ЗАХИСТИ СВОЮ "інфу"
Комп'ютерна безпека
м. Переславль-Залеський
2009р.
В даний час інформація є таким же необхідним ресурсом, як, наприклад, дерево, залізна руда, газ, нафта і т.д. і, тому її також необхідно захищати. Від чого захищати інформацію? Ось на це питання я і спробую відповісти у своїй книзі.
Інформація стала мати вартість, отже, вона повинна оброблятися, зберігатися і захищатися. Основним пристроєм обробки і зберігання інформації в сучасному світі є комп'ютер.
Комп'ютер застосовується практично у всіх сферах діяльності суспільства. Наприклад: освіта, управління виробництвом, проектування, охорону здоров'я, військова область.
Інформаційна безпека (ІБ) - це захищеність інформації та підтримує її інфраструктури від випадкових і навмисних впливів природного або випадкового характеру, які можуть завдати збитку власникам або користувачам інформації. Основною проблемою захисту інформації є в даний час проблема захисту від несанкціонованого доступу (далі ПДВ) до інформації в системах обробки інформації, побудованих не базі сучасних засобів ЕОМ - тобто КОМП'ЮТЕРА.
Ця книга заснована на інформації, якою зі мною поділилися друзі - сумлінні хакери - вони спрямовані не на заподіяння шкоди інформації, а, навпаки - для поліпшення її захисту.
Висловлюю щиру подяку всім, чиї статті опубліковані в цій книзі. Дякуємо за розуміння і за цікаву «інфу».
Всі хочуть захистити свій комп'ютер від несанкціонованих дій, різних шпигунів, вірусів і т.д. Цю проблему можна вирішити без зусиль! Але як правильно вибрати програму для захисту комп'ютерів, і який антивірус вибрати?! Для деяких це проблема.
Antikiller - Aleks
Частина I. Віруси і захист від них
Передмова
Антивірус потрібно ставити відомий, який вже набрав популярність, вони вже завоювали симпатії багатьох, і про них говорять тільки з позитивного боку, ніж молоді антивіруси. А яку програму обрати для захисту вашого комп'ютера від несанкціонованого доступу? запитаєте ви. Програма Agnitum Outpost Firewall Pro це найнадійніша програма. Вона визнана кращою в своєму роді в 2004 році. Більш хорошого варіанту поки не було.
Можливо, в найближчому майбутньому операційні системи будуть виходити з вбудованим антивірусом і програмою від несанкціонованого доступу.
До цього моменту я не знаю нікого, хто б прямо чи опосередковано не постраждав від дій комп'ютерних вірусів. Ну, звичайно, крім тих, у кого просто немає комп'ютера, хоча на сьогодні це велика рідкість. Антивірусні компанії багато хочуть за свої продукти, які так і не забезпечують належного захисту. Питається, навіщо взагалі тоді купувати антивірусне програмне забезпечення (далі ПЗ)? Все що створено людиною може бути знищено, це відноситься як до антивірусам, так і до вірусів. Людини обдурити набагато складніше, ніж програму.
Аналіз системи
Логічно, що для того щоб виявити і знешкодити шкідливу програму необхідно існування такої програми. Профілактика залишається профілактикою, про неї поговоримо далі, однак треба насамперед визначити чи є на комп'ютері взагалі віруси. Для кожного типу шкідливих програм відповідно є свої симптоми, які іноді видно неозброєним оком, іноді непомітні зовсім. Давайте подивимося, які взагалі бувають симптоми зараження. Плата початківців вірмейкеров за не вбиваємо процеси те, що при вимиканні або перезавантаження комп'ютера йде тривалий завершення якого-небудь процесу, або ж взагалі комп'ютер зависає при завершенні роботи. Думаю про процеси говорити не треба, а так само про папку автозавантаження, якщо там є щось незрозуміле або нове, то, можливо, це вірус, однак про це пізніше. Часта перезавантаження комп'ютера, виліт з інтернету, завершення антивірусних програм, недоступність сервера оновлення системи microsoft, недоступність сайтів антивірусних компаній, помилки при оновленні антивіруса, помилки викликані зміною структури платних програм, повідомлення windows, що виконувані файли пошкоджені, поява невідомих файлів в кореневому каталозі, це лише короткий перелік симптомів зараженої машини.
Отже, я думаю, настав час залишити цю песимістичну ноту і перейти до реалістичної практиці виявлення і деактивації шкідливого програмного забезпечення.
Виявлення на льоту
Насамперед ми навчимося виявляти і знищувати інтернет - хробаки. Принцип поширення таких хробаків досить простий - через знайдену вразливість в операційній системі. Якщо подумати головою, то можна зрозуміти, що основним способом закинути себе на вразливу машину є виклик ftp-сервера на цій машині. За статистикою вразливостей це сумно відомий tftp.exe (який, до речі, я жодного разу не використовував і думаю, що і створений він був, тільки, для вірусописьменників). Перший симптом таких хробаків це вихідний трафік і не тільки через DDoS атак; просто вірус, потрапляючи на машину, починає шукати іншу вразливою машини в мережі, тобто просто сканує діапазони IP-адрес. Далі все дуже просто, насамперед дивимося логи в журналі подій ОС (Панель управління -> Адміністрування-> Журнал подій). Нас цікавлять повідомлення про запущені службах і головне повідомлення про помилки. Вже як два роки черв'яки лізуть через помилку в DCOM сервері, тому будь-яка помилка, пов'язана з цим сервером вже є привід думати про наявність вірусу в системі. Щоб точно переконатись у наявності останнього, у звіті про помилку треба подивитися ім'я та права користувача допустив помилку. Якщо на цьому місці стоїть "користувач не визначений" або щось подібне то радійте, ви заражені! і вам доведеться читати далі.
Якщо діяти за логікою, а не по інстинкту, то першим справою ви повинні закрити діру в системі для подальших проникнень, а потім вже локалізувати віруси. Як я вже казав, такі віруси зазвичай лізуть через tftp.exe, тому просто видаляємо його з системи.
Для цього спочатку видаляємо його з архіву% WINDIR% Driver Cachedriver.cab потім з папок оновлення ОС, якщо такі є, після цього з% WINDIR% system32dllcache і вже потім просто з% WINDIR% system32.
