Иллюстрированный самоучитель по Secure Web
троянских коней" очень трудно обнаружить
Поскольку " троянских коней" очень трудно обнаружить (особенно те из них, которые выполняют модификацию самого ядра NT), стоит поддерживать максимальные меры предосторожности. А именно, создавайте резервные копии своих данных, переустанавливайте операционную систему и все приложения только с проверенных носителей информации. Некоторые из наиболее коварных "троянских коней", называемых наборами rootkit, будут рассмотрены ниже в данной главе.
Параметры реестра, обеспечивающие выполнение программ
Еще одним хорошим методом скрытого запуска командного файла является использование специальных значений в системном реестре NT. В зависимости от разрешений пользователя, под именем которого взломщик проник в систему, ему могут быть доступны некоторые из таких параметров системного реестра. Помните, что удаленный доступ к системному реестру могут получить только администраторы, а на консоли сервера могут зарегистрироваться лишь несколько пользователей из встроенных учетных записей NT. Поэтому вероятность того, что взломщику удастся воспользоваться описанным здесь способом, очень мала. Ему повезет только в том случае, когда используемая им учетная запись входит в группу Server Operators. В табл. 5.5 перечислены некоторые параметры системного реестра и разрешения, установленные для них по умолчанию, которыми могут воспользоваться взломщики для запуска программ.
Таблица 5.5. Параметры системного реестра, которые можно использовать для вызова программ, расширяющих привилегии пользователя
Параметр | Разрешения по умолчанию | Значение, позволяющее запуск |
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run | Everyone: Set Value | [любое] |
HKLMX SOFTWARE \Microsoft\Windows\ CurrentVersion \RunOnce | Server Operators: Set Value | [любое] |
HKLMX SOFTWARE \Microsoft\Windows\ Cur rent Version \RunOnceEx | Everyone: Set Value | [любое] |
HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVers i on \ AeDebug | Everyone: Set Value | Debugger |
HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVer si on XWinlogon | Server Operators: Set Value | Userinit |
