Хакеры пытаются кончить мой комп.

[Saule]

эх.. на каких сайтах я только не сканировал свой компьютер, вирусов не находит, но говорят что открыты порты, процессы все так же продолжают занимать под 100% в скайпе или интерколе вообще кошмар, все виснет жутко.. Уже не знаю что делать совсем.. Не подскажете, может есть какая-нибудь "закрывашка" портов?

В третий раз повторяться не буду:

Установите себе Firewall(!)

(подробнее в теме:

Firewall - Что это такое?

http://www.softboard.ru/index.php?showtopic=12129' rel="external nofollow">

) и настройте его должным образом. Это решит все ваши проблемы.

[Saule]

Уже не помню: я отсылал вас к книге по безопасности? Там все описано.

Да, и по поводу книги, которую вы составляли. Вы пишете, что нужно отключить службу 'Run As', которая вообще-то используется некоторыми программами, обеспечивающими безопасность компьютера (мне почему-то кажется, что в некоторых случаях она необходима и тому же Касперскому). Не могли бы вы это как-то прокомментировать?

[NickGolovko]

Да, и по поводу книги, которую вы составляли. Вы пишете, что нужно отключить службу 'Run As', которая вообще-то используется некоторыми программами, обеспечивающими безопасность компьютера (мне почему-то кажется, что в некоторых случаях она необходима и тому же Касперскому). Не могли бы вы это как-то прокомментировать?

Службы с таким названием я не знаю и отключать не рекомендую. Поясните, пожалуйста. ;)

Да, и по поводу книги, которую вы составляли. Вы пишете, что нужно отключить службу 'Run As', которая вообще-то используется некоторыми программами, обеспечивающими безопасность компьютера (мне почему-то кажется, что в некоторых случаях она необходима и тому же Касперскому). Не могли бы вы это как-то прокомментировать?

Службы с таким названием я не знаю и отключать не рекомендую. ;) Поясните, пожалуйста. :)

Да, и по поводу книги, которую вы составляли. Вы пишете, что нужно отключить службу 'Run As', которая вообще-то используется некоторыми программами, обеспечивающими безопасность компьютера (мне почему-то кажется, что в некоторых случаях она необходима и тому же Касперскому). Не могли бы вы это как-то прокомментировать?

Службы с таким названием я не знаю и отключать не рекомендую. ;) Поясните, пожалуйста. :)

[Saule]

Службы с таким названием я не знаю и отключать не рекомендую. Поясните, пожалуйста. :D

Извините, я подумала, что если рекомендации касались операционных систем Windows ME - Vista, то вы должны быть в курсе того, что служба 'Secondary Logon' и 'Run As' - это одно и то же. Тогда мой вопрос звучит так:

Вы пишете, что нужно отключить службу 'Secondary Logon' (Вторичный вход в систему), которая вообще-то используется некоторыми программами, обеспечивающими безопасность компьютера (мне почему-то кажется, что в некоторых случаях она необходима и тому же Касперскому). Не могли бы вы это как-то прокомментировать?

[NickGolovko]

Тогда и вы меня извините за незнание названия, которого я еще не встречал ни в одном источнике. :)

К вопросу: предположительно вы заметили, что возле службы стоит помета "если вы единственный пользователь компьютера". В данной ситуации ценность возможности запустить приложение от имени другого пользователя равна приблизительно нулю. :) Если же вас беспокоит запуск служб от LocalService, NetworkService и прочая, могу вас заверить: все мои системы безопасности, в том числе Каспер, чувствуют себя превосходно. :)

Если мой комментарий не является достаточным, я могу попросить отписаться моего соавтора p2u.

[Saule]

Тогда и вы меня извините за незнание названия, которого я еще не встречал ни в одном источнике. :)

К вопросу: предположительно вы заметили, что возле службы стоит помета "если вы единственный пользователь компьютера". В данной ситуации ценность возможности запустить приложение от имени другого пользователя равна приблизительно нулю. :) Если же вас беспокоит запуск служб от LocalService, NetworkService и прочая, могу вас заверить: все мои системы безопасности, в том числе Каспер, чувствуют себя превосходно. :)

Если мой комментарий не является достаточным, я могу попросить отписаться моего соавтора p2u.

