márc.
29
Written by:
MOLEHAND
2008. 03. 29. 0:46
Gondoltam megosztom veletek e tanulságos történetet, mely ismerősömmel esett meg:
"Egy ismerosom adta ide a laptopjat, hogy nem igazan mukodik mar jol,
meg kene nezni. Elegge tele volt szemettel, a kovetkezo dolgokat
tettem vele:
1. Masik gepben virusok utan kereses
2. Viruskergeto, spyware kereso telepitese (nod32, spybot)
3. Kerio tuzfal telepitese - es ennel a resznel jott elo par erdekesseg.
Az ntfs fajlrendszerben van lehetoseg ugy eltarolni informaciokat,
hogy azt az atlag felhasznalo ne lassa. Ezt ADS-nek hivjak (Alternate
Data Stream). Legegyszerubben ugy lehet megmutatni, hogy a futtatasba
beirjuk, hogy notepad c:\fedofile.txt:tartalom A notepadba irhatunk
barmit. Mentsuk el, majd nezzuk meg a filet. Lathato, hogy 0 byte
hosszu. belenezve ures. Az elozo tartalmat visszakpjuk, ha ujra
futtatjuk az elozo parancsot.
Nos tehat a kis kitero utan. A kerio eszrevett, egy a kellemetlen
alkalmazasok altal hasznalt technikat (code injection), amelyet az
svchot.exe:exe.exe illetve az svchost.exe:ext.exe alkalamzas
probalkozott. Amig nem tettem fel a kerio-t addig nem jottem ra,
honnan jon vissza a mocsok mindig, illetve milyen alkalmazas
kommunikal kifele folyamatosan (netstat -an).
Az ilyenmodon eldugott adatokat egyszeruen lehet latni, csak
telepiteni kell az strmext.dll-t. Ezt a microsoft oldalarol lehet
letolteni, ntfsext.exe-t kell keresni. Amit kicsomagol, az
alkonyvtarban van benne a dll. Regisztralni a regsvr32 strmext.dll
parancsal lehet.
A kiegeszites lenyege, hogy az explorerbol lathatova valnak a
stream-ek, illetve torolhetjuk is azokat (a fajlon jobb klikk,
tulajdonsagok, streams ful). Miutan innen toroltem a rejtett fajlokat,
illetve a registry-bol is kitoroltem oket, ujrainditas utan megszunt a
problema."
Tags: