троянских коней" очень трудно обнаружить
Поскольку " троянских коней" очень трудно обнаружить (особенно те из них, которые выполняют модификацию самого ядра NT), стоит поддерживать максимальные меры предосторожности. А именно, создавайте резервные копии своих данных, переустанавливайте операционную систему и все приложения только с проверенных носителей информации. Некоторые из наиболее коварных "троянских коней", называемых наборами rootkit, будут рассмотрены ниже в данной главе.
Параметры реестра, обеспечивающие выполнение программ
Еще одним хорошим методом скрытого запуска командного файла является использование специальных значений в системном реестре NT. В зависимости от разрешений пользователя, под именем которого взломщик проник в систему, ему могут быть доступны некоторые из таких параметров системного реестра. Помните, что удаленный доступ к системному реестру могут получить только администраторы, а на консоли сервера могут зарегистрироваться лишь несколько пользователей из встроенных учетных записей NT. Поэтому вероятность того, что взломщику удастся воспользоваться описанным здесь способом, очень мала. Ему повезет только в том случае, когда используемая им учетная запись входит в группу Server Operators. В табл. 5.5 перечислены некоторые параметры системного реестра и разрешения, установленные для них по умолчанию, которыми могут воспользоваться взломщики для запуска программ.
Таблица 5.5. Параметры системного реестра, которые можно использовать для вызова программ, расширяющих привилегии пользователя
Параметр
|
Разрешения по умолчанию
|
Значение, позволяющее запуск
|
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run
|
Everyone: Set Value
|
[любое]
|
HKLMX SOFTWARE \Microsoft\Windows\ CurrentVersion \RunOnce
|
Server Operators: Set Value
|
[любое]
|
HKLMX SOFTWARE \Microsoft\Windows\ Cur rent Version \RunOnceEx
|
Everyone: Set Value
|
[любое]
|
HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVers i on \ AeDebug
|
Everyone: Set Value
|
Debugger
|
HKLMX SOFTWARE\Microsoft\WindowsNT\ CurrentVer si on XWinlogon
|
Server Operators: Set Value
|
Userinit
|
<
Содержание Назад Вперед