Я вам на слово верю :)

Хотя мне и не совсем понятно, при чем тут ваши программы, если речь идет о рекомендациях, расчитанных на чужие системы. И раз вы начали говорить об учетных записях NetworkService, то, по всей видимости, вы меня не так поняли.

Что касается источников, то далеко ходить, на мой взгляд, не надо. Достаточно прочитать стандартное описание данной службы в оснастке services.msc:

Enables starting processes under alternate credentials. If this service is stopped, this type of logon access will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Скрин:

Если служба 'Secondary Logon' (even 'RunAs Service' в Windows 2000 - просто с этим названием её назначение является чуть более понятным) будет отключена, то ни одно приложение не сможет быть запущено в контексте безопасности учетной записи текущего пользователя (! при чем тут "если вы единственный пользователь компьютера"?) с ограниченным маркером доступа.

Поэтому меня и удивило то, что вы настаиваете на её выключении. Была даже мысль о том, что причина заключается в следующей уязвимости: Windows Software Restriction Policy Protection Bypass. Но обратив внимание на ваше отношение к "неофициальным багам", это показалось уже маловероятным, поэтому и решила и спросить.

Изменено 12 апреля, 2007 пользователем Saule

[p2u]

Достаточно прочитать стандартное описание данной службы в оснастке services.msc: [sNIP]

Здравствуйте, Saule!

Простите меня если мой русский язык иногда кривоват. Я из Голландии, то есть - не носитель русского языка. Официальные описания служб не всегда совподают с реальностью. Например, Microsoft тоже не пишет, что служба DNS обходит правила созданы вами в Hosts File, и прямо откровенно врёт, когда описывает Функцию Indexing Service.

Теперь к делу. Соображения для отключения данной службы следующие:

1) Также как и у юзера, у вредоносных программ не будет возможность повышать свои привилегии если эта служба отключена.

2) Служба не работает как документировано. Это просто карикатура на работу системы UNIX. Как всё, что Microsoft "занимает" у других, функциональность - не доделана. То есть, часто человек в режиме пользователя получает не то, что ему надо. Часто вылетит с ошибками всякого рода. В результате, незачем разрешить такой службе занимать системные ресурсы. Программы или модули, которые "глючят" не должны работать на компе.

Поэтому меня и удивило то, что вы настаиваете на её выключении. Была даже мысль о том, что причина заключается в следующей уязвимости: Windows Software Restriction Policy Protection Bypass. Но обратив внимание на ваше отношение к "неофициальным багам", это показалось уже маловероятным, поэтому и решила и спросить.

Кроме вами приведённой уязвимости существуют ещё десятки неофициальных и недокументированных уязвимостей этой службы, которые Microsoft уже не намерена исправить. Все они примеры 'Escalation of Privileges', но так как они без участия пользователя не могут быть задействованы, Microsoft не хочет "патчить" их. Так как рекомендации в нашей книге нацелены на простых юзеров, которые, скорее всего, не могут справляться с проблемами если вдруг что-то не то, я рекомендовал и рекомендую отключить эту службу.

Paul Wynant

Moscow, Russia

[Saule]

Простите меня если мой русский язык иногда кривоват. Я из Голландии, то есть - не носитель русского языка. Официальные описания служб не всегда совподают с реальностью. Например, Microsoft тоже не пишет, что служба DNS обходит правила созданы вами в Hosts File, и прямо откровенно врёт, когда описывает Функцию Indexing Service.

Теперь к делу. Соображения для отключения данной службы следующие:

1) Также как и у юзера, у вредоносных программ не будет возможность повышать свои привилегии если эта служба отключена.

По поводу русского языка - всё нормально, я тоже далеко не носительница. И что касается служб, то я вас хорошо понимаю, так как также придерживаюсь мнения, что всё неиспользуемое должно обязательно отключаться.

