Скрытие процессов

В предыдущей главе мы указывали, что для создания потайного хода в систему хакеры часто используют манипуляции, связанные с недостатками процесса загрузки систем Windows. Они оставляют свои файлы в папке автозагрузки взломанной системы, после чего при входе пользователя в систему автоматически загружаются хакерские программы. Папка автозагрузки Windows 2000/XP находится в разделе Documents and Settings\User\Start Menu\Programs\Startup и доступна для всех зарегистрированных в системе пользователей. Так что, заменив имя исполняемого файла хакерской программы каким-либо нейтральным именем, можно надеяться, что невнимательный пользователь не заметит в спи-ске исполняемых процессов хакерскую программу.

Следует также учесть, что в диалоге Диспетчера задач Windows отображаются отнюдь не все процессы, исполняемые компьютером в текущий момент време-ни, и для обнаружения таких процессов следует прибегнуть к специальным средствам, например, программе выявления троянских коней The Cleaner http://www.moosoft.com).

Другой, более изощренный метод сокрытия одних процессов за другими с помощью утилиты EliteWrap был описан в Главе 6. Однако наиболее изощренный метод сокрытия состоит в применении комплектов хакерских программ -"рукритов" - встраиваемых в ядро системы взамен подлинных.

«Рукриты»

Вообще говоря, «руткиты» - это широко распространенный метод хакинга сис-тем UNIX [3]. Наборы программ, также называемых «отмычками», после уста-новки в ядро системы модифицирую функции таких интересных процедур, как входная регистрация пользователей, после чего начинают перехват вводимых паролей. Полноценные «руткиты» включают в себя функции кейлоггера, снифе-ра, средства для очистки журналов регистрации и передачи собранных данных по сети, что позволяет хакеру осуществлять полномасштабный хакинг системы.

Для систем Windows NT/2000/XP также активно ведется разработка подобных наборов отмычек, и на сайте ROOTKIT СОМ (http://www.rootkit.com) предлагается для всеобщего рассмотрения и апробации целый ворох разнообразных "рукритов". Входящие в «руткиты» программы функционируют как перехват-чики обращений программ к функциям ядра операционной системы, что позво-ляет «руткитам» скрывать процессы и ключи системного реестра, перенаправлять вызовы системных процедур на хакерские программы и т.д.

В связи с этим очень интересен проект NTKap, в рамках которого создается про-грамма, очищающая все списки ACL системы защиты (помните, мы говорили об этом в Главе 4), делая компьютер открытым для любых манипуляций. Однако, судя по сообщениям на форумах этого же сайта, до полного успеха в деле созда-ния настоящего, полноценного «руткита» систем Windows NT/2000/XP пока еще далеко. Поэтому всем желающим проверить свои силы на сайте ROOTKIT COM предлагается загрузить исходные коды программного обеспечения «руткитов» и поработать над его усовершенствованием. Так что, если вас это заинтересовало...

Заключение

Сокрытие следов своей работы на компьютере и сохранение своей конфиденци-альности в Интернете - это непременное условие для успешной деятельности хакера без особых помех (по крайней мере, какое-то время). Так что не стоит пренебрегать мерами своей защиты, по крайней мере, до приобретения некото-рого опыта. Как показано в этой главе, обеспечение своей безопасности и кон-фиденциальности вовсе не так сложно, если твердо, раз и навсегда преодолеть ложное ощущение своей анонимности и недосягаемости во время пребывания в виртуальном киберпространстве, особенно на чужой территории. И перестаньте пользоваться домашними телефонами - не ройте яму самому себе! Ведь 50% (вдумайтесь - половина!) всех так называемых «хакеров» лезут в чужой огород с домашнего телефона - большего идиотизма трудно себе представить!

Для антихакера все эти соображения также имеют самое непосредственное зна-чение - пребывая в киберпространстве, очень просто вступить в конфликт с чу-жими интересами или с путаными и туманными законами разных стран, или по-пасть под пристальное внимание личностей самого разного рода занятий и на-клонностей [9]. Ведь недаром ныне на рынке программных продуктов все ак-тивнее предлагаются программы для защиты компьютерной конфиденциальности, например, Norton Personal Firewall, PGP Desktop Security и другие. Не стоит ими пренебрегать, если вы хотите комфортно чувствовать себя во время пребы-вания в виртуальном компьютерном мире, который ныне все больше и больше пересекается с нашим реальным, физически ощутимым миром.