, 137, 138 и 139

BO , как и аналогичные программы , всегда используют TCP-порты и netstat всегда показывает что они это делают.Я рекомендую каждому чаще включать netstat чтобы знать , что он показвывает при открытии веб-страницы , при заборе почты и тогда ты сказу сможешь определить , что у тебя происходит что-то не то

Используй комаду

netstat /?

чтобы увидеть все доступные функции netstat

MSInfo


MSInfo входит в Office 97-98 и в некоторые другие программы.Чтобы проверить , есть ли у тебя MSInfo32, выбери Start = Пуск... Run = Выполнить... и набери, MSINFO32. Если не получилось, попробуй поискать его по имени файла

Если ты нашел MSInfo и запустил его,просто нажми на Running Applications и ты увидишь полный ист с путями и названиями файлов. Затем просто опускайся вниз и проверяй , а не Back Orifice ли это

Если у тебя нет этой MSInfo - то просто нажми Ctrl-Alt-Delete один раз и также увидишь список процессов

Конечно вы хотите просто взять специальную программу и дать ей все сделать самой.Но такие трояны , как BO sniffer должны предостеречь вас..

[Назад][Содержание][Вперед]


Реклама на InfoCity

Яндекс цитирования



Финансы: форекс для тебя








1999-2009 © InfoCity.kiev.ua