Соединение двух компьютеров по модему.

Введение.

Представьте себе ситуацию: у вас и вашего друга модемы, вы живете в разных концах города, и вам очень необходимо обменяться информацией, пообщаться, поделиться интересной программой или просто поиграть и доказать другу что в Counter Strike вам нет равных.

Или вот еще: у вас на работе есть доступ в Internet и вы бы хотели пользоваться им из дома, а протащить витую пару на три километра нет средств.

Если какая-то из этих ситуаций совпадает с вашей или похожа на нее, то самый выгодный, и в финансовом, и в организационном плане вариант - это модем.

Некоторые особо 'продвинутые' пользователи утверждают, что модемные коннекты устаревший вариант, но это не так. Конечно, когда есть возможность воспользоваться более дорогим и более быстрым соединением, то модем уходит на второй план. Но, раз вы читаете эту статью - значит у вас такой возможности нет.

Подготовка к соединению.

Для начала проверьте наличие всего необходимого оборудования. Нам потребуется: два компьютера, два модема, два телефона, в общем всего по два.

Теперь немного о самом смысле и процессе соединения. Один из компьютеров (тот к которому подключаются) будет сервером, второй (который подключается) клиентом. Оба компьютера подключены к телефонной лини через модемы.

Для установки связи между компьютерами необходимо, чтобы клиент позвонил на номер компьютера-сервера, а модем сервера в свою очередь 'поднял трубку' и проверил логин и пароль звонящего пользователя. Если выполнение всех выше перечисленных операций прошло без ошибок, то коннект состоится. А если нет то вы где-то напортачили.

Настройка сервера.

Компьютер-сервер, как мы уже выяснили, должен 'ответить' на звонок клиента, для это его нужно правильно настроить. Как это делается? А очень просто! По этой инструкции.

Если у вас меню пуск в стиле Windows XP , то Пуск -> Панель управления -> Сетевые подключения -> Создание нового подключения -> ...

А если у вас пуск в Классическом стиле, то Пуск -> Настройка -> Панель управления -> Сетевые подключения -> Создание нового подключения -> ...

А вот здесь поподробнее. После выполненных действий запускается 'Мастер новых подключений', вот он то и поможет нам настроить подключение [Далее ->]

Выбираем 'Установить прямое подключение к другому компьютеру' [Далее ->]

Затем 'Принимать входящие подключения' [Далее ->] Выбираем ваш модем [Далее ->]

'Разрешить виртуальные частные подключения' [Далее ->]

Выбор пользователя. Здесь существует несколько вариантов, рассмотрим их все по порядку.

Можно выбрать из предлагаемого списка пользователей, уже существующую учетную запись. Этот вариант приемлем, если на компьютере-сервере несколько учетных записей и клиент знает к одной из них логин и пароль. Такое бывает в тех случаях, когда клиент, к примеру, подключается из дома к своему рабочему месту.

Можно заранее создать пользователя для подключения (см. дополнение 'Создание новой учетной записи'). Этот вариант подходит, если подключения будут производиться часто и клиент хочет иметь на компьютере-сервере какие-либо права и собственные файлы.

Можно создать нового пользователя здесь же. Для этого нажмите кнопку 'Добавить:' и заполните форму.

И последний вариант - это выбрать учетную запись гостя. Этот вариант подходит, тем кто просто хочет поиграть с другом и не на что более не претендует.

В свойствах учетной записи пользователя можно выбрать для него пароль или оставить его пустым (что и делается по умолчанию).

После того как вы определились какой вариант подходит вам жмите [Далее ->]

Выбор программ для работа с сетью.

Здесь я советую зайти в свойства 'Протокола Интернета (TCP/IP)' и заранее определить IP адреса для каждого компьютера.

По умолчанию IP адрес выделяется автоматически, то есть каждый раз может меняться. Но если отметить параметр 'Указывать адреса TCP/IP явным образом', то эта проблема исчезнет. Итак отмечаем выше указанный параметр и в графе 'С:' пишем что-то вроде 125.125.125.125, а в графе 'По:' 125.125.125.126. В итоге получаем два IP адреса и теперь IP сервера всегда будет 125.125.125.125, а IP клиента 125.125.125.126.