Можливо, ОС скаже, що файли пошкоджені і попросить диск з дистрибутивом, не погоджуйтеся! А не те він відновиться і знову буде відкрита діра. Коли ви зробите цей крок можна приступати до локалізації вірусу. Подивитися які додатки використовують мережне підключення, допомагає маленька зручна програма TCPView, проте деякі черв'яки мають хороший алгоритм шифрування або гірше того, прикріплюються до процесів або маскуються під процеси. Найпоширеніший процес для маскування - це, безсумнівно, служба svhost.exe, в диспетчері завдань таких процесів кілька, а що саме вражаюче, можна створити програму з таким же ім'ям і тоді відрізнити, хто є хто, практично неможливо. Але шанс є, і залежить від уважності. Насамперед подивіться в диспетчері завдань (а краще в програмі Process Explorer) розробника програм. У svhost.exe це як не дивно MS, звичайно можна додати підроблену інформацію і в код вірусу, однак тут є пара нюансів. Перший і, напевно, головний полягає в тому, що добре написаний вірус не містить ні таблиці імпорту, ні секцій даних. Тому ресурсів у такого файлу немає, а, отже, записати в ресурси творця не можна. Або можна створити ресурс, однак тоді з'явиться зайвий обсяг файлу, що вкрай небажано вірмейкеру. Ще треба сказати про svhost.exe, це набір системних служб і кожна служба - це запущений файл з певними параметрами.
Відповідно в Панелі управління -> Адміністрування -> Служби, містяться всі файли служби svhost.exe, раджу підрахувати кількість працюючих служб і процесів svhost.exe, якщо не сходитися, то вже все зрозуміло (тільки не забудьте порівнювати кількість ПРАЦЮЮТЬ служб). Треба так само відзначити, що можливо і серед служб є вірус, на це можу сказати одне, список служб є і на MSDN і ще багато де в мережі, так що просто взяти і порівняти-проблеми не складе. Після таких ось дій ви зможете отримати ім'я файлу, який можливо є вірусом. Про те, як визначати безпосередньо вірус чи ні, я розповім трохи далі, а зараз відірвемося від міркувань і подивимося ще кілька моментів. Як ви, напевно, вже знаєте, для нормальної роботи ОС необхідно всього 5 файлів в кореневому каталозі, тому всі інші файли ви можете сміливо видаляти, якщо звичайно ви не примудряєтеся ставити програми в кореневий каталог. До речі файли для нормальної роботи, ось вони:
1. ntldr
2. boot.ini
3. pagefile.sys
4. Bootfont.bin
5. NTDETECT.COM
Більше нічого бути не повинно.
Це все було сказано про детектування простих черв'яків. Звичайно, обчислити хороший прихований вірус складно.
А тепер, саме час розповісти про віруси - шпигунів.
Почну я свою розповідь з найпоширеніших шпигунів. В одному відомому журналі, один хороший програміст правильно назвав їх «блохами ослика». Найпростіший шпигун дуже часто ховається за невинним на вигляд тулбаром. Знайте, що якщо у вас, раптом, звідки не візьмися, з'явилася нова кнопка або ж рядок пошуку в браузері, то вважайте, що за вами стежать. Вже дуже чітко видно, якщо у вас раптом змінилася стартова сторінка браузера, то вже і говорити нічого. Віруси, що змінюють стартові сторінки в браузері зовсім не обов'язково будуть шпигунами, однак, як правило, це так і, тому, дозвольте тут віднести їх до шпигунів. Як взагалі може пролізти шпигун в систему? Є кілька методів, як ви вже помітили мова йде про Internet Explorer, справа в тому, що найпоширеніший метод проникнення вірусу в систему через браузер - це саме за допомогою використання технології ActiveX. Так само замінити стартову сторінку, наприклад, можна простим Java-скриптом, розташованим на сторінці. Тим же javascript можна навіть закачувати файли та виконувати їх на уразливої системи. Банальний запуск програми нібито для перегляду картинок з платних сайтів певного напряму в 98% випадків містять шкідливе ПЗ. Для того, щоб знати, де шукати скажу, що існує три найпоширеніші способи, як шпигуни розташовуються і працюють на машині жертви.
Перший - це реєстр. Вірус може сидіти в автозавантаженні, а може і взагалі не бути присутнім на комп'ютері, але мета у нього одна - це замінити через реєстр стартову сторінку браузера. У випадку якщо вірус або ж скрипт, тільки одного разу замінив стартову сторінку, питань немає, - треба очистити цей ключ в реєстрі. Якщо ж після очищення, через деякий час ключ знову з'являється, то вірус запущений і постійно виробляє звернення до реєстру. Якщо ви маєте досвід роботи з відладчиками типу SoftIce то можете поставити точку зупинки на доступ до реєстру (bpx RegSetValue) і простежити, яка програма, крім стандартних, виробляє зверненні до реєстру.
Другий - це саме перехоплювачі системних подій, так звані хуки. Як правило, хуки використовуються більше в кейлоггерам, і являють собою бібліотеку, яка відстежує і по можливості змінює системні повідомлення. Звичайно є вже сама програма і прикріплена до неї бібліотека, тому досліджуючи головний модуль програми, ви нічого цікавого не отримаєте.
І, нарешті, третій спосіб це прикріплення своєї бібліотеки до стандартних програм ОС, таких як explorer.exe. Тут знову ж таки є пара способів, це прикріплення за допомогою BHO і просто впровадження своєї бібліотеки в виконуваний файл. Різниця в тому, що Browser Helper Object описано і запропоновано самою корпорацією MS, і використовується як плагін до браузера, а впровадження бібліотек - це вже не стільки плагін, скільки як самодостатня програма, що більше нагадує файловий вірус минулих років.
Отже, якщо у вас не все в порядку з цими ключами, і ви хочете розібратися далі, то дивимося далі.
