IGROMANIA.RU
Registration
MoreLess
Популярные за неделю
Популярные за месяц
Ассасины и тамплиеры на большом экране. Фильм «Кредо убийцы» Кино > Ассасины и тамплиеры на большом экране. Фильм «Кредо убийцы»
Ассасины и тамплиеры на большом экране. Удался ли эксперимент?
Комментариев: 51
«Викинг». The Return of the (Vi)king Кино > «Викинг». The Return of the (Vi)king
«300 спартанцев» Зака Снайдера и «Гладиатор» Ридли Скотта успешны и узнаваемы, но ни капли ни историчны. Российский «Викинг» идет другим путем.
Комментариев: 39
Самые интересные проекты января: от Gravity Rush 2 и Resident Evil 7 до Yakuza 0 и Tales of Berseria Спец > Самые интересные проекты января: от Gravity Rush 2 и Resident Evil 7 до Yakuza 0 и Tales of Berseria
Продолжение Gravity Rush, возвращение «Обители зла», приключения в мире японской мафии и прочие интересности.
Комментариев: 11
Planet Coaster: парк развлечений своими руками Рецензии > Planet Coaster: парк развлечений своими руками
С самого детства мечтали построить идеальный парк аттракционов? Planet Coaster от Frontier Developments это позволяет!
Комментариев: 4
Главные новинки CES 2017: от VR-устройств до «умных» велосипедов и систем слежения за холодильником Железный цех > Главные новинки CES 2017: от VR-устройств до «умных» велосипедов и систем слежения за холодильником
Подводим итоги крупнейшей международной выставки потребительской электроники.
Комментариев: 2
Бурные 1980-е. Первые впечатления от Yakuza 0 В разработке > Бурные 1980-е. Первые впечатления от Yakuza 0
Знаменитая серия отправляет в прошлое, чтобы рассказать историю о том, как Кадзума Кирю стал одним из самых известных мафиози.
Комментариев: 1

Традиционные вирусы, с которыми боролись на заре мировой компьютеризации, уходят со сцены вместе со своим любимым носителем — 3,5-дюймовой дискетой. Широкие каналы связи оказались для них слишком узкими. Пальму первенства перехватили сетевые черви. Именно с ними приходилось бороться антивирусным компаниям в последние годы.

Несмотря на изобретательность вирусописателей, на каждый вид червя найден свой дихлофос. Однако сегодня на сцену выходит новая разновидность вредоносных программ, которую не в силах обнаружить ни один антивирус или брандмауэр. Напасть получила название руткиты. Это не вирусы в привычном смысле. Они не размножаются сами по себе (во всяком случае, пока). Но руткиты открывают дорогу заразе, которая может стать причиной гибели операционной системы.

И то, что обнаружить их крайне сложно, делает эту новую угрозу опасной вдвойне. В конце концов, люди тоже умирают не от самого вируса СПИДа, а от любой другой посторонней инфекции, попавшей в ослабленный организм.

Вредоносная защита

Подцепить руткит можно где угодно. Хоть с музыкального CD, хоть на интернет-аукционе.

Руткиты (rootkit), как и бэкдоры (backdoor), — типично хакерский инструментарий. Но если последние предназначены для прямого силового воздействия на защиту атакованного компьютера (их можно сравнить с фомкой и ломиком), то у руткитов совсем иная роль. Они прячут от постороннего взгляда следы насилия над компьютером жертвы — файлы программ, которых никто по доброй воле туда не ставил. То есть руткиты выступают как «группа прикрытия», а в самом вредительстве, как правило, участия не принимают.

Казалось бы, и чего в них тогда такого страшного? Идея совсем не оригинальна. Всем известно, что Windows с давних пор вполне официально прячет от глаз потенциально опасного для нее криворукого пользователя, которыми по умолчанию в Microsoft считаются все, некоторые особо важные папки. Да и многие программы, в том числе и игры, тоже показывают далеко не все, что устанавливают на жесткий диск. Однако эта скрытность прозрачна — достаточно в свойствах папки установить флажок «Показывать скрытые файлы», и вам откроется все. А вот до спрятанного руткитом так просто не добраться. Более того, без специальных программ вы даже не узнаете, что на вашем компьютере что-то спрятано. И это уже большая проблема, поскольку открывает широкие возможности для любых злоупотреблений этим незнанием. И, между прочим, речь идет не только о хакерах.