Жмем [Далее ->]и идем дальше...

А дальше-то и некуда. Все готово! Вот мы и настроили сервер. Теперь он готов принять звонок от клиента.

Настройка клиента. v1.0

Компьютер-клиент должен дозвониться до сервера и пройти проверку имени и пароля, но для этого нужно правильно настроить сетевое подключение.

Итак, делаем все тоже самое что и при настройке сервера на прием звонка, но только до запуска 'Мастера новых подключений'.

Когда вы запустите 'Мастер новых подключений', вот тогда и начнется настройка сетевого подключения для компьютера-клиента.

После запуска Мастера жмем [Далее ->]

И выбираем один из двух вариантов: 'Подключить к Интернету' или 'Подключить к сети на рабочем месте'. В принципе здесь нет разницы, но я лично предпочитаю второй вариант.

Если вы выбрали вариант 'Подключить к Интернету',
то жмите [Далее ->]

Затем 'Установить подключение в ручную' [Далее ->]

'Через обычный модем' [Далее ->]

Имя поставщика услуг - любое [Далее ->]

Номер телефона - номер к которому подключен модем компьютера-
сервера [Далее ->]

Теперь заполняем форму, вводим имя пользователя и пароль, которые мы указали в настройках сервера.

Вот и все! Поздравляю с настройкой клиентского подключения, но это лишь первый вариант.

Настройка клиента. v2.0

Второй вариант не особо отличается от первого, но мы его все же рассмотрим.

Запускаем 'Мастер новых подключений' (как его запустить смотри выше) [Далее ->]

Теперь 'Подключить к сети на рабочем месте' [Далее ->]

'Подключение удаленного доступа' [Далее ->]

Организация - любая [Далее ->]

Номер телефона - номер к которому подключен модем компьютера-
сервера [Далее ->]

Готово!

Все, и это подключение настроено! Если вы еще не заметили, то обратите внимание на имя и пароль пользователя... Правильно, мы их не указывали, они потребуются непосредственно перед звонком.

Восстанавливаем производительность Windows XP
Верните системе былую мощь!
Ваша система Windows XP стала работать медленнее, чем раньше? Несмотря на использование средств оптимизации производительности, таких как функция упреждающей загрузки приложений (которая позволяет XP кэшировать часто используемые приложения), со временем система XP может стать менее 'энергичной'. Но если проявить известную изобретательность в настройке и периодически 'наводить порядок' там, где следует, система вновь обретет свою первоначальную скорость. Ниже приводится 10 приемов, оптимизирующих производительность настольного компьютера с XP.

10 Дефрагментируйте жесткие диски.
Даже если XP установлена совсем недавно, следует регулярно дефрагментировать все физические жесткие диски системы. Чтобы запустить системный дефрагментатор, примените команду defrag или выполните файл dfrg.msc. Я рекомендую делать это не реже раза в месяц.

9 Периодически очищайте папку Prefetch.
Найдите папку %Windows%\prefetch и просмотрите содержащиеся в ней указатели, которые облегчают загрузку недавно выполненных программ. Со временем накопление записей редко используемых программ может снизить производительность системы. Нужно полностью очищать эту папку примерно раз в месяц. Однако слишком частое удаление ее содержимого опять-таки снижает производительность.

8 Отключите ненужные службы.
По умолчанию XP запускает службы, которые многим пользователям не нужны. Отключение служб, в которых нет необходимости, освобождает используемые ими ресурсы. Для отключения служб можно задействовать вкладку Services утилиты Msconfig. Список служб, которые могут быть отключены, можно найти в статье 'Отключение ненужных служб в Windows XP'

7 Избавьтесь от ненужных программ в папке Startup.
Программы, которые автоматически вставляют пиктограммы в панель системных задач и в папку Startup, досаждают больше всего. Мало того, что это действие не добавляет удобств, оно еще и съедает системные ресурсы. Для того чтобы избавиться от этих паразитов, запустите Msconfig, щелкните вкладку Startup и удалите флажок из ячейки напротив каждой программы, которую следует отключить.