Но служба 'Secondary Logon', несмотря на её "ущербность", всё-таки используется некоторыми программами, отвечающими за безопасность компьютера. Например, тот же антивирус Касперского имеет возможность запускать себя (свою оболочку - GUI) из под специальной учетной записи, которую он же сам и создает, для обеспечения большей безопасности своего процесса (чтобы никакой другой процесс, запущенный из под активного пользователя, не имел к нему доступа и не мог управлять им).

[NickGolovko]

Например, тот же антивирус Касперского имеет возможность запускать себя (свою оболочку - GUI) из под специальной учетной записи, которую он же сам и создает, для обеспечения большей безопасности своего процесса (чтобы никакой другой процесс, запущенный из под активного пользователя, не имел к нему доступа и не мог управлять им).

Отвечу я, так как Паул не использует никакого охранного софта. Насколько мне известно, Касперский - не создает учетные записи. У него есть служба, запускаемая

от имени SYSTEM, и драйвер, обеспечивающий самозащиту приложения. Самозащита на драйвере не имеет отношения к seclogon. Или я просто не нашел эту учетную запись?

[p2u]

Но служба 'Secondary Logon', несмотря на её "ущербность", всё-таки используется некоторыми программами, отвечающими за безопасность компьютера. Например, тот же антивирус Касперского имеет возможность запускать себя (свою оболочку - GUI) из под специальной учетной записи, которую он же сам и создает, для обеспечения большей безопасности своего процесса (чтобы никакой другой процесс, запущенный из под активного пользователя, не имел к нему доступа и не мог управлять им).

Отключение Secondary Logon НЕ препятствует создания таких учётных записей. Установите, например, . Net Framework: Будет создана учётную запись ASP.NET. Установите ICQLite и будет создана недокументированная учётная запись Locals, и т.д.

Paul

[p2u]

Отвечу я, так как Паул не использует никакого охранного софта. Насколько мне известно, Касперский - не создает учетные записи. У него есть служба, запускаемая от имени SYSTEM, и драйвер, обеспечивающий самозащиту приложения. Самозащита на драйвере не имеет отношения к seclogon. Или я просто не нашел эту учетную запись? :(

Saule говорит о версиях Касперского для Серверов. Там дело по другому обстоит (Касперский действительно должен запускаться из специальной учётной записи). Но наши настройки (для домашних пользователей) к этому не относятся.

Paul

[Saule]

Отключение Secondary Logon НЕ препятствует создания таких учётных записей. Установите, например, . Net Framework: Будет создана учётную запись ASP.NET. Установите ICQLite и будет создана недокументированная учётная запись Locals, и т.д.

Вы невнимательно читаете. Выше речь не шла о проблеме создания каких-либо учетных записей. Там было написано, что в случае отключения данной службы теряется возможность использования команды RunAs, и как следствие этого, уже невозможно, зайдя под учетной записью пользователя (допустим, "p2u"), запустить GUI Касперского из под другого пользователя.

Что касается обсуждения "Касперский - не Касперский" в целом, то Касперский - это далеко не единственный продукт, который использует описанную ранее "безопасную схему" отделения своего управляющего центра от пользовательского "пространства" (небезопасной среды, где может быть [случайно] запущен вирус, который может попытаться управлять антивирусом или отключить его).

Saule говорит о версиях Касперского для Серверов. Там дело по другому обстоит (Касперский действительно должен запускаться из специальной учётной записи). Но наши настройки (для домашних пользователей) к этому не относятся.

Нет. Я говорю о любых версиях, в том числе и о серверных, но не ограничиваясь ими. И в серверных это, если мне не изменяет память, совершенно не обязательное условие, а просто предложение (от которого можно отказаться!) для обеспечения большей безопасности.

При быстром поиске нашлось только это, но и этого уже достаточно для того, чтобы увидеть, что там эта функциональность есть: "Учетная запись для запуска задачи (в версии 5.0 - Запускать задачу от имени пользователя, в версии 6.0 - Запуск задачи от имени)". Обратите внимание как называется раздел: "WKS". WKS = Workstation. Название статьи: "Возможна ли установка Антивируса Касперского 6.0 для Windows Workstations "поверх" версии 5.0 того же продукта?". Подчеркну: рабочие станции, не серверные варианты!

