Иллюстрированный самоучитель по Secure Web
и никто не обратит внимания
Если все пройдет гладко и никто не обратит внимания на странное поведение компьютера-жертвы, то все нажатия клавиш будут сохраняться в файле, указанном в последней строке файла iks . reg. Выждав какое-то время, взломщик снова зарегистрируется в качестве администратора, перепишет полученный файл (по умолчанию он называется iks.dat, но, скорее всего, он будет переименован), а затем просматривает его с помощью утилиты datview, входящей в комплект поставки IKS. Ниже приведено диалоговое окно настройки параметров datview.
За несколько недель работы утилита IKS, как правило, перехватывает хотя бы одну пару "имя пользователя/пароль" уровня домена, которые обычно находятся после записи, сгенерированной при нажатии <Ctrl+Alt+Del>.
Контрмеры: защита от программ-регистраторов
Обнаружить программы-регистраторы не так-то просто. Это объясняется тем, что они внедряются в систему на низком уровне. Что касается IKS, мы рекомендуем поискать в системном реестре параметр LogName, который должен находиться где-то в группе параметров HKLM\SYSTEM\CurrentControlSet\Services. Значением этого параметра является путь к журналу регистрации нажимаемых клавиш. Параметр, в котором находится данное значение, можно безболезненно удалить (естественно, соблюдая обычные предосторожности, связанные с редактированием системного реестра). Для обнаружения же самого драйвера IKS требуется обладать в какой-то степени навыками сыщика, чтобы распознать его среди прочих файлов . sys, хранящихся в каталоге %systemroot%\system32\drivers. Самым простым методом является проверка свойств каждого файла. Во вкладке Version диалогового окна свойств IKS будет указано IKS NT4 Device Driver, а в качестве внутреннего имени — iksnt. sys.
Получив доступ к домену, взломщик захочет воспользоваться своим статусом администратора сервера в качестве плацдарма для дальнейшего "захвата территорий". В следующем разделе описываются некоторые методики достижения этой цели и соответствующие им контрмеры.
