Temat: [Poradnik] [Seria Anty-Keylogger] 1. O plikach superukrytych

Witam wszystkich.

Postanowiłem wydać coś na wzór serii artykułów ,,Anty-Keylogger" mającej na celu uświadomienie użytkowników o technikach które keyloggery używają oraz bronieniu się przed Nimi.

Mam mniej niż sto postów, więc zdjęcia będą w formie linków, ktoś miły z modów mógłby przekleić.

Na początek disclaimer:

Autor nie ponosi odpowiedzialności za niewłaściwe stosowanie artykułu! Za wszelkie uszkodzenia wynikające z niewłaściwego wykorzystania informacji zawartych tutaj NIE ODPOWIADAM.

Spis treści

1. Co to są pliki Super-Hidden?
2. Przykłady wykorzystania
3. Wykrywanie & Odkrywanie
4. Podsumowanie
   
   
   
   

Co to są pliki Super-Hidden?

Microsoft zdaje sobie sprawę, iż są pliki systemowe, które przeciętnemu użytkownikowi nigdy się nie przydadzą, a są niezwykle potrzebne do działania systemu. Są one ukryte nawet, jeżeli mamy ustawione pokazywanie ukrytych plików i folderów. Oczywiście, spodobały się One twórcom keyloggerów i podobnego świnstwa.

Oto przykład - screen z mojego dysku twardego C:\ oraz skan za pomocą konsoli:

Konsola pokazuje tylko pliki

img27.imageshack.us/img27/2753/10232009212428.jpg

Ale przecież tutaj plików nie ma!

Są...

img20.imageshack.us/img20/5669/10232009212723.jpg


To co w konsoli jest pokazane jako ,,SH" w konsoli to pliki Super-Hidden.



Przykłady Wykorzystania

Na potrzeby poradnika ściągnąłem ,,GuardTibię" z topicu w OwioNie. Oczywiście - to keylogger. A konkretniej Wartibia.

A jak każda Wartibia - infekuje za pomocą dwóch plików - ord32.exe ( W moim wypadku C:/Documents and Settings/USER/Menu Start/Programy/Autostart ) oraz ord32.dll ( Super - Hidden , na razie nie podam lokalizacji )

img23.imageshack.us/img23/9698/10232009214006.jpg


Wykrywanie & Odkrywanie

Poniższy dział wymaga posiadania podstawowych umiejętności korzystania z konsoli windows. Poradników korzystania jest tysiące, poszukajcie.

W celu odnalezienia ukrytych plików w katalogu i w podkatalogach należy się posłużyć komendą

attrib /s

Przykład wyniku który zwróciła mi konsola:

img34.imageshack.us/img34/8242/10232009214657.jpg

Jak widzimy - ostatni wynik jest dość niepokojący.

W celu odkrycia pliku, posłużymy się komendą

attrib -s -h -r <ŚCIEŻKA>

Przykład:

img32.imageshack.us/img32/6447/10232009215437.jpg

Teraz widzimy, że plik się pojawił! Skurczybyk .. :)

img34.imageshack.us/img34/7954/10232009215504.jpg

Dalej robimy co chcemy - usuwamy , bawimy się Nim , cokolwiek. Miej jednak na uwadze by zachować NALEŻYTĄ OSTROŻNOŚĆ. Usunięcie pliku systemowego o fladze SH może doprowadzić do uszkodzenia systemu windows.


Podsumowanie

Pliki Super-Hidden pierwotnie zaprojektowane do ukrywania najważniejszych plików systemu, służą obecnie jako jedna z broń programistów złośliwego oprogramowania. Są nie do zobaczenia nawet gdy ma się wł. pokazywanie ukrytych plików i folderów, co stanowi dodatkowe zagrożenie dla użytkownika - dlatego należy zaopatrzyć się w wiedzę jak się przed Nimi bronić.

Pozdrawiam!

Pliki Super-Hidden można zobaczyć, odznaczając opcję "Ukryj chronione pliki systemu operacyjnego" w opcjach folderów.

#edot

0.o 54 posty ?? miałem 154 !!