ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: обнаружение и защита

Оглавление....4

 Введение....8

 Кому адресована эта книга....9

 Благодарности....9

 Глава 1. Классификация вредоносных программ....10

 Классификация по методике заражения системы....10

 Классификация по наносимому ущербу....12

 Основные разновидности вредоносных программ....12

 SpyWare (программы-шпионы)....13

 SpyWare cookies....15

 AdWare-программы и модули....17

 Trojan-Downloader....18

 Dialer....19

 BHO (Browser Helper Object)....20

 Hijacker....21

 Trojan (троянская программа)....22

 Backdoor....23

 Hoax....23

 Статистика распространенности различных видов вредоносного ПО....26

 Тенденции развития вредоносных программ....28

 Глава 2. Технологии вредоносных программ и принципы их работы....30

 Rootkit....30

 UserMode Rootkit....32

 Методики внедрения машинного кода в процесс....34

 Методики перехвата функций....43

 KernelMode Rootkit....81

 Основные типы KernelMode-руткитов....85

 Вмешательство в работу системы без перехвата функций....98

 Rootkit на основе драйвера-фильтра файловой системы....108

 Мониторинг системы без установки перехватов....108

 Выводы....111

 Клавиатурные шпионы....112

 Клавиатурный шпион на основе ловушек....114

 Методики поиска клавиатурных шпионов на базе ловушек....119

 Слежение за клавиатурным вводом с помощью опроса клавиатуры....124

 Клавиатурный шпион на базе руткит-технологии в UserMode....125

 Клавиатурный шпион на базе драйвера-фильтра....129

 Клавиатурный шпион на базе Rootkit-технологии в KernelMode....137

 Программы для слежения за буфером обмена и снятия копий экрана....151

 Слежение за буфером обмена....151

 Снятие копий экрана....154

 Обнаружение программ, осуществляющих слежение за буфером обмена и экраном....155

 Trojan-Downloader....158

 Trojan-Downloader на базе функций библиотеки urlmon....158

 Trojan-Downloader на базе функций библиотеки wininet....159

 Trojan-Dropper....162

 Технологии защиты вредоносных программ от удаления....165

 Блокировка доступа к файлу....166

 Противодействие основным методикам защиты от удаления....167

 Hijacker....168

 Технологии слежения за сетевой активностью....169

 Технологии противодействия Firewall....173

 Доступ в сеть недоверенного приложения....174

 Доступ в сеть с использованием RAW Socket....174

 Управление доверенным приложением....175

 Внедрение посторонних DLL в доверенные процессы....176

 Создание в доверенных процессах троянских потоков....177

 Модификация машинного кода доверенных процессов....178

 Маскировка недоверенного процесса....179

 Атаки на процессы Firewall....179

 Атаки на GUI управляющей оболочки....180

 Модификация ключей реестра и файлов, принадлежащих Firewall....180

 Модификация базы данных Firewall....181

 Обход драйверов, установленных Firewall....181

 Глава 3. Программы и утилиты для исследования системы....184

 Утилиты для поиска и нейтрализации руткитов....184

 AVZ....185

 RootkitRevealer....189

 BlackLight....191

 UnHackMe....193

 Rootkit Hook Analyzer....194

 SSV....195

 Утилиты мониторинга системы....197

 FileMon....197

 RegMon....199

 TDIMon....200

 TCPView....201

 Утилиты для управления автозапуском....202

 Autoruns....202

 Утилита HijackThis....205

 Диспетчеры процессов....207

 Утилита Process Explorer....207

 Утилиты для поиска и блокирования клавиатурных шпионов....210

 PrivacyKeyboard....210

 Advanced Anti Keylogger....212

 Снифферы....213

 CommView....215

 Ethereal....217

 Антивирусная утилита AVZ....221

 Диспетчер процессов....224

 Автоматическое исследование системы....227

 Восстановление системы....231

 Автоматический карантин....233

 Система AVZ Guard....234

 Поиск файлов на диске....236

 Диспетчер автозапуска....240

 Полезные OnLine-ресурсы....241

 Сайт http://www.virustotal.com/....241

 Сайт http://virusscan.jotti.org/....241

 Выводы....242

 Глава 4. Методики исследования системы, поиска и удаления вредоносных программ....244

 Подготовка к анализу....244

 Поиск и нейтрализация руткитов....245

 Пример анализа — Backdoor.Haxdoor....245

 Пример анализа — Backdoor.HackDef....248

 Пример анализа — Worm.Feebs....251

 Поиск клавиатурных шпионов....254

 Кейлоггер на основе ловушек....254

 Кейлоггер на основе циклического опроса клавиатуры....255

 Кейлоггер на базе руткит-технологии....256

 Типовые ситуации, возникающие в ходе лечения ПК, и их решение....256

 Изменение настроек браузера....257

 Практический пример — Trojan.Win32.StartPage.adi....259

 Практический пример — Trojan.StartPage на базе REG-файла....261

 Замена обоев рабочего стола без желания пользователя....262

 Практический пример — Hoax.Win32.Avgold....263

 Вывод посторонних окон с рекламной информацией....266

 Пример — AdWare.Look2me....267

 Появление посторонних BHO....271

 Практический пример — Trojan.Win32.Agent.fc....274

 Заключение....276

 Приложение 1. Номера функций в KiST для различных операционных систем....280

 Приложение 2. Описание компакт-диска....292

 Каталог SOURCE....292

 Подкаталог Rootkit....292

 Подкаталог Keylogger....293

 Подкаталог Malware....294

 Каталог Info....294

 Каталог AVZ....294

 Список литературы....295

 Предметный указатель....296

Рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader и др. Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма. Описаны различные утилиты, в том числе и популярная авторская утилита AVZ, предназначенные для поиска и нейтрализации вредоносных программ и хакерских "закладок". Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.