Шукаємо краще
Перейдемо до наступного, знаходимо і вбиваємо тулбар. Як відомо вірмейкери женуться за мінімалізації і зашифрованность коду. Тобто жоден тулбар як правило не буде лежати у відкритому вигляді. По-перше код можна зменшити, а по-друге якщо хто небудь (частіше навіть не антивірус, а конкурент) виявить дану бібліотеку то йому незашифрований код легше зрозуміти. Тому беремо PEiD і виробляємо масове сканування імпортованих бібліотек. Бібліотеки від microsoft природно написані на visual C + + і, нічим не упаковані, тому якщо ми бачимо упаковану або зашифровану бібліотеку то 99% це те, що ми шукали. Перевірить вона це чи ні дуже просто, перемістіть в безпечному режимі її і подивіться результат. Якщо ви не знайшли все-таки упаковану бібліотеку, то корисно редактором ресурсів типу Restorator подивитися версії файлу, як я вже говорив у всіх бібліотек від MS там так і написано. Ось на таких справах проколюються вірмейкери. Соромно повинно бути їм взагалі писати такі віруси. Наостанок хочу ще зауважити, що бібліотека *. dll не обов'язково може впроваджуватися в процеси. В ОС Windows є таке корисний додаток, як rundll32.exe, і можна запускати за допомогою цього процесу будь-яку бібліотеку. І при цьому не обов'язково в автозавантаженні писати rundll32.exe myspy.dll, досить прописати це всередині зараженого файлу. Тоді ви будете бачити тільки свої заражені файли, які малоймовірно будуть детектуватиметься антивірусом, і процес rundll32.exe, і більше нічого. Як бути в таких випадках? Тут вже доведеться заглиблюватися в структуру файлу і ОС. Shturmovik www.gh0sts.org
Частина II. Внутрішня безпека: антивіруси
Незважаючи на те, що міжмережеві екрани успішно блокують ряд вірусів, зондирующих мережеві порти, і затримують деякі спроби їх масового саморозмноження по електронній пошті, в системі все одно необхідний антивірусний сканер, який би зупиняв більшість інфекцій, що потрапляють у комп'ютер через електронну пошту і файли, завантажувані з інтернету. Знешкодити цю інфекцію може тільки антивірусний сканер. Крім сканерів, що входять до складу описаних вище пакетів щодо забезпечення безпеки, ми розглянули два самостійних продукту: Grisoft AVG Anti-Virus Professional і Eset NOD32.
Всі ці продукти відповідають мінімальним вимогам по "вилову" основних зловмисних програм, що зустрічаються в інтернеті - тих, що хоча б двічі згадуються членами WildList Organization (www.wildlist.com), всесвітнім товариством розробників антивірусних програм. Адже далеко не кожним вірусом дійсно можна заразитися через Мережу: з приблизно 100000 існуючих вірусів в даний час всього близько 250 зустрічаються в "дикому" інтернеті; інші існують тільки в "лабораторних" умовах. Виявилося, що якість роботи різних сканерів чутливо залежить від типу вірусів. Наприклад, всі відібрані для огляду продукти добре справляються з вірусами і черв'яками, що діють в 32-розрядної середовищі Windows - найбільш розповсюдженим сьогодні типом мережевий "інфекції". У цьому випадку якість розпізнавання дуже високо - від 90,4 до 100%.
Однак з троянськими програмами, які поширюються не самі по собі, а за допомогою інших програм, в тому числі вірусів і "хробаків", справа йде гірше: якщо сканери McAfee і Norton затримують відповідно 99% і 95% "троянців", то AVG - всього 23,5%, що навряд чи можна вважати достатнім захистом. Крім того, троянські програми не включаються до списку WildList, чому за ними важче стежити. Нарешті, дуже бажано, щоб антивірусний сканер не піднімав помилкову тривогу, підозрюючи в наявності вірусу звичайні файли. У цьому сенсі краще всього йдуть справи у PC-cillin, де тест пройшов без помилкових спрацьовувань; на іншому кінці шкали - Eset NOD32, з 32 з 20000 файлів. Звичайно, це настільки мало, що навіть не варто перераховувати у відсотках, а й одного такого випадку достатньо, якщо в результаті замість вірусу буде видалено потрібний файл.
Що робити з новими "мікробами"?
У своїй роботі антивірусні сканери спираються в основному на точну відповідність відомим зловмисним програмами, сигнатури яких зберігаються в базі даних. Втім, іноді вони "ловлять" і нові віруси, яких в базі немає, використовуючи евристичні алгоритми. Строго кажучи, слово "евристичний" тут означає можливість ідентифікувати невідомий вірус на підставі якихось характерних ознак - наприклад, коду, що використовує відому "дірку" в операційній системі або додатку. На практиці в евристичних алгоритмах пошуку вірусів використовуються різні "нечіткі" схеми розпізнавання нових модифікацій уже відомих вірусів з використанням їх загальних ознак - наприклад, знаючи ознаки вірусу Netsky.gen, можна "відловити" його нові варіанти на зразок Netsky.R.
Комп'ютерна безпека
м. Переславль-Залеський
2009р.
В даний час інформація є таким же необхідним ресурсом, як, наприклад, дерево, залізна руда, газ, нафта і т.д. і, тому її також необхідно захищати. Від чого захищати інформацію? Ось на це питання я і спробую відповісти у своїй книзі.
Інформація стала мати вартість, отже, вона повинна оброблятися, зберігатися і захищатися. Основним пристроєм обробки і зберігання інформації в сучасному світі є комп'ютер.
Комп'ютер застосовується практично у всіх сферах діяльності суспільства. Наприклад: освіта, управління виробництвом, проектування, охорону здоров'я, військова область.
Інформаційна безпека (ІБ) - це захищеність інформації та підтримує її інфраструктури від випадкових і навмисних впливів природного або випадкового характеру, які можуть завдати збитку власникам або користувачам інформації. Основною проблемою захисту інформації є в даний час проблема захисту від несанкціонованого доступу (далі ПДВ) до інформації в системах обробки інформації, побудованих не базі сучасних засобів ЕОМ - тобто КОМП'ЮТЕРА.
Ця книга заснована на інформації, якою зі мною поділилися друзі - сумлінні хакери - вони спрямовані не на заподіяння шкоди інформації, а, навпаки - для поліпшення її захисту.
Висловлюю щиру подяку всім, чиї статті опубліковані в цій книзі. Дякуємо за розуміння і за цікаву «інфу».
Всі хочуть захистити свій комп'ютер від несанкціонованих дій, різних шпигунів, вірусів і т.д. Цю проблему можна вирішити без зусиль! Але як правильно вибрати програму для захисту комп'ютерів, і який антивірус вибрати?! Для деяких це проблема.
Antikiller - Aleks
Частина I. Віруси і захист від них
Передмова
Антивірус потрібно ставити відомий, який вже набрав популярність, вони вже завоювали симпатії багатьох, і про них говорять тільки з позитивного боку, ніж молоді антивіруси. А яку програму обрати для захисту вашого комп'ютера від несанкціонованого доступу? запитаєте ви. Програма Agnitum Outpost Firewall Pro це найнадійніша програма. Вона визнана кращою в своєму роді в 2004 році. Більш хорошого варіанту поки не було.