6 Отрегулируйте визуальные эффекты.
В системах, не имеющих мощного процессора (менее 800 МГц), можно существенно повысить производительность за счет настроек визуальных эффектов (Visual Effects). Откройте приложение System в Control Panel, щелкните вкладку Advanced, щелкните в области Performance кнопку Settings и выберите настройку Adjust for best performance.

5 Установите размер файла подкачки.
Когда системе требуется больше памяти, чем у нее есть, Windows увеличивает файл подкачки, и пока это происходит, остальные системные функции останавливаются. Установка максимального размера файла подкачки равным удвоенному значению физической оперативной памяти обычно позволяет избежать этого падения производительности. Необходимо открыть приложение System, выбрать вкладку Advanced и щелкнуть в области Performance кнопку Settings. В окне Performance Options нужно выбрать вкладку Advanced и щелкнуть кнопку Change около поля Virtual memory. Введите максимальный размер файла подкачки в поле Maximum size.

4 Поставьте второй жесткий диск.
В современных системах с достаточно мощными процессорами слабым звеном производительности почти всегда является подсистема ввода/вывода. Распределение функций ввода/вывода на несколько жестких дисков уменьшает негативное влияние этого фактора. Поместите операционную систему на один диск, а приложения - на другой. Добавление жесткого диска также поможет придерживаться рекомендации иметь 20% свободного пространства на системном диске.

3 Используйте настройку DMA для всех жестких дисков.
Когда вы добавляете второй жесткий диск, XP часто автоматически устанавливает для него самый медленный режим программируемого ввода/вывода (Programmed I/O). Большинство современных дисководов в состоянии использовать более эффективную настройку прямого доступа к памяти (DMA). Для того чтобы изменить настройки диска, откройте приложение System, щелкните вкладку Hardware, затем щелкните Device Manager. Раскройте пункт IDE ATA/ATAPI controllers и откройте свойства первичного канала IDE (Primary IDE Channel). Перейдите на вкладку Advanced Settings и выберите DMA if available в поле со списком Transfer Mode для обоих устройств - Device 0 и Device 1.

2 Расположение файла подкачки.
Если в системе имеется два жестких диска, можно улучшить производительность, поместив файл подкачки на тот жесткий диск, который операционной системой не используется. Для этого нужно открыть приложение System, перейти на вкладку Advanced и щелкнуть кнопку Settings в области Performance. Затем перейдите на вкладку Advanced в новом окне, щелкните Change рядом с Virtual memory и выберите в списке дисков свой второй диск.

1 Увеличьте объем оперативной памяти.
Установка адекватного объема оперативной памяти - самый эффективный способ повышения производительности XP. Если оперативной памяти не хватает, никакие ухищрения с настройками не заставят систему работать быстрее. Компьютер с системой XP должен иметь как минимум 256 Мбайт оперативной памяти, а лучше установить 512 Мбайт.

Почему компьютер медленно выключается?

Иногда пользователи замечают, что с некоторых пор на их компьютере выход из Windows происходит медленно или операционная система вообще перестает корректно отключаться. Вот несколько причин такого "странного" поведения.

Компьютер - не лампочка и, чтобы его правильно выключить, недостаточно просто щелкнуть тумблером. Отключение компьютера - сложная процедура. Иногда в Windows на это часто уходит слишком много времени; бывает и так, что Windows не закрывается вовсе.

Частой причиной такого поведения операционной системы является программная ошибка в драйвере. Поэтому прежде всего стоит посетить веб-сайты производителей аппаратных средств - начиная с тех устройств, которые вы устанавливали последними - и проверить, не появились ли для них новые драйверы.