Или совсем для "обычных" пользователей: см. официальную документацию, например, к продукту "Kaspersky Internet Security v6.0" (файл "kis6.0ru.pdf"), раздел: "6.4. Запуск задач поиска вирусов и обновления с правами другого пользователя" (стр. 85).

Удивительно, что бета-тестеры не в курсе функциональных возможностей программ (напрямую связанных с безопасностью!), которые они тестируют.

[p2u]

в случае отключения данной службы теряется возможность использования команды RunAs, и как следствие этого, уже невозможно, зайдя под учетной записью пользователя (допустим, "p2u"), запустить GUI Касперского из под другого пользователя.

Не дай бог, чтобы это на моём компе возможно было! Я - админ. "Мои" могут только войти под своей пользовательской учётной записью. Так и должно быть. Прозрачность и простота - тайна хорошего уровня безопасности.

для обеспечения большей безопасности.

Откуда вы взяли, что эта функциональность даёт больше безопасности? Оставить один профиль открытом и заходить в другой - неправильно, по крайне мере не на Windows. Вы таким образом именно вызываете то, что вы хотите сами предотвращать...

При быстром поиске нашлось только это, но и этого уже достаточно для того, чтобы увидеть, что там эта функциональность есть:

Касперский сам НЕ СОЗДАЁТ учётных записей. На клиентском компе НЕТ НЕОБХОДИМОСТИ во время сесии запускать Касперского или любую другую программу защиты под другой учётной записей. Это теоретически возможно, но практически приведёт только к проблемам и риску.

Или совсем для "обычных" пользователей: см. официальную документацию, например, к продукту "Kaspersky Internet Security v6.0" (файл "kis6.0ru.pdf"), раздел: "6.4. Запуск задач поиска вирусов и обновления с правами другого пользователя" (стр. 85).

Опять теория...

Удивительно, что бета-тестеры не в курсе функциональных возможностей программ (напрямую связанных с безопасностью!), которые они тестируют.

Это не ко мне, к счастью. Сам я ничем не пользуюсь, и смотрю с большим подозрением на "Индустрию Безопасности". Я тестировал Касперского (и все остальные), но только с целью посмотреть насколько просто "убить" их. Поверьте, что это у меня очень хорошо получается. Мой вывод: Настоящая безопасность: не скачать зловредов и не запускать их, и закрыть ВСЕ дыры, которые ухудшают защищённость. Secondary Logon - к сожалению, одна из них.

Paul

[oblivion]

И поймал вируса, а именно трояна, скорее всего pinch, с помощью него хакер получил о твоём компе инфу, с помощью которой он смог подключиться к твоему удалёному компьютеру! :) Он мог твой компьютер использовать в своих злых и нелегальных умослах... :)

Советов в лечение этого я незнаю, кроме как формат диска С. :D

Желаю удачи :)

Каков смысл твоего сообщения ? :)

Pinch только крадёт некоторую информацию с твоего ПК (данные, пароли, сведенья с ограниченного списка ПО).

Управляют компьютером с троянов класса Backdoor...

[ser208]

Управляют компьютером с троянов класса Backdoor...

Старые версии Pinch открывали дверку на 23 порту, сейчас может и другой порт или другая реализация, но он это умеет.

Изменено 15 апреля, 2007 пользователем ser208

[oblivion]

Старые версии Pinch открывали дверку на 23 порту, сейчас может и другой порт, но он это умеет.

Pinch совершенно другого класса, как с помощью него можно удалённо управлять другим компьютером, если он совершенно для этого не предназначен, т.к. его предназначение - кража данных... :) :) Объясните...

Изменено 15 апреля, 2007 пользователем oblivion

[ser208]

Pinch совершенно другого класса, как с помощью него можно удалённо управлять другим компьютером, если он совершенно для этого не предназначен, т.к. его предназначение - кража данных... :) :) Объясните...