Можливо, в найближчому майбутньому операційні системи будуть виходити з вбудованим антивірусом і програмою від несанкціонованого доступу.
До цього моменту я не знаю нікого, хто б прямо чи опосередковано не постраждав від дій комп'ютерних вірусів. Ну, звичайно, крім тих, у кого просто немає комп'ютера, хоча на сьогодні це велика рідкість. Антивірусні компанії багато хочуть за свої продукти, які так і не забезпечують належного захисту. Питається, навіщо взагалі тоді купувати антивірусне програмне забезпечення (далі ПЗ)? Все що створено людиною може бути знищено, це відноситься як до антивірусам, так і до вірусів. Людини обдурити набагато складніше, ніж програму.
Аналіз системи
Логічно, що для того щоб виявити і знешкодити шкідливу програму необхідно існування такої програми. Профілактика залишається профілактикою, про неї поговоримо далі, однак треба насамперед визначити чи є на комп'ютері взагалі віруси. Для кожного типу шкідливих програм відповідно є свої симптоми, які іноді видно неозброєним оком, іноді непомітні зовсім. Давайте подивимося, які взагалі бувають симптоми зараження. Плата початківців вірмейкеров за не вбиваємо процеси те, що при вимиканні або перезавантаження комп'ютера йде тривалий завершення якого-небудь процесу, або ж взагалі комп'ютер зависає при завершенні роботи. Думаю про процеси говорити не треба, а так само про папку автозавантаження, якщо там є щось незрозуміле або нове, то, можливо, це вірус, однак про це пізніше. Часта перезавантаження комп'ютера, виліт з інтернету, завершення антивірусних програм, недоступність сервера оновлення системи microsoft, недоступність сайтів антивірусних компаній, помилки при оновленні антивіруса, помилки викликані зміною структури платних програм, повідомлення windows, що виконувані файли пошкоджені, поява невідомих файлів в кореневому каталозі, це лише короткий перелік симптомів зараженої машини.
Отже, я думаю, настав час залишити цю песимістичну ноту і перейти до реалістичної практиці виявлення і деактивації шкідливого програмного забезпечення.
Виявлення на льоту
Насамперед ми навчимося виявляти і знищувати інтернет - хробаки. Принцип поширення таких хробаків досить простий - через знайдену вразливість в операційній системі. Якщо подумати головою, то можна зрозуміти, що основним способом закинути себе на вразливу машину є виклик ftp-сервера на цій машині. За статистикою вразливостей це сумно відомий tftp.exe (який, до речі, я жодного разу не використовував і думаю, що і створений він був, тільки, для вірусописьменників). Перший симптом таких хробаків це вихідний трафік і не тільки через DDoS атак; просто вірус, потрапляючи на машину, починає шукати іншу вразливою машини в мережі, тобто просто сканує діапазони IP-адрес. Далі все дуже просто, насамперед дивимося логи в журналі подій ОС (Панель управління -> Адміністрування-> Журнал подій). Нас цікавлять повідомлення про запущені службах і головне повідомлення про помилки. Вже як два роки черв'яки лізуть через помилку в DCOM сервері, тому будь-яка помилка, пов'язана з цим сервером вже є привід думати про наявність вірусу в системі. Щоб точно переконатись у наявності останнього, у звіті про помилку треба подивитися ім'я та права користувача допустив помилку. Якщо на цьому місці стоїть "користувач не визначений" або щось подібне то радійте, ви заражені! і вам доведеться читати далі.
Якщо діяти за логікою, а не по інстинкту, то першим справою ви повинні закрити діру в системі для подальших проникнень, а потім вже локалізувати віруси. Як я вже казав, такі віруси зазвичай лізуть через tftp.exe, тому просто видаляємо його з системи.
Для цього спочатку видаляємо його з архіву% WINDIR% Driver Cachedriver.cab потім з папок оновлення ОС, якщо такі є, після цього з% WINDIR% system32dllcache і вже потім просто з% WINDIR% system32.
Можливо, ОС скаже, що файли пошкоджені і попросить диск з дистрибутивом, не погоджуйтеся! А не те він відновиться і знову буде відкрита діра. Коли ви зробите цей крок можна приступати до локалізації вірусу. Подивитися які додатки використовують мережне підключення, допомагає маленька зручна програма TCPView, проте деякі черв'яки мають хороший алгоритм шифрування або гірше того, прикріплюються до процесів або маскуються під процеси. Найпоширеніший процес для маскування - це, безсумнівно, служба svhost.exe, в диспетчері завдань таких процесів кілька, а що саме вражаюче, можна створити програму з таким же ім'ям і тоді відрізнити, хто є хто, практично неможливо. Але шанс є, і залежить від уважності. Насамперед подивіться в диспетчері завдань (а краще в програмі Process Explorer) розробника програм. У svhost.exe це як не дивно MS, звичайно можна додати підроблену інформацію і в код вірусу, однак тут є пара нюансів. Перший і, напевно, головний полягає в тому, що добре написаний вірус не містить ні таблиці імпорту, ні секцій даних. Тому ресурсів у такого файлу немає, а, отже, записати в ресурси творця не можна. Або можна створити ресурс, однак тоді з'явиться зайвий обсяг файлу, що вкрай небажано вірмейкеру. Ще треба сказати про svhost.exe, це набір системних служб і кожна служба - це запущений файл з певними параметрами.
Відповідно в Панелі управління -> Адміністрування -> Служби, містяться всі файли служби svhost.exe, раджу підрахувати кількість працюючих служб і процесів svhost.exe, якщо не сходитися, то вже все зрозуміло (тільки не забудьте порівнювати кількість ПРАЦЮЮТЬ служб). Треба так само відзначити, що можливо і серед служб є вірус, на це можу сказати одне, список служб є і на MSDN і ще багато де в мережі, так що просто взяти і порівняти-проблеми не складе. Після таких ось дій ви зможете отримати ім'я файлу, який можливо є вірусом. Про те, як визначати безпосередньо вірус чи ні, я розповім трохи далі, а зараз відірвемося від міркувань і подивимося ще кілька моментів. Як ви, напевно, вже знаєте, для нормальної роботи ОС необхідно всього 5 файлів в кореневому каталозі, тому всі інші файли ви можете сміливо видаляти, якщо звичайно ви не примудряєтеся ставити програми в кореневий каталог. До речі файли для нормальної роботи, ось вони:
1. ntldr
2. boot.ini
3. pagefile.sys
4. Bootfont.bin
5. NTDETECT.COM
Більше нічого бути не повинно.