Медленное отключение

Вначале рассмотрим относительно простой случай: система завершает работу корректно, но очень медленно. Одной из распространенных причин "нерасторопности" Windows 2000 и XP в подобных случаях может быть работа терминальных служб (Terminal Services). Если они вам нужны - ничего не поделаешь, придется терпеть. Но если терминальные службы были установлены по умолчанию, а вы никогда не используете ни удаленный рабочий стол, ни быструю смену пользователей, ни удаленное обслуживание, ни терминальный сервер или другие службы из разряда Terminal Services, то их можно отключить. Для этого выберите команду Start > Run (Пуск > Выполнить), введите services.ms/s и нажмите клавишу Enter. Затем в открывшемся окне найдите в списке строку Terminal Services и дважды щелкните на ней. (Если такой строки нет, значит, терминальные службы в операционной системе не установлены, и причина медленного отключения другая.) Измените значение параметра Startup type (Тип запуска) на Disabled (Отключен) или Manual (Вручную) и щелкните на кнопке OK.

Иногда терминальные службы тормозят запуск Windows

Кроме того, можно ускорить отключение Windows 2000 и XP, отказавшись от очистки виртуальной памяти при выходе из операционной системы. Этот режим довольно полезен, хотя и не включен по умолчанию. Выберите команду Start > Run (Пуск > Выбрать), введите gpedit.msc и нажмите клавишу Enter. В открывшемся окне, подобном Windows Explorer (Проводник) перейдите на левую панель в раздел Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options. На правой панели найдите строку Shutdown: Clear virtual memory pagefile (Отключение: очистка файла виртуальной памяти). Если этот режим включен, дважды щелкните в этой строке, выберите команду Disabled (Отключить) и щелкните на кнопке OK (если на вашем компьютере есть такая возможность).

А вообще-то, чем больше программ работает перед отключением Windows (в том числе в фоновом режиме), тем больше времени нужно операционной системе, чтобы закрыть каждую из них, прежде чем закрыться самой. Часть этой работы вы можете выполнить сами, закрыв все окна перед выключением компьютера.

Отключение со сбоями

Более серьезный случай - когда Windows не просто медленно закрывается, а "зависает" при выключении или показывает другие, такие же неприятные "фокусы".

Иногда ошибки при отключении Windows XP исправляются после установки Service Pack 1.

Если Windows закрывается, но компьютер остается включенным, и на экране не появляется заставка с сообщением, что его можно выключить, то причина проблемы кроется в системе управления питанием Advanced Power Management (APM). Вопрос только в том, где именно: в самой Windows или в настройке аппаратных средств? Начать лучше с Windows: щелкните правой кнопкой мыши на рабочем столе и выберите команду Properties (Свойства). Перейдите на вкладку Screen Saver (Хранитель экрана) и щелкните на кнопке Power (Питание). В Windows 98 и Me эта кнопка называется Settings (Настройка) и находится в разделе Energy saving (Энергосберегающие функции монитора). Перейдите на вкладку APM (если такой вкладки нет, то проблема кроется в аппаратной конфигурации). Включите режим Enable Advanced Power Management Support (Разрешить поддержку расширенного управления питанием) и щелкните на кнопке OK.

Из-за системного сбоя операционная система может перепутать отключение с перезапуском. Можно отключить режим автоматического перезапуска и поискать причину сбоя

Для проверки аппаратной конфигурации перезапустите компьютер и откройте программу Setup, нажав соответствующую клавишу в ходе загрузки. Найдите в меню команду включения APM или ACPI (Advanced System Configuration and Power Interface, усовершенствованный интерфейс конфигурирования системы и управления энергопитанием).

