Вы когда-нибудь слышали выражение: «В тихом омуте черти водятся»? Это также применимо и к компьютерам. В то время, когда кажется, что компьютер простаивает, огромное количество процессов может работать в фоновом режиме.
Компьютер никогда не бывает в состоянии покоя, в настоящем смысле этого слова. В нем всегда что-то происходит. Нам может казаться, что он дремлет, но обычно он всегда что-то делает. Благодаря использованию таких инструментов, как RegmonNt, FilemonNt, и TdiMonNT мы можем узнать, что делает наш компьютер. Есть такие прекрасные бесплатные инструменты, которые были написаны программистами компании Sysinternals. Компания Sysinternals недавно была куплена компанией Microsoft. Я смею заметить, что это одна из самых лучших покупок Microsoft за последнее время. Иметь в своей команде таких людей, как Марк Руссинович (Mark Russinovich) и Дейв Соломон (Dave Solomon), может быть очень полезно.
Почему так важно знать, что происходит на вашем компьютере в фоновом режиме? Итак, первое, что быстро приходит на ум, это важно для вас быть знакомым с процессами, которые запущены на используемых версиях Microsoft. Если конечный пользователь сообщает об ошибке на своем компьютере, то, возможно, этот тот самый инструмент, который вы запустите для выявления проблемы. С другой стороны, лично для меня и тех из вас, кто занимается компьютерной безопасностью, это представляет другую область интересов. Нам также необходимо знать, какие процессы запущены на компьютере, но больший интерес представляет обнаружение вражеских процессов, которые могут делать вовсе не то, что кажется на первый взгляд.
Работа с хакерским программным обеспечением в корпоративной сети– это гораздо более развивающаяся отрасль, чем кажется. Каждый день системные администраторы и сети, которые они контролируют, становятся мишенью хакерского программного обеспечения. Проблема заключается в том, что часто бывает очень сложно разобраться, как работает это хакерское программное обеспечение. Очень часто в настоящее время хакерское программное обеспечение хорошо маскируется с помощью использования общих пакетов, таких как PEX. Это значит, что вам придется восстановить структурную схему части хакерского программного обеспечения, если вы не сможете распаковать его. Поэтому остаются лишь выполнить хакерское программное обеспечение, для того чтобы узнать, что оно делает. В этом самом случае нам на помощь придут выше упомянутые инструменты от компании Sysinternals. Вам необходимо отслеживать изменения реестра, файловой системы и других элементов после того, как вы захотите использовать хакерское программное обеспечение. Помня все это, давайте взглянем на эти три инструмента.
Из названия этого инструмента можно догадаться, что он используется в качестве приложения для мониторинга реестра. Он используется для отслеживания всех программ, которые пытаются получить доступ к реестру, и его параметрам. Наконец, эта программа точно сообщит вам, какая часть реестра была прочитана или изменена, и что самое главное, эта программа покажет вам всю активность в реальном времени. Если вы думаете, что вам не плохо бы иметь такой инструмент, то вы совершенно правы! Давайте посмотрим на рисунок ниже, на котором изображен RegmonNt в действии.
Рисунок 1
Из рисунка выше мы видим, что все изменения, которые делает Apache, регистрируются в строгом порядке Regmon. Я попробую прокомментировать то, что мы здесь видим. Первым идет номер записи, в колонке под названием #. Далее идет дата и время вплоть до миллисекунд, которая берется из вашего системных часов. Далее мы видим приложение, которое делает изменение в реестре. В нашем случае это служба Apache Monitor service, за названием которой идет номер процесса равный 948. Далее идет колонка под названием “Request (запрос)”, которое сообщает, какое действие совершается с реестром, а также путь “Path” в вашем реестре, по которому происходят изменения. Далее идет колонка“Result (результат)”, которая сообщает успешно или нет прошла попытка изменения или обращения к реестру. Наконец, идет колонка “Other другое”, которая предоставляет дополнительную информацию о том, что было сделано. Основная сложность при использовании этого инструмента заключается в том, чтобы четко разобраться с содержимым этой таблицы. Вам может понадобиться отфильтровать содержимое, которое вам не нужно, что вы можете сделать, выбрать меню “Options (настройки)”, а в нем выбрав пункт “Filter/Highlight (отфильтровать/подсветить)”. Эту возможность лучше изучить на практике. Мы можем увидеть, что этот инструмент замечательно поможет для отслеживания изменений в реестре, которые может внести хакерское программное обеспечение.
Filemon работает во многом аналогично инструменту Regmon с одним лишь отличием, что Filemon отслеживает изменения в файловой системы, и делает это в режиме реального времени как и Regmon. Рисунок ниже способен заменить тысячу слов, поэтому давайте взглянем на Filemon в действии.
Рисунок 2
Я снова кратко расскажу о назначении столбцов справа налево. Первым идет порядковый номер, за которым идет дата и время события без миллисекунд в этот раз. Но вы можете подключить эту возможность, если хотите, с помощью меню. Далее в колонке “Process (процесс)” следует название процесса и его номер. Далее в колонке “Request (запрос)” мы можем узнать, какое действие над файловой системой имеет место: OPEN (открытие), CLOSE (закрытие) и т.д. Далее идет колонка “Path (путь)”, в которой содержится относительный путь, по которому располагается приложение, вносящее изменение в файловую систему. Далее идет колонка “Result (результат)”, которая сообщает нам о состоянии операции, и как можно увидеть выше, все операции завершились успешно “SUCCESS”. Наконец, есть колонка “Other”, в которой содержится дополнительная информация, касающаяся действия над файловой системой. Также, как я говорил про Regmon выше, очень вероятно, что вы захотите иметь такой инструмент для мониторинга изменений, которые могут внести хакерское программное обеспечение, благодаря динамическому анализу.
Этот инструмент позволит вам отслеживать, что происходить с протоколами TCP и UDP, которые используются для передачи информации, т.к. оба этих протокола являются транспортными протоколами. Поэтому этот инструмент может быть использован системными администраторами для устранения сетевых проблем. На этом моменте давайте посмотрим на TdiMon в действии.
Рисунок 3
Вы уже знает принципы отображения информации, которые используются инструментами Sysinternals под названием Regmon и Filemon, а TdiMon делает это точно также. Особый интерес для нас представляет поле “Process (процесс)”. Оно точно сообщает вам программу, которая создала сокет, а также список его транспортных протоколов в столбце “Local (локальные)”. Назначение остальных полей очевидно само по себе, т.к. мы уже объясняли их выше. Для чего вам использовать этот инструмент? Как я упоминал, если вы работаете системным администратором, то он поможет вам отследить проблемы с сетью. Если вы работаете специалистом по компьютерной безопасности, то он позволит вам изучить хакерское программное обеспечение, выяснить, что он делает, по какому сокету оно общается с удаленным сервером в интернет.
Все инструменты, о которых рассказывалось в этой статье, должны присутствовать в вашем арсенале, чтобы дальше совершенствовать ваши знания о компьютерах. Они могут использоваться для нужд системного администрирования, а также для обеспечения безопасности компьютера. Они относительно просты в использовании, и после пяти или десяти минут работы с ними вы сможете понять их возможности. Я искренне поддерживают ваше стремление к изучению и использованию этих инструментов. Как всегда, жду ваших отзывов, и надеюсь, что эта статья была полезна для вас. До новых встреч!
Источник www.windowsecurity.com