Це все було сказано про детектування простих черв'яків. Звичайно, обчислити хороший прихований вірус складно.
А тепер, саме час розповісти про віруси - шпигунів.
Почну я свою розповідь з найпоширеніших шпигунів. В одному відомому журналі, один хороший програміст правильно назвав їх «блохами ослика». Найпростіший шпигун дуже часто ховається за невинним на вигляд тулбаром. Знайте, що якщо у вас, раптом, звідки не візьмися, з'явилася нова кнопка або ж рядок пошуку в браузері, то вважайте, що за вами стежать. Вже дуже чітко видно, якщо у вас раптом змінилася стартова сторінка браузера, то вже і говорити нічого. Віруси, що змінюють стартові сторінки в браузері зовсім не обов'язково будуть шпигунами, однак, як правило, це так і, тому, дозвольте тут віднести їх до шпигунів. Як взагалі може пролізти шпигун в систему? Є кілька методів, як ви вже помітили мова йде про Internet Explorer, справа в тому, що найпоширеніший метод проникнення вірусу в систему через браузер - це саме за допомогою використання технології ActiveX. Так само замінити стартову сторінку, наприклад, можна простим Java-скриптом, розташованим на сторінці. Тим же javascript можна навіть закачувати файли та виконувати їх на уразливої системи. Банальний запуск програми нібито для перегляду картинок з платних сайтів певного напряму в 98% випадків містять шкідливе ПЗ. Для того, щоб знати, де шукати скажу, що існує три найпоширеніші способи, як шпигуни розташовуються і працюють на машині жертви.
Перший - це реєстр. Вірус може сидіти в автозавантаженні, а може і взагалі не бути присутнім на комп'ютері, але мета у нього одна - це замінити через реєстр стартову сторінку браузера. У випадку якщо вірус або ж скрипт, тільки одного разу замінив стартову сторінку, питань немає, - треба очистити цей ключ в реєстрі. Якщо ж після очищення, через деякий час ключ знову з'являється, то вірус запущений і постійно виробляє звернення до реєстру. Якщо ви маєте досвід роботи з відладчиками типу SoftIce то можете поставити точку зупинки на доступ до реєстру (bpx RegSetValue) і простежити, яка програма, крім стандартних, виробляє зверненні до реєстру.
Другий - це саме перехоплювачі системних подій, так звані хуки. Як правило, хуки використовуються більше в кейлоггерам, і являють собою бібліотеку, яка відстежує і по можливості змінює системні повідомлення. Звичайно є вже сама програма і прикріплена до неї бібліотека, тому досліджуючи головний модуль програми, ви нічого цікавого не отримаєте.
І, нарешті, третій спосіб це прикріплення своєї бібліотеки до стандартних програм ОС, таких як explorer.exe. Тут знову ж таки є пара способів, це прикріплення за допомогою BHO і просто впровадження своєї бібліотеки в виконуваний файл. Різниця в тому, що Browser Helper Object описано і запропоновано самою корпорацією MS, і використовується як плагін до браузера, а впровадження бібліотек - це вже не стільки плагін, скільки як самодостатня програма, що більше нагадує файловий вірус минулих років.
Отже, якщо у вас не все в порядку з цими ключами, і ви хочете розібратися далі, то дивимося далі.
Шукаємо краще
Перейдемо до наступного, знаходимо і вбиваємо тулбар. Як відомо вірмейкери женуться за мінімалізації і зашифрованность коду. Тобто жоден тулбар як правило не буде лежати у відкритому вигляді. По-перше код можна зменшити, а по-друге якщо хто небудь (частіше навіть не антивірус, а конкурент) виявить дану бібліотеку то йому незашифрований код легше зрозуміти. Тому беремо PEiD і виробляємо масове сканування імпортованих бібліотек. Бібліотеки від microsoft природно написані на visual C + + і, нічим не упаковані, тому якщо ми бачимо упаковану або зашифровану бібліотеку то 99% це те, що ми шукали. Перевірить вона це чи ні дуже просто, перемістіть в безпечному режимі її і подивіться результат. Якщо ви не знайшли все-таки упаковану бібліотеку, то корисно редактором ресурсів типу Restorator подивитися версії файлу, як я вже говорив у всіх бібліотек від MS там так і написано. Ось на таких справах проколюються вірмейкери. Соромно повинно бути їм взагалі писати такі віруси. Наостанок хочу ще зауважити, що бібліотека *. dll не обов'язково може впроваджуватися в процеси. В ОС Windows є таке корисний додаток, як rundll32.exe, і можна запускати за допомогою цього процесу будь-яку бібліотеку. І при цьому не обов'язково в автозавантаженні писати rundll32.exe myspy.dll, досить прописати це всередині зараженого файлу. Тоді ви будете бачити тільки свої заражені файли, які малоймовірно будуть детектуватиметься антивірусом, і процес rundll32.exe, і більше нічого. Як бути в таких випадках? Тут вже доведеться заглиблюватися в структуру файлу і ОС. Shturmovik www.gh0sts.org
Частина II. Внутрішня безпека: антивіруси
Незважаючи на те, що міжмережеві екрани успішно блокують ряд вірусів, зондирующих мережеві порти, і затримують деякі спроби їх масового саморозмноження по електронній пошті, в системі все одно необхідний антивірусний сканер, який би зупиняв більшість інфекцій, що потрапляють у комп'ютер через електронну пошту і файли, завантажувані з інтернету. Знешкодити цю інфекцію може тільки антивірусний сканер. Крім сканерів, що входять до складу описаних вище пакетів щодо забезпечення безпеки, ми розглянули два самостійних продукту: Grisoft AVG Anti-Virus Professional і Eset NOD32.
Всі ці продукти відповідають мінімальним вимогам по "вилову" основних зловмисних програм, що зустрічаються в інтернеті - тих, що хоча б двічі згадуються членами WildList Organization (www.wildlist.com), всесвітнім товариством розробників антивірусних програм. Адже далеко не кожним вірусом дійсно можна заразитися через Мережу: з приблизно 100000 існуючих вірусів в даний час всього близько 250 зустрічаються в "дикому" інтернеті; інші існують тільки в "лабораторних" умовах. Виявилося, що якість роботи різних сканерів чутливо залежить від типу вірусів. Наприклад, всі відібрані для огляду продукти добре справляються з вірусами і черв'яками, що діють в 32-розрядної середовищі Windows - найбільш розповсюдженим сьогодні типом мережевий "інфекції". У цьому випадку якість розпізнавання дуже високо - від 90,4 до 100%.