Если компьютер, работающий под управлением Windows 2000 или XP, перезагружается вместо того, чтобы выключаться, возможно, дело в системном сбое. В ответ на системные сбои эти версии Windows перезапускаются, так что иногда кажется, что операционная система путает отключение с перезапуском. Для того, чтобы обнаружить причину проблемы, щелкните правой кнопкой мыши на пиктограмме My Computer (Мой компьютер) и выберите команду Properties (Свойства). Перейдите на вкладку Advanced (Дополнительно). В Windows XP щелкните на кнопке Settings (Настройка) в разделе Startup and Recovery (Запуск и восстановление), отключите режим Automatically restart (Автоматический перезапуск) и закройте окна с помощью кнопок OK. В Windows 2000 щелкните на кнопке Startup and Recovery (Запуск и восстановление), отключите режим Automatically reboot (Автоматический перезапуск) и закройте окна настройки. Теперь вы сами заметите, что именно не дает Windows спокойно отключиться и, возможно, найдете выход из положения.

Поиск и удаление вирусов вручную

Предисловие
Пока что я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов. Антивирусные компании много хотят за свои продукты, которые так и не обеспечивают надлежащей защиты. Спрашивается, зачем вообще тогда покупать антивирусное ПО? Все что создано человеком может быть уничтожено, это относится как к антивирусам, так и к вирусам. Человека обмануть намного сложнее, чем программу. Поэтому эта статья посвящена описанию методики обнаружения и деактивации вирусного программного обеспечения без антивирусного продукта. Запомните есть только одна вещь, ценность которую невозможно обойти/сломать/обмануть - это Знание, собственное понимание процесса. Сегодня я расскажу на реальных примерах как обнаружить и поймать у себя на компьютере Интернет-червей и шпионское ПО. Конечно есть еще много видов, но я взял самые распространенные и решил написать про то, что было у меня на практике, дабы не сказать чего лишнего. Если повезет в поиске расскажу про макро-вирусы, бэкдоры и руткиты. Итак перед тем как приступись, отмечу, в данной статье рассматриваю только операционную систему семейства NT, подключенную к интернету. У меня самого стоит Win2000 SP4, вирусы ловлю на WinXP PE. Итак перейдем к беглому, а затем и детальному анализу системы на предмет червей и шпионов. Беглым осмотром мы просто обнаружаем наличие программы и локализуем ее, детальный анализ уже идет на уровне файла и процессов. Там я расскажу о прекрасной программе PETools, впрочем всему свое время.

Анализ системы
Логично, что для того чтобы обнаружить и обезвредить вредоносную программу необходимо существование таковой программы. Профилактика остается профилактикой, о ней поговорим позже, однако надо первым делом определить есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ соответственно есть свои симптомы, которые иногда видны невооруженным глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают симптомы заражения. Поскольку мы ведем речь о компьютере, подключенном к глобальной сети, то первым симптомом является чрезмерно быстрый расход, как правило, исходящего трафика, это обуславливается тем, что очень многие интернет-черви выполняют функции DDoS-
машин или просто ботов. Как известно , при DDoS атаке величина исходящего трафика равна максимальной величине трафика за единицу времени. Конечно, на гигабитном канале это может быть и не так заметно если проводится DdoS атака шириной с диалап соединение, но как правило бросается в глаза заторможенность системы при открытии интернет ресурсов (Еще хотелось бы отметить, что речь пойдет о вирусах, которые хоть как то скрывают себя системе, ведь не надо объяснять ничего если у вас в папке Автозагрузка лежит файл kfgsklgf.exe который ловится фаерволлом и т.д.). следующее по списку, это невозможность зайти на многие сайты антивирусных компаний, сбои в работе платных программ типа CRC-error, это уже обусловлено тем, что достаточно многие коммерческие протекторы поддерживают функцию проверки четности или же целости исполняемого файла (и не только протекторы, но и сами разработчики защит), что сделано для защиты программы от взлома. Не будем говорить об эффективности данного метода против крякеров и реверсеров, однако сигнализацией к вирусному заражению это может сработать идеально. Плата начинающих вирмейкеров за не убиваемые процессы, то что при выключении или перезагрузке компьютера идет длительное завершение какого нибудь-процесса, или же вообще компьютер зависает при завершении работы. Думаю про процессы говорить не надо, а так же про папку автозагрузка, если там есть что-то непонятное или новое, то, возможно, это вирус, однако про это попозже. Частая перезагрузка компьютера, вылет из интеренета, завершение антивирусных программ, недоступность сервера обновления системы microsoft, недоступность сайтов антивирусных компаний, ошибки при обновлении антивируса, ошибки вызванные изменением структуры платных программ, сообщение windows, что исполняемые файлы повреждены, появление неизвестных файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной машины. Помимо прямых вредоносных программ существует так называемое шпионской программное обеспечение, это всевозможные кейлоггеры, дамперы электронных ключей, нежелательные "помощники" к браузеру. Честно говоря, по методу обнаружения их можно разделить на два противоположных лагеря. Допустим кейлоггер, присоединенный динамической библиотекой к оболочке операционной системы обнаружить на лету крайне сложно, и наоборот, невесть откуда взявшийся помощник (плагин, строка поиска и т.д.) к internet Explorer'у (как правило) бросается в глаза сразу же. Итак, я думаю, настало время оставить эту пессимистическую ноту и перейти к реалистичной практике обнаружения и деактивации вредоносного программного обеспечения.

