Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
Реестр операционной системы Windows – это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. Реестр содержит данные, к которым Windows XP постоянно обращается во время загрузки, работы и её завершения, а именно:
· профили всех пользователей, то есть их настройки;
· конфигурация оборудования, установленного в операционной системе.
· данные об установленных программах и типах документов, создаваемых каждой программой;
· свойства папок и значков программ;
· данные об используемых портах.
Реестр имеет иерархическую древовидную структуру, состоящую из разделов, подразделов и ключей (параметров).
В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».
Файл редактора реестра находится в папке Windows. Называется он regedit.exe. Для того, чтобы запустить эту программу, необходимо выбрать Пуск – Выполнить – regedit.exe. После запуска появится окно редактора реестра. Вы увидите список из 5 разделов (рис. 11):
HKEY_CLASSES_ROOT.
HKEY_CURRENT_USER.
HKEY_LOCAL_MACHINE.
HKEY_USERS.
HKEY_CURRENT_CONFIG.
Рис. 11
Рис. 12
Работа с разделами реестра аналогична работе с папками в Проводнике. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа (рис. 12):
· строковые (напр. «C:\Windows»);
· двоичные (напр. 10 82 АО 8F);
DWORD - этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).
В Windows системная информация разбита на так называемые ульи (hive). Это обусловлено принципиальным отличием концепции безопасности этих операционных систем. Имена файлов ульев и пути к каталогам, в которых они хранятся, расположены в разделе HKEY_LOCAL_MACH1NE\SYSTEM\CurrentControlSet\Control\hivelist (рис. 13).
Рис. 13
В таблице 1 даны краткие описания ульев реестра и файлов, в которых хранятся параметры безопасности.
Таблица 5
Характеристика основных разделов системного реестра
HKEY_LOCAL_MACHINE\SAM
Содержит информацию SAM (Security Access Manager), хранящуюся в файлах SAM, SAM.LOG, SAM.SAV в папке %System-root%\System32\Config
HKEY_LOCAL_MACHINE\SECURITY
Содержит информацию безопасности в файлах SECURITY, SECURITY.LOG, SECURITY.SAV в папке \%Systemroot%\System32\Config
HKEY_LOCAL_MACHINE\SYSTEM
Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлах SYSTEM, SYSTEM.LOG, SYSTEM.SAV в папке \%Systemroot%\System32\Config
HKEY_CURRENT_CONFIG
Содержит информацию о подразделе System этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \%Systemroot%\System32\Config
HKEY_USERS\.DEFAULT
Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе. Информация хранится в файлах DEFAULT, DEFAULT.LOG, DEFAULT.SAV в папке \%Systemroot%\System32\Config
HKEY_CURRENT_USER
Содержит информацию о пользователе, зарегистрированном в системе на текущий момент. Эта информация хранится в файлах NTUSER.DAT и NTUSER.DAT.LOG, расположенных в каталоге \%Systemroot%\Profiles\User name, где User name – имя пользователя
Задание: проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows 2000 (ХР).
Рис. 12