Однак з троянськими програмами, які поширюються не самі по собі, а за допомогою інших програм, в тому числі вірусів і "хробаків", справа йде гірше: якщо сканери McAfee і Norton затримують відповідно 99% і 95% "троянців", то AVG - всього 23,5%, що навряд чи можна вважати достатнім захистом. Крім того, троянські програми не включаються до списку WildList, чому за ними важче стежити. Нарешті, дуже бажано, щоб антивірусний сканер не піднімав помилкову тривогу, підозрюючи в наявності вірусу звичайні файли. У цьому сенсі краще всього йдуть справи у PC-cillin, де тест пройшов без помилкових спрацьовувань; на іншому кінці шкали - Eset NOD32, з 32 з 20000 файлів. Звичайно, це настільки мало, що навіть не варто перераховувати у відсотках, а й одного такого випадку достатньо, якщо в результаті замість вірусу буде видалено потрібний файл.
Що робити з новими "мікробами"?
У своїй роботі антивірусні сканери спираються в основному на точну відповідність відомим зловмисним програмами, сигнатури яких зберігаються в базі даних. Втім, іноді вони "ловлять" і нові віруси, яких в базі немає, використовуючи евристичні алгоритми. Строго кажучи, слово "евристичний" тут означає можливість ідентифікувати невідомий вірус на підставі якихось характерних ознак - наприклад, коду, що використовує відому "дірку" в операційній системі або додатку. На практиці в евристичних алгоритмах пошуку вірусів використовуються різні "нечіткі" схеми розпізнавання нових модифікацій уже відомих вірусів з використанням їх загальних ознак - наприклад, знаючи ознаки вірусу Netsky.gen, можна "відловити" його нові варіанти на зразок Netsky.R.
За даними тестів, з розглянутих програм найвдалішими евристичними володіють McAfee і AVG, що ідентифікують 70,1% і 65,6% файлів, заражених невідомими вірусами; найгірший результат виявився у NOD32 - 41,4%. І в будь-якому випадку, це набагато менше і повільніше, ніж при розпізнаванні відомих вірусів, так що основним засобом своєчасного лікування, як і раніше залишається регулярне оновлення антивірусних баз. Всі програми тестувалися в режимі максимально ретельного сканування. Особый случай представлял собой NOD32: в этой программе предусмотрен повышенный по сравнению с жестким диском уровень эвристического сканирования Advanced Heuristics для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных. Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков - например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin - инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее всех выполняет полное сканирование жесткого диска - проверка диска со скоростью вращения 5400 об/мин, данные на котором занимают 575 Мб, на компьютере с Windows XP, Pentium III 800 МГц, 256 Мб RAM, длится около 12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с. (Правда, Norton лучше распознает вирусы.) Следующим по скорости после NOD32 был сканер Panda, справившийся с задачей немногим более чем за 2,5 мин. Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004: эта программа отличается не только качественным сканированием и разумной ценой, но также логичным и понятным интерфейсом.
Часть III . Защитите Ваш компьютер от нового вируса «Beagle»
Если в последние дни вами было получено электронное сообщение от известного вам человека с темой “Hi!” и словом “test” в теле письма - то добро пожаловать в бесконечный мир компьютерных вирусов!
Вы только что столкнулись с первым вирусом, выпущенным в этом году. Вирус называется «Beagle» или «Bagle» и быстро распространяется по всему миру. Пользователей в США ждет настоящая вспышка во вторник 20 января 2004 года, так как в понедельник все учреждения в США были закрыты из-за праздника, посвященного Мартину Лютеру Кингу младшему.
К письму прикреплен файл формата *.exe с произвольным именем, который обозначен той же самой пиктограммой, что и калькулятор Windows. При запуске этого файла начинает действовать программа сбора адресов электронной почты, которая собирает адреса из каждого файла на вашем компьютере и компьютерах, связанных с ним через локальную сеть. Коды данного червя также содержат программу «proxy» сервера электронной почты, которая позволяет сделать ваш компьютер центром рассылки спам-сообщений. Чтобы запутать пользователя при открытии данного файла запускается калькулятор Windows.
Текст сообщения, зараженного вирусом, выглядит следующим образом:
Test =)
(произвольный набор знаков)
-
Test, yep.
Похоже, что этот червь также запрограммирован отправлять информацию о всех зараженных компьютерах на адреса веб-сайтов Германии, еще не запущенных до настоящего момента.
Собранные адреса электронной почты скорее всего будут использованы для рассылки спама и продажи другим спамерам. Это означает, что вирус “Beagle” является творением спамеров. Также как и вирус “Sobig”, этот вирус снабжен датой окончания действия. Он запрограммирован на деактивацию 28 января. Многие эксперты предполагают, что позднее может появиться более опасная версия вируса.
Network Associates перевела систему оповещения о состоянии возможности заражения с «низкого» уровня на «средний», поскольку появляется все больше домашних компьютеров, зараженных «Beagle». После мощных вирусных атак прошлого года большинство компаний обновили системы защиты и обезопасили себя от подобного типа вирусов. Однако домашние пользователи все еще находятся в опасности, так как многие из них до сих пор не установили антивирусные программы, либо не обновляют их регулярно.
Ущерб, нанесенный атаками компьютерных вирусов в 2003 году, обошелся коммерческим организациям во всем мире примерно в 55 миллиардов долларов США. По различным оценкам в 2002 году от атак вирусов компании потеряли в среднем от 20 до 30 миллиардов долларов США, а в 2001 году - до 13 миллиардов.
По прогнозам экспертов финансовый ущерб, вызванный атаками различных вирусов 2004 года, повысится в значительной степени.
Вот несколько советов для защиты вашего компьютера от “Beagle” и ему подобных вирусов.
Будьте пильні! Не открывайте письмо, которое выглядит подозрительно! Успех вирусов, которые распространяются через электронную почту, полностью зависит от невежества и любопытства неопытных пользователей.
Обновляйте Windows! Загрузите новейшие программы-«заплатки» по безопасности для вашей версии Windows и установите их.
Если у вас еще нет антивирусной программы, установите ее! Это стоит потраченных денег! Обновляйте вашу антивирусную программу.