Обнаружение вирусов на лету
Первым делом мы научимся обнаруживать и уничтожать интернет-черви. Про почтовые черви я рассказывать не буду, алгоритм он один для всех, однако метод распространения почтовых червей настолько банален, что если вы умудрились запустить файл из аттача, то эта статья вам не поможет все равно. Для наглядности приведу пример из жизни, как обнаружил недектируемый ни одним антивирусом (до сих пор) IRC-bot, на уязвимой машине. Принцип распространения таких червей довольно прост, через найденную уязвимость в операционной системе. Если подумать головой то можно понять, что основным способом забросить себя на уязвимую машину является вызов ftp-сервера на этой машине. По статистике уязвимостей это печально известный tftp.exe (который, кстати, я не разу не использовал и думаю, что и создан он был только для вирусописателей). Первый симптом таких червей это исходящий трафик и не только из-за DDoS атак, просто вирус, попадая на машину, начинает поиск другой уязвимой машины в сети, то есть попросту сканирует диапазоны IP-адресов. Далее все очень просто, первым делом смотрим логи в журнале событий ОС, что находится по адресу Панель управления-
>Администрирование->Журнал событий. Нас интересуют уведомления о запущенных службах и главное уведомления об ошибках. Уже как два года черви лезут через ошибку в DCOM сервере, поэтому любая ошибка, связанная с этим сервером уже есть повод полагать о наличие вируса в системе. Чтобы точно убедится в наличии последнего, в отчете об ошибке надо посмотреть имя и права пользователя допустившего ошибку. Если на этом месте стоит "пользователь неопределен" или что-то подобное то радуйтесь, вы заражены! и вам придется читать дальше. Я именно так и обнаружил своего первого вируса на специальной сборочной машине (просто компьютер подключенный к сети с win2000, безо всяких пакетов обновление, экранов и т.д. специально для сбора таких программ =)). Если действовать по логике, а не по инстинкту, то первым делом вы должны закрыть дыру в системе для последующих проникновений, а потом уже локализовывать вирусы. Как я уже говорил, такие вирусы обычно лезут через tftp.exe, поэтому (если он вам действительно не нужен! если никогда его не видели, значит, не нужен) просто удаляем его из системы. Для этого сначала удаляем его из архива

%WINDIR%\Driver Cache\driver.cab
затем из папок обновления ОС, если таковые имеются, после этого из %WINDIR%\system32\dllcache\ и уже потом просто из
%WINDIR%\system32\

Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится и опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView, однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe, в диспетчере задач таких процессов несколько, а что самое поразительное, можно создать программу с таким же именем и тогда отличить, кто есть кто практически невозможно. Но шанс есть и зависит от внимательности. Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно M$, конечно можно добавить подложную информацию и в код вируса, однако тут есть пара нюансов. Первый и наверное главный состоит в том, что хорошо написанный вирус не содержит не таблицы импорта, не секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб и каждая служба - это запущенный файл с определенными параметрами. Соответственно в Панели управления -> Администрирование -> Службы,
содержатся все загружаемые службы svhost.exe, советую подсчитать количество работающих служб и процессов svhost.exe, если не сходиться , то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Подробнее в приложении А.
Надо так же отметить, что возможно и среди служб есть вирус, на это могу сказать одно, список служб есть и на MSDN и еще много где в сети, так что просто взять и сравнить проблемы не составит. После таких вот действий вы сможете получить имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и посмотрим еще несколько моментов. Как вы, наверное, уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог. Кстати файлы для нормальной работы, вот они: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Больше ничего быть не должно. Если есть и вы не знаете, откуда оно там появилось то переходите к главе [Детальный анализ].Приаттачивание к процессам мы так же рассмотрим в главе [детальный анализ], а сейчас поговорим про автозапуск. Естественно вирус должен как-то загружаться при старте системы, как правило. Соответственно смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно. Обнаружение этого червя и его деативация заняли у меня около 10 минут времени, конечно, я знал, где искать, это упростило задачу. Однако допустим на обнаружение хорошего бэкдора, кейлоггера, стелс-вируса, или же просто вируса, в котором используется перехват вызовов API-функций файловой системы (тогда вирус получается действительно невидимым), потокового вируса, в общем, есть еще ряд нюансов, однако таких творений действительно мало, мало настоящих вирмейкеров в наши дни. Огорчает... Постараюсь рассказать о них в следующих статьях. теперь перейдем к шпионским программам, или, как их называют буржуи SpyWare. Объяснять буду опять же на примерах шпионов, которых я ловил сам лично, чтобы мои слова не казались пустой фантазией.

Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале один хороший программист правильно назвал их блохами ослика. Простейший шпион очень часто скрывается за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере то считайте, что за вами следят. Уж очень отчетливо видно, если у вас вдруг изменилась стартовая страница браузера, тут уж и говорить нечего. Конечно, прошу простить меня за некоторую некорректность в терминах. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно будут шпионами, однако, как правило, это так и поэтому позвольте здесь в этой статье отнести их к шпионам. рассмотрим пример из жизни, когда я пришел на работу и увидел на одном компьютере странного вида строку поиска в браузере, на мой вопрос откуда она взялась я так ничего и не получил. пришлось разбираться самому. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX, саму технологию уже достаточно описали и зацикливаться я на ее рассмотрении не буду. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице, тем же javascript можно даже закачивать файлы и выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются и работают на машине жертвы.
Первый - это реестр и ничего более, вирус может сидеть в автозагрузке, а может и вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт всего лишь однажды заменил стартовую страницу, вопросов нет, всего лишь надо очистить этот ключ в реесре, если же после очищения, через некоторое время ключ снова появляется, то вирус запущен и постоянно производит обращение к реестру. Если вы имеете опыт работы с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValueA, bpx RegSetValueExA) и проследить, какая программа, кроме стандартных, производит обращении к реестру. Дальше по логике уже. Второй - это именно перехватчики системных событий, так назваемые хуки. Как правило, хуки используются больше в кейлоггерах, и представляют собой библиотеку, которая отслеживает и по возможности изменяет системные сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому исследуя главный модуль программы вы ничего интересного не получите.
Подробнее об этом и следующем способе смотрите ниже в главе детальный анализ.

И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe и iexplorer.exe, проще говоря написание плагинов к этим программам. Тут опять же есть пара способов, это прикрепление с помощью BHO (об самом способе прикрепления писал Gorlum, пользуясь случаем привет ему и почет) и просто внедрение своей библиотеки в исполняемый файл. разница, какой понимаю ее я в том что Browser Helper Object описано и предложено самой корпорацией M$, и используется как плагин к браузеру, а внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет.

Предоставлю вам для общего обучения ключи реестра, куда могут прописаться недоброкачественные товары, в виде тулбаров, кнопок и стартовых страниц браузера.

