Postanowiłem wydać coś na wzór serii artykułów ,,Anty-Keylogger" mającej na celu uświadomienie użytkowników o technikach które keyloggery używają oraz bronieniu się przed Nimi.
Mam mniej niż sto postów, więc zdjęcia będą w formie linków, ktoś miły z modów mógłby przekleić.
Na początek disclaimer:
Autor nie ponosi odpowiedzialności za niewłaściwe stosowanie artykułu! Za wszelkie uszkodzenia wynikające z niewłaściwego wykorzystania informacji zawartych tutaj NIE ODPOWIADAM.
Spis treści
- Co to są pliki Super-Hidden?
- Przykłady wykorzystania
- Wykrywanie & Odkrywanie
- Podsumowanie
Co to są pliki Super-Hidden?
Microsoft zdaje sobie sprawę, iż są pliki systemowe, które przeciętnemu użytkownikowi nigdy się nie przydadzą, a są niezwykle potrzebne do działania systemu. Są one ukryte nawet, jeżeli mamy ustawione pokazywanie ukrytych plików i folderów. Oczywiście, spodobały się One twórcom keyloggerów i podobnego świnstwa.
Oto przykład - screen z mojego dysku twardego C:\ oraz skan za pomocą konsoli:
Konsola pokazuje tylko pliki
img27.imageshack.us/img27/2753/10232009212428.jpg
Ale przecież tutaj plików nie ma!
Są...
img20.imageshack.us/img20/5669/10232009212723.jpg
To co w konsoli jest pokazane jako ,,SH" w konsoli to pliki Super-Hidden.
Przykłady Wykorzystania
Na potrzeby poradnika ściągnąłem ,,GuardTibię" z topicu w OwioNie. Oczywiście - to keylogger. A konkretniej Wartibia.
A jak każda Wartibia - infekuje za pomocą dwóch plików - ord32.exe ( W moim wypadku C:/Documents and Settings/USER/Menu Start/Programy/Autostart ) oraz ord32.dll ( Super - Hidden , na razie nie podam lokalizacji )
img23.imageshack.us/img23/9698/10232009214006.jpg
Wykrywanie & Odkrywanie
Poniższy dział wymaga posiadania podstawowych umiejętności korzystania z konsoli windows. Poradników korzystania jest tysiące, poszukajcie.
W celu odnalezienia ukrytych plików w katalogu i w podkatalogach należy się posłużyć komendą
attrib /s
Przykład wyniku który zwróciła mi konsola:
img34.imageshack.us/img34/8242/10232009214657.jpg
Jak widzimy - ostatni wynik jest dość niepokojący.
W celu odkrycia pliku, posłużymy się komendą
attrib -s -h -r <ŚCIEŻKA>
Przykład:
img32.imageshack.us/img32/6447/10232009215437.jpg
Teraz widzimy, że plik się pojawił! Skurczybyk .. :)
img34.imageshack.us/img34/7954/10232009215504.jpg
Dalej robimy co chcemy - usuwamy , bawimy się Nim , cokolwiek. Miej jednak na uwadze by zachować NALEŻYTĄ OSTROŻNOŚĆ. Usunięcie pliku systemowego o fladze SH może doprowadzić do uszkodzenia systemu windows.
Podsumowanie
Pliki Super-Hidden pierwotnie zaprojektowane do ukrywania najważniejszych plików systemu, służą obecnie jako jedna z broń programistów złośliwego oprogramowania. Są nie do zobaczenia nawet gdy ma się wł. pokazywanie ukrytych plików i folderów, co stanowi dodatkowe zagrożenie dla użytkownika - dlatego należy zaopatrzyć się w wiedzę jak się przed Nimi bronić.
Pozdrawiam!
Zakładki