Все просто, telnet.

Вот раскопал старую версию у себя в запасниках :)

Изменено 15 апреля, 2007 пользователем ser208

[oblivion]

Все просто, telnet.

Вот раскопал старую версию у себя в запасниках :)

С antichat`а ? :)

Эхх, были времена... ((

[Saule]

в случае отключения данной службы теряется возможность использования команды RunAs, и как следствие этого, уже невозможно, зайдя под учетной записью пользователя (допустим, "p2u"), запустить GUI Касперского из под другого пользователя.

Не дай бог, чтобы это на моём компе возможно было! Я - админ. "Мои" могут только войти под своей пользовательской учётной записью. Так и должно быть. Прозрачность и простота - тайна хорошего уровня безопасности.

К сожалению, вы, похоже, "администратор" лишь по формальному признаку - принадлежности вашей учетной записи к группе Administrators. Я так говорю потому как из этого сообщения понятно, что с технической точки зрения вы, к сожалению, мало что знаете о системе разделения прав на NT-системах (в частности - о межпроцессном взаимодействии). Нисколько не хочу вас обижать, просто хочу заметить, что прежде, чем давать какие-нибудь комментарии по теме, особенно при ответах на конкретные примеры, было бы неплохо ознакомиться с соответствующим материалом на практике. Написать "это все теория", не имея ни малейшего представления об этой самой "теории" - это самый простой, но, в то же время, и самый неправильный путь.

Цитата вашего сообщения выше - хорошее подтверждение моему заявлению. Например, подумайте, зачем в системе существуют пользователи SYSTEM, LocalService, NetworkService. Ведь процессы, запускаемые из под этих пользователей - это обычные приложения. И их так же можно было бы запускать из под вашей учетной записи. Это было бы, как вы говорите, "прозрачно и просто". Только вот не было бы никакого разделения и полностью бы отсутствовало понятие безопасности при межпроцессном взаимодействии. И какой-нибудь calc.exe или trojan.exe имел бы полный доступ к любому из системных сервисов, а точнее - мог бы полностью контролировать систему.

Кстати, вы в курсе, что избежать 90% угроз можно наипростейшим способом: использовать при работе restricted user'а, а не сидеть под учетной записью из группы администраторов. Такой пользователь, как минимум (!), не даст возможность установить RING0-rootkit. Поэтому я не знаю, чем тут можно гордиться, если вы работаете под пользователем Administrator.

для обеспечения большей безопасности.

Откуда вы взяли, что эта функциональность даёт больше безопасности? Оставить один профиль открытом и заходить в другой - неправильно, по крайне мере не на Windows. Вы таким образом именно вызываете то, что вы хотите сами предотвращать... :)

Я все же настоятельно рекомендую почитать какие-нибудь книги по администрированию Windows NT-систем (про ACL, про систему пользователей, разделение прав и т.д.). Советую начать с самого простого - MSDN: Access Control > Access Control Model > Access Tokens (на самом деле, в каждом разделе есть еще несколько подразделов, но здесь указаны непосредственно те, которые следует изучить в первую очередь).

Теперь объясню, почему вы здесь написали откровенную глупость. И почему то, чтобы было описано ранее мною, является безопасным, а так же почему это используют практически все серьезные производители средств защиты информации.

Когда процессы запускаются из под одного и того же пользователя, каждый процесс имеет доступ к любому из других процессов, запущенных под этим же пользователем. Он может:

- получать его Handle'ы, окна и вообще любые элементы,

- контролировать эти процессы посылкой специальных системных сообщений, используя функцию SendMessage(),

- читать данные из процесса с помощью функции ReadProcessMemory(), предварительно открыв этот процесс, используя OpenProcess(), писать (!) в этот процесс, модифицируя его код или внедряя новый, с помощью функции WriteProcessMemory(),

- управлять потоками других процессов: создавать "удаленные" потоки в них, используя CreateRemoteThread(), получать контекст через GetThreadContext(), и изменять его через SetThreadContext(), останавливать потоки через SuspendThread(),

- и еще очень многое другое.