Компании производящие антивирусное ПО, постоянно добавляют новые компоненты к своим программам для расширения их возможностей. Вы должны регулярно обновлять ваш антивирус, чтобы быть уверенным, что у вас есть самая последняя версия, способная бороться с недавно выпущенными вирусами.
Если вы подозреваете, что ваш компьютер уже заражен, найдите файл bbeagle.exe на вашем компьютере.
Этот файл маскируется иконкой калькулятора Microsoft. Вы должны немедленно удалить этот файл.
Часть IV . БИОС
В последнее время стало модно лепить пароли «куда не попадя», начиная с дверей подъездов, заканчивая архивами с весёлыми картинками. Ну, взлом архивов это не моя область, а про искусство подбора паролей к дверям я поведаю тебе как-нибудь потом. А в этой статье ты узнаешь, как можно проникнуть в систему, защищённую паролем на БИОСе.
Зачем мне это?
Ниже перечисленные методы, которые помогут тебе при кривости рук или временного отсутствия собственных мозгов, ведь никто из нас не застрахован от похмелья и склероза.
Метод первый. Грубая сила
Значит так: бери из кладовки молоток и со всей силы бей по корпусу компьютера. Стой, стой! Я же пошутил!
Но в кладовку тебе вернуться придётся, на этот раз за отвёрткой. Теперь медленно подкрадись к попе своего железного друга и открути два (или сколько у тебя там) шурупа от правой стенки корпуса. Затем отодвинь крышку и засунь в корпус свою голову. Маму видно? Нет, я понимаю, что ты уже вспомнил всех своих (да и моих наверно) родственников, но я имел в виду материнскую плату. Видно, вот и отлично!
Пробирайся через сплетения шлейфов, бутылки из-под пива и остатки прошлогодней жвачки как можно ближе.
Теперь ты должен обнаружить чип того-самого злополучного Бивиса, обычно он расположен ближе к краю материки и при свете переливается, как новогодняя ёлка. Поймал, вот он - источник всех твоих бед, но убивать мы его не станем, по крайней мере, полностью.
Где-то рядом с этим чипиком должна находиться литиевая батарейка, с ней тебе и предстоит манипулировать.
Осторожно тащи её на себя. Всё, операция практически завершена. Подожди около часа, можешь пока сбегать в магазин за новой батарейкой, хуже не будет, и вставляй её на место. Запускайся, никакой таблички больше быть не должно.
Более быстрый, но и более геморройный и опасный способ: Рядом с батарейкой должна быть перемычка, пинцетом или ещё чем вытаскивай её и ставь в другую позицию на соседние штырьки. Загружайся, ребутись, отрубай компьютер. Ставь перемычку на старое место. Ось і все. По поводу опасности: ты просто рискуешь спалить мамку, наигравшись не с той перемычкой, но риск - дело благородное! Кстати, прежде чем колдовать с батарейкой и перемычками советую тебе почитать документацию к материнской плате, и то, что нужно найдёшь быстрее, и пальцы, куда не надо совать не будешь!
Метод второй. Брутфорс
У описанного выше метода есть два известных мне недостатка. Первый и самый значительный недостаток состоит в том, что сбрасывая БИОС, кроме пароля ты сбрасываешь ещё и все старые настройки, которые потом снова придётся восстанавливать.
Собственно, второй способ взлома заключатся в банальном переборе заводских паролей.
Вот эти пароли:
For Award Bios:
For Ami Bios:
Метод третий
Может сложиться так, что тебе необходимо попасть не в компьютер, а в Bios Setup. Немає нічого простішого. Грузишься в чистом Досе, в каталоге МАСТДАЙ Command ищешь и запускаешь файл DEBUG.EXE и в появившемся окне вбиваешь следующие строки:
-o 70 17
-o 71 17
-q
БИОС снова девственно чист, а жизнь великолепна!
Award Bioc Hack
Довідкова інформація:
alekssoft-z@mail.ru
http://alekssoft-z.ucoz.ru
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных. Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков - например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin - инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее всех выполняет полное сканирование жесткого диска - проверка диска со скоростью вращения 5400 об/мин, данные на котором занимают 575 Мб, на компьютере с Windows XP, Pentium III 800 МГц, 256 Мб RAM, длится около 12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с. (Правда, Norton лучше распознает вирусы.) Следующим по скорости после NOD32 был сканер Panda, справившийся с задачей немногим более чем за 2,5 мин. Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004: эта программа отличается не только качественным сканированием и разумной ценой, но также логичным и понятным интерфейсом.
Часть III . Защитите Ваш компьютер от нового вируса «Beagle»
Если в последние дни вами было получено электронное сообщение от известного вам человека с темой “Hi!” и словом “test” в теле письма - то добро пожаловать в бесконечный мир компьютерных вирусов!
Вы только что столкнулись с первым вирусом, выпущенным в этом году. Вирус называется «Beagle» или «Bagle» и быстро распространяется по всему миру. Пользователей в США ждет настоящая вспышка во вторник 20 января 2004 года, так как в понедельник все учреждения в США были закрыты из-за праздника, посвященного Мартину Лютеру Кингу младшему.
К письму прикреплен файл формата *.exe с произвольным именем, который обозначен той же самой пиктограммой, что и калькулятор Windows. При запуске этого файла начинает действовать программа сбора адресов электронной почты, которая собирает адреса из каждого файла на вашем компьютере и компьютерах, связанных с ним через локальную сеть. Коды данного червя также содержат программу «proxy» сервера электронной почты, которая позволяет сделать ваш компьютер центром рассылки спам-сообщений. Чтобы запутать пользователя при открытии данного файла запускается калькулятор Windows.
Текст сообщения, зараженного вирусом, выглядит следующим образом:
Test =)
(произвольный набор знаков)
-
Test, yep.
Похоже, что этот червь также запрограммирован отправлять информацию о всех зараженных компьютерах на адреса веб-сайтов Германии, еще не запущенных до настоящего момента.
Собранные адреса электронной почты скорее всего будут использованы для рассылки спама и продажи другим спамерам. Это означает, что вирус “Beagle” является творением спамеров. Также как и вирус “Sobig”, этот вирус снабжен датой окончания действия. Он запрограммирован на деактивацию 28 января. Многие эксперты предполагают, что позднее может появиться более опасная версия вируса.