Стартовая страница
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main параметр StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main параметр StartPage (S-1-5-21-.... этот ключ может быть разный на разных машинах)

Регистрирование объектов типа кнопок, тулбаров и т.д.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\
Вот тут регистрируется все "помошники" и если у вас таковых нет то ключ должен быть пуст, если не пуст, то удаляйте.

Итак, если у вас не все в порядке с этими ключами, и вы хотите разобраться дальше, то смотрим дальше.

Ищем вирусы получше
Поскольку к моменту написания данной статью я хотел сделать ее понятной всем, то эта глава может и показаться некоторым людям непонятной, но я старался упростить все как мог. Я не буду объяснять вас архитектуру PE-файла, хотя мы будем к ней обращаться. Подробнее есть множество мануалов в сети, а про PE-файлы хорошо было написано Iczelion'ом. Может быть, когда ни будь, да опишу тоже.
Итак, приступая к детальному анализу нам потребуются некоторые инструменты, я использую в этом случае и советую использовать PETools by NEOx и PEiD (Можно вообще обойтись одним Soft Ice'ом, но лучше побольше инструментов да попроще, для реверсеров отмечу, что сейчас пойдет речь о просмотре таблицы импорта и упакованности файла, поэтому пропустите мимо ушей то извращение, которое вы сейчас увдите)
Значит, как я уже говорил, был такой случай, что в браузере появилась непонятно откуда строка поиска и стартовая страница. Проверив реестр, я не нашел изменения статовой страницы, а так же не нашел регистрации плагинов в браузере. При детальном осмотре оказалась, что данная строка поиска (тулбар проще) появляется во всех окнах ОС. Это уже немного меняло суть дела. Я предположил, что занимаются этим два независимых друг от друга шпиона и именно методом внедрения динамической библиотеки. При этом надо различать, что если тулбар был бы только в браузере, значит, внедрился он в процесс iexplorer.exe, но у нас был он везде, следовательно, проверять надо было в explorer.exe. Я начал проерять браузер. Для этого я запустил PETools и просто посмотрел, какие библиотеки использует браузер. Мне подвернулась удача в лице нерадивого вирмейкера, на фоне системных библиотек из %SYSTEMROOT% красовалась некая smt.dll с путем, уходящем, куда то в TEMP. Перезагрузка в безопасном режиме и удаление этой библиотеки, и все в норме, шпион убит. Осталось только опять вызвать PETools, кликнуть правой кнопкой мыши на нашем процессе и произвести пересборку файла. Это самый простой случай в моей практике. Перейдем к следующему, находим и убиваем тулбар. Тем же образом я посмотрел процесс explorer.exe и ничего бросающегося в глаза, не нашел. Из этого следует два варианта, либо я не знаю наизусть всех библиотек, и тулбар затерялся среди них, либо мне не дано по знаниям его обнаружить. К счастью вышло первое. Но как же тогда отличить настоящую библиотеку от подложной. я скажу, а вы уже поймете сами. Как известно вирмейкеры гонятся за минимализацией и зашифрованостью кода. То есть не один тулбар как правило не будет лежать в открытом виде, во-первых код можно уменьшить, а значит нужно, и во-вторых если кто нибудь (чаще даже не антивирус, а конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD и производим массовое сканирование импортируемых библиотек. Библиотеки от microsoft естественно написаны на visual C++ и ничем не упакованы, поэтому если мы видим (а я как раз увидел подозрительную seUpd.dll упакованную UPX) упакованную или зашифрованную библиотеку то 99% это, то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее и посмотрите результат. Конечно, можно было бы распаковать, посмотреть дизасм листинг и подумать, что же она делает, но не бдем в то углубляться. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от M$ там так и написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. На последок хочу еще заметить, что библиотека *.dll не обязательно может внедрятся в процессы. В ОС Windows есть такое полезное приложение, как rundll32.exe, и я могу запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно прописать это внутри зараженного файла. Тогда вы будете видеть только свои (зараженные файлы, которые маловероятно будут детектироваться антивирусом) и процесс run