Всего этого (и еще очень многого другого) можно избежать очень простым способом: разделить запускаемые процессы разными пространствами; одни (с теми, с которыми работает сам пользователь) - запускаются под его учетной записью, другие (занимающиеся обеспечением безопасности пользователя) - запускаются из под другой учетной записи. При таком разделении что бы пользователь ни запустил из под своей учетной записи, это "что-то" ничего не сможет сделать с комплексом, обеспечивающим безопасность системы пользователя.

Я пишу это в третий (?), и очень надеюсь, что в последний раз. Дальше уже повторять нет смысла, потому что в этот раз я привела достаточно много официальной литературы для дальнейшего изучения теории и применения ее на практике.

При быстром поиске нашлось только это, но и этого уже достаточно для того, чтобы увидеть, что там эта функциональность есть:

Касперский сам НЕ СОЗДАЁТ учётных записей. На клиентском компе НЕТ НЕОБХОДИМОСТИ во время сесии запускать Касперского или любую другую программу защиты под другой учётной записей. Это теоретически возможно, но практически приведёт только к проблемам и риску.

Во-первых, создает. Сейчас не готова ответить за последнии версии, но v4.0/v4.5 это делали. Думаю, что и последние не лишились этой функциональности. Во-вторых, по поводу рисков - см. выше. Это как раз вы рискуете попасть в ситуацию, когда вирус получит полный контроль над процессами, управляющими ядром Касперского и/или принятием решений.

Или совсем для "обычных" пользователей: см. официальную документацию, например, к продукту "Kaspersky Internet Security v6.0" (файл "kis6.0ru.pdf"), раздел: "6.4. Запуск задач поиска вирусов и обновления с правами другого пользователя" (стр. 85).

Опять теория...

Это не теория, а практика. И, к счастью, в Kaspersky Lab работают люди, понимающие в безопасности Windows и основах разделения прав под этой ОС.

Удивительно, что бета-тестеры не в курсе функциональных возможностей программ (напрямую связанных с безопасностью!), которые они тестируют.

Это не ко мне, к счастью. Сам я ничем не пользуюсь, и смотрю с большим подозрением на "Индустрию Безопасности". Я тестировал Касперского (и все остальные), но только с целью посмотреть насколько просто "убить" их. Поверьте, что это у меня очень хорошо получается. Мой вывод: Настоящая безопасность: не скачать зловредов и не запускать их, и закрыть ВСЕ дыры, которые ухудшают защищённость. Secondary Logon - к сожалению, одна из них.

Незнание принципов разделения прав - вот одна большая дыра. Secondary Logon же наоборот решает эту проблему.

Теперь ближе к практике, чтобы после прочтения того, что вы называете "это теория", была возможность "закрепить материал" на практике.

Будет полезно посмотреть вот этот сайт с leak-test'ами для Firewall'ов: http://www.firewallleaktester.com

Или непосредственно следующий тест: http://www.firewallleaktester.com/leaktest18.htm

Там расположены достаточно старые технологии, которые напрямую могут и не работать на новых версиях. Но мир не стоит на месте, и современные вирусы и руткиты используют более прогрессивные методики для внедрения в систему и противодействия средствам безопасности (AV, FW, HIPS и др.).

Вот есть даже пример, хоть и на "тупом" VB. Цитата отсюда.

А вот на счет антивирусного сканера - ситуация вообще смешная. Почему-то в режиме простоя сканер разрешает себя выкинуть, при этом не выдавая никакого предупредительного окна.

[...]

А вот режиме проверки файлов он достаточно надежно детектирует наличие своей копии в памяти и все таки выдает окно с сообщением о закрытии (хотя я вот что думаю, а если и этому окну послать сообщение - только не о закрытии, а сообщение о нажатии клавиши Enter - ведь это тоже приведет к закрытию, причем на этот раз обоих окон, а именно всей программы в целом). Его можно спокойно вырубить (в режиме ожидания) с помощью API функции

Public Function EnumWindowProc(ByVal hWnd As Long, ByVal lParam As Long) As Long

послав окну сообщение WM_CLOSE.

