Иллюстрированный самоучитель по Secure Web


Удаленное проникновение: состояние DoS и переполнение буфера - часть 15


Поскольку "троянских коней" очень трудно обнаружить (особенно те из них, которые выполняют модификацию самого ядра NT), стоит поддерживать максимальные меры предосторожности. А именно, создавайте резервные копии своих данных, переустанавливайте операционную систему и все приложения только с проверенных носителей информации. Некоторые из наиболее коварных "троянских коней", называемых наборами rootkit, будут рассмотрены ниже в данной главе.

Параметры реестра, обеспечивающие выполнение программ


Еще одним хорошим методом скрытого запуска командного файла является использование специальных значений в системном реестре NT. В зависимости от разрешений пользователя, под именем которого взломщик проник в систему, ему могут быть доступны некоторые из таких параметров системного реестра. Помните, что удаленный доступ к системному реестру могут получить только администраторы, а на консоли сервера могут зарегистрироваться лишь несколько пользователей из встроенных учетных записей NT. Поэтому вероятность того, что взломщику удастся воспользоваться описанным здесь способом, очень мала. Ему повезет только в том случае, когда используемая им учетная запись входит в группу Server Operators. В табл. 5.5 перечислены некоторые параметры системного реестра и разрешения, установленные для них по умолчанию, которыми могут воспользоваться взломщики для запуска программ.

Таблица 5.5. Параметры системного реестра, которые можно использовать для вызова программ, расширяющих привилегии пользователя

Параметр

Разрешения по умолчанию

Значение, позволяющее запуск

HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

Everyone: Set Value

[любое]

HKLMX SOFTWARE \Microsoft\Windows\ CurrentVersion \RunOnce

Server Operators: Set Value

[любое]

HKLMX SOFTWARE \Microsoft\Windows\ Cur rent Version \RunOnceEx

Everyone: Set Value

[любое]

HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVers i on \ AeDebug

Everyone: Set Value

Debugger

HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVer si on XWinlogon

Server Operators: Set Value

Userinit

<


Начало  Назад  Вперед