Network Associates перевела систему оповещения о состоянии возможности заражения с «низкого» уровня на «средний», поскольку появляется все больше домашних компьютеров, зараженных «Beagle». После мощных вирусных атак прошлого года большинство компаний обновили системы защиты и обезопасили себя от подобного типа вирусов. Однако домашние пользователи все еще находятся в опасности, так как многие из них до сих пор не установили антивирусные программы, либо не обновляют их регулярно.
Ущерб, нанесенный атаками компьютерных вирусов в 2003 году, обошелся коммерческим организациям во всем мире примерно в 55 миллиардов долларов США. По различным оценкам в 2002 году от атак вирусов компании потеряли в среднем от 20 до 30 миллиардов долларов США, а в 2001 году - до 13 миллиардов.
По прогнозам экспертов финансовый ущерб, вызванный атаками различных вирусов 2004 года, повысится в значительной степени.
Вот несколько советов для защиты вашего компьютера от “Beagle” и ему подобных вирусов.
Будьте пильні! Не открывайте письмо, которое выглядит подозрительно! Успех вирусов, которые распространяются через электронную почту, полностью зависит от невежества и любопытства неопытных пользователей.
Обновляйте Windows! Загрузите новейшие программы-«заплатки» по безопасности для вашей версии Windows и установите их.
Если у вас еще нет антивирусной программы, установите ее! Это стоит потраченных денег! Обновляйте вашу антивирусную программу.
Компании производящие антивирусное ПО, постоянно добавляют новые компоненты к своим программам для расширения их возможностей. Вы должны регулярно обновлять ваш антивирус, чтобы быть уверенным, что у вас есть самая последняя версия, способная бороться с недавно выпущенными вирусами.
Если вы подозреваете, что ваш компьютер уже заражен, найдите файл bbeagle.exe на вашем компьютере.
Этот файл маскируется иконкой калькулятора Microsoft. Вы должны немедленно удалить этот файл.
Часть IV . БИОС
В последнее время стало модно лепить пароли «куда не попадя», начиная с дверей подъездов, заканчивая архивами с весёлыми картинками. Ну, взлом архивов это не моя область, а про искусство подбора паролей к дверям я поведаю тебе как-нибудь потом. А в этой статье ты узнаешь, как можно проникнуть в систему, защищённую паролем на БИОСе.
Зачем мне это?
Ниже перечисленные методы, которые помогут тебе при кривости рук или временного отсутствия собственных мозгов, ведь никто из нас не застрахован от похмелья и склероза.
Метод первый. Грубая сила
Значит так: бери из кладовки молоток и со всей силы бей по корпусу компьютера. Стой, стой! Я же пошутил!
Но в кладовку тебе вернуться придётся, на этот раз за отвёрткой. Теперь медленно подкрадись к попе своего железного друга и открути два (или сколько у тебя там) шурупа от правой стенки корпуса. Затем отодвинь крышку и засунь в корпус свою голову. Маму видно? Нет, я понимаю, что ты уже вспомнил всех своих (да и моих наверно) родственников, но я имел в виду материнскую плату. Видно, вот и отлично!
Пробирайся через сплетения шлейфов, бутылки из-под пива и остатки прошлогодней жвачки как можно ближе.
Теперь ты должен обнаружить чип того-самого злополучного Бивиса, обычно он расположен ближе к краю материки и при свете переливается, как новогодняя ёлка. Поймал, вот он - источник всех твоих бед, но убивать мы его не станем, по крайней мере, полностью.
Где-то рядом с этим чипиком должна находиться литиевая батарейка, с ней тебе и предстоит манипулировать.
Осторожно тащи её на себя. Всё, операция практически завершена. Подожди около часа, можешь пока сбегать в магазин за новой батарейкой, хуже не будет, и вставляй её на место. Запускайся, никакой таблички больше быть не должно.
Более быстрый, но и более геморройный и опасный способ: Рядом с батарейкой должна быть перемычка, пинцетом или ещё чем вытаскивай её и ставь в другую позицию на соседние штырьки. Загружайся, ребутись, отрубай компьютер. Ставь перемычку на старое место. Ось і все. По поводу опасности: ты просто рискуешь спалить мамку, наигравшись не с той перемычкой, но риск - дело благородное! Кстати, прежде чем колдовать с батарейкой и перемычками советую тебе почитать документацию к материнской плате, и то, что нужно найдёшь быстрее, и пальцы, куда не надо совать не будешь!
Метод второй. Брутфорс
У описанного выше метода есть два известных мне недостатка. Первый и самый значительный недостаток состоит в том, что сбрасывая БИОС, кроме пароля ты сбрасываешь ещё и все старые настройки, которые потом снова придётся восстанавливать.
Собственно, второй способ взлома заключатся в банальном переборе заводских паролей.
Вот эти пароли:
For Award Bios:
| AWARD?SW AWARD SW |
| AWARD_SW AWARD_WG |
| AWARD_PW BIOSTAR |
| CONCAT CONDO |
| HELGA-S 2.51G |
| 2.51U HEWITT RAND HLT |
| KDD PASSWORD |
| SKY_FOXS SWITCHES_SW |
| TTPTHA ZAAADA |
| ZBAAACA 256256 |
| 5895894.5x ZJAAADC ChEck_a |
| Ikwpeter Syxz |
| TzqF Wodj |
| aPAf alfarome |
| award_ps шесть пробелов |
| восемь пробелов award.sw ?award |
| award_? bios* |
| biostar biosstar |
| condo efmukl |
| g6PJ девять пробелов |
| 2.51 h6BB j64 |
| j09F j256 |
| j262 j322 |
| t0ch20x t0ch88 |
| 01322222 1EAAh |
| 2.50 |
| AMI AMI |
| AMI~ AMI?SW |
| AMI!SW AMI_SW AMI.KEY |
| AMIPSWD BIOSPASS |
| CMOSPWD HEWITT RAND SER |
| Aammii ami.kez |
| ami° amiami amipswd |
| amidecod bios310 |
Может сложиться так, что тебе необходимо попасть не в компьютер, а в Bios Setup. Немає нічого простішого. Грузишься в чистом Досе, в каталоге МАСТДАЙ Command ищешь и запускаешь файл DEBUG.EXE и в появившемся окне вбиваешь следующие строки:
-o 70 17
-o 71 17
-q
БИОС снова девственно чист, а жизнь великолепна!
Award Bioc Hack
Довідкова інформація:
alekssoft-z@mail.ru
http://alekssoft-z.ucoz.ru