Вот примерный алгоритм поиска окна сканера DrWeb:

------------------------[ Пример ]------------------------------

Dim drweb As Integer

drweb = InStr(1, sClass, "Afx:400000:", vbBinaryCompare)

' Afx:400000: --это часть класса окна, так как оно время от времени меняется

' (меняется только несколько последних символов), но эта часть остается

' неизменной.

If drweb <> 0 Then

' Нашел сканер-выключаю его

Call SendMessage(sHwnd, WM_CLOSE, 0&, ByVal 0&)

End If

----------------------------------------------------------------

Еще посмотрим пример для Outpost Firewall. Ищем строчку "А вот для файра пришлось придумывать как программно нажать на кнопочку", и читаем исходный текст далее. Или вот целая статья. Ищем раздел: "Эмуляция ввода с клавиатуры или я сказал "брысь!"".

Это последнее мое сообщение на данную тему. Больше здесь уже нечего говорить/обсуждать. Мною все материалы и примеры предоставлены. Дополнительные можно найти, используя google. Умный человек поймет и признает ошибку.

[Saule]

Pinch совершенно другого класса, как с помощью него можно удалённо управлять другим компьютером, если он совершенно для этого не предназначен, т.к. его предназначение - кража данных... :) :) :) Объясните... :)

Дело в том, что каждый троян (в том числе и Pinch) может иметь бесконечное число вариаций. При этом его функциональные возможности, естественно, могут несколько расширяться и изменяться. Поэтому вирусы в целом вообще очень неохотно поддаются каким-либо попыткам их строго классифицировать.

Да, Pinch - это, прежде всего, троян, собирающий информацию о системе + пароли к самым разнообразным программам и сервисам, и отсылающий их через SMTP-сервер на e-mail "хозяина". Но в него уже давно добавляют и функционал удаленного управления, и клавиатурного шпиона; при этом для его маскировки нередко используются rootkit-технологии.

[NickGolovko]

2 Saule:

не касаясь пока общих положений, предлагаю все же для ясности обсуждения Касперского рассмотреть конкретный пример.

На моем компьютере установлена Kaspersky Internet Security 6.0, seclogon отключена.

KIS работает следующим образом. Программа имеет интерфейс (avp.exe), запускаемый от имени моей учетной записи - и это происходит тем же образом для любого пользователя; имеет службу, которая занимается поиском вирусов и тому подобное - служба запускается от имени SYSTEM; имеет драйвер, который осуществляет самозащиту приложения - и это не позволяет

получать его Handle'ы, окна и вообще любые элементы,

- контролировать эти процессы посылкой специальных системных сообщений, используя функцию SendMessage(),

- читать данные из процесса с помощью функции ReadProcessMemory(), предварительно открыв этот процесс, используя OpenProcess(), писать (!) в этот процесс, модифицируя его код или внедряя новый, с помощью функции WriteProcessMemory(),

- управлять потоками других процессов: создавать "удаленные" потоки в них, используя CreateRemoteThread(), получать контекст через GetThreadContext(), и изменять его через SetThreadContext(), останавливать потоки через SuspendThread(),

- и еще очень многое другое.

Теперь смотрим.

Учетные записи пользователей: скрин 1

Никакой учетки Касперского нет и в помине.

Так как Диспетчер задач не отображает имена пользователей, открываем Process Explorer и смотрим, от чьего имени запущена служба Касперского (avp.exe PID 1060): скрин 2.

Соответственно учетной записи пользователя для Касперского нет, а с правами SYSTEM он превосходно запускается даже при выключенной seclogon.

Я не могу судить о другом софте, но с трудом могу представить, чтобы профессионалы защищали процесс столь примитивным образом, как запуск его от имени учетной записи другого пользователя. Запуск его в качестве службы - другое дело, но тоже не панацея. Нет сомнений, что в NOD32 имеется служба, запускаемая не от имени пользователя; тем не менее, черви типа Warezov весьма эффективно нарушают его работу. Нормальная эффективная самозащита от бездрайверных вирусов на данном этапе достижима исключительно посредством драйвера нулевого кольца.

[p2u]

Это последнее мое сообщение на данную тему. Больше здесь уже нечего говорить/обсуждать. Мною все материалы и примеры предоставлены. Дополнительные можно найти, используя google. Умный человек поймет и признает ошибку.

То, что вы привели это мне очень хорошо известное классическое чтение "безопасности"... Дальнейшие разговоры с вами действительно бессмысленны... Не думаю, что поможет, на вот это вам на чтение:

http://www.ranum.com/security/computer_sec...ditorials/dumb/

Paul

[p2u]

но с трудом могу представить, чтобы профессионалы защищали процесс столь примитивным образом, как запуск его от имени учетной записи другого пользователя.

Почему вы думаете, Nick, что мы наблюдаем такое количество SQL-инжекшенов, взломов и дефейсов серверов? Там все такие "профессионалы" работают, которые повторяют как папугай, то что Майкрософт говорит... :)

Paul

!

Предупреждение:

Пожалуйста, не нужно флудить.

Saule.

Изменено 17 апреля, 2007 пользователем Saule

[p2u]

Для тех, которые действительно хотят знать и понять в чём дело, дам один пример из целых 15-и, который относится к XP Pro:

Официальная документация о «RUNAS» (Windows XP) говорит:

.../savecred to use credentials previously saved by the user.

This option is not available on Windows XP Home Edition and will be ignored... blah blah blah

Таким образом «Простой Юзер» может пользоваться командой строкой и выполнить команды типа:

RUNAS /savecred /user:administrator regedit

Потом вводится админ пароль и всё!

Следующий раз, если та же строка вводится, сохранённый пароль автоматически вызывается… Очень удобно, и не надо админа звать…

НО:

Что документация НЕ говорит, это то, что сохранённый пароль может использоваться ДЛЯ ВСЁ, ЧТО УГОДНО, не только для изначальной команды…

Допустим, Васе, который простой юзер, нужно время от времени пользоваться SysInternals’ FileMon.

Начинает он так:

RUNAS /savecred /user:administrator filemon

Вводит админ пароль и всё. Но Вася может потом решиться на такое:

RUNAS /savecred /user:administrator CMD

что даёт ему ПОЛНЫЙ ДОСТУП к нашему компу!!!

Беда ещё в том, что любой зловред, допустим ActiveX code какой-нибудь, может попытаться делать так:

CreateProcess("runas.exe", "/savecred /user:administrator \"cmd /c somecommand\"",

...)

"just in case"

Если /savecred ранее уже использовалось текущим пользователем, и его пароль не изменился с тех пор, то тогда этот кусочек код позволяет выполнить ЛЮБУЮ КОМАНДУ под админа!!!

Скорее всего, Майкрософт это не имела в виду, когда они это придумали, но я не могу себе представить БЕЗОПАСНОЕ ПРИМЕНЕНИЕ этого свойства.

Paul

!

Предупреждение:

Пожалуйста, не нужно флудить.

Saule.

Можете меня банить даже прямо сейчас. Я не собираюсь здесь больше тратить своё драгоценное время.

Спасибо.

Paul

[Saule]

NickGolovko

Верно, по умолчанию не создает. Но если вы, Ник, не используете данную возможность ав Касперского, это еще не значит, что её не используют пользователи, которым вы даете рекомендации. Ведь речь сейчас идет именно об этом - т.е. не о вашем личном компьютере, а о чужих системах. Согласитесь.

И по поводу остального, проконсультируйтесь, пожалуйста, у разработчиков Kaspersky Lab, может у них получится объяснить вам что к чему.

p2u

Вы упомянули чуть выше о том, что вам очень легко удавалось "убить" процесс антивируса. Неужели вы так и не поняли почему? Ведь именно для того, чтобы процесс антивируса нельзя было так легко завершить и используется данная функция.