Не так давно руткиты стали причиной громкого скандала вокруг мегакорпорации Sony. В один ненастный осенний день Марк Руссинович (несмотря на фамилию, не русский, а вовсе даже американец) сидел дома и по обыкновению возился со своей новой программой (в Сети много полезного софта за его авторством). Марк следил за последними достижениями хакерской мысли, и его программа — RootkitRevealer (доступна для свободного скачивания по адресу http://download.sysinternals.com/Files/RootkitRevealer.zip) — как раз предназначалась для поиска вражеских «засланцев» и хитро спрятанных ими посторонних файлов.

По Сети бродят упорные слухи, что руткиты существуют не только под Windows, но под ОС Symbian для смартфонов. Доказательств нам обнаружить не удалось.

Тестовый запуск прервался совершенно неожиданным образом. Марк обнаружил на своем компьютере самый настоящий руткит! Его удивлению не было предела. Он не имел порочных связей в ХХХ-контенте, не скачивал сомнительных файлов — в общем, не был завсегдатаем интернет-помоек, где отзывчивые товарищи всегда готовы бесплатно поделиться последней партией дурно пахнущих отбросов. Тем не менее RootkitRevealer недвусмысленно сигнализировал о скрытом драйвере устройства, папке и какой-то программе.

При этом диспетчер задач не выявил никаких запущенных на компьютере подозрительных процессов. Марк предпочел все же поверить собственной программе и не ошибся. После длительных поисков источник был обнаружен. Некоторое время назад он приобрел на Amazon.Com музыкальный CD Get Right With the Man с записью песен братьев Van Zant. А чтобы покупатель не нажился на содержимом этого диска, фирма Sony BMG предусмотрительно поставила на него системы защиты от копирования MediaMax CD-3 и Extended Copy Protection, сделанные по технологии DRM (Digital Rights Management).

Защита позволяла Марку сделать три копии продукта. Как оказалось, основная часть антикопировального механизма была основана на скрытой установке в систему драйвера дополнительного устройства, а также программы, которая это устройство использовала, и папки, куда укладывались файлы. Все это становилось абсолютно невидимым с помощью руткита.

Озабоченный Марк бросился изучать лицензионное соглашение на диске с защитой DRM и нигде не обнаружил никаких упоминаний о возможном вмешательстве в работу операционной системы. Информацией о создании скрытых от пользователя файлов и папок разработчики защиты Sony BMG тоже не поделились. Об этом досадном упущении с их стороны Руссинович немедленно настучал мировой общественности через свой блог (www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html). «Опа, подумаешь, Америку открыл! — воскликнут некоторые. — На то она и система защиты, чтобы ее шестеренки прятались в самых недоступных местах». Все дело в том, каким именно способом они спрятаны.

Ядерная атака

Вставляя лицензионный диск в DVD-привод, никогда нельзя быть уверенным, что вы не заносите на компьютер руткит.

В конце 90-х в одном популярном мультсериале виртуальные 3D-герои боролись с не менее виртуальными мега-злодеями непосредственно внутри операционной системы. Основной целью мультяшных вирусов, троянцев и шпионских программ было какое-то непонятное ядро. Художники изображали его в виде круглого бункера со специальной панелью управления всеми процессами. Если сама система представлялась им как открытый огромный город, по которому ходили странные жители — байты (квадратные, одноглазые прямоугольники с ножками и ручками), то ядро пряталось глубоко под землей, в секретной шахте. Все подступы к ней охранялись мощными защитными механизмами. По представлениям авторов сериала, если зловредные программы доберутся до ядра, то все пропало. Само собой, в мультике этого не случилось. Зато в жизни стало реальным фактом.

Долгое время создание программ, которые будут работать на самом нижнем, самом защищенном уровне операционных систем казалось невозможным. Слишком много трудностей. Нужны специальные знания, часто засекреченные производителями как самая важная часть их капитала. Нужен высокий уровень теоретической подготовки, чтобы воспользоваться этими знаниями. Людей, которые могли бы написать такие программы, совсем немного. Казалось фантастикой, что кто-то из них захочет заниматься подобными глупостями. Тем не менее такие нашлись.

Первым пал Unix. Появился руткит, использующий базовые свойства, на которых основана эта система. Кстати, сам термин (от англ. root и kit) говорит об изначальной связи с Unix (root — корень, ядро этой ОС). «Ядерная» программа в обычном режиме умеет прятать концы за счет изменения функций Windows API (на которых основана работа системы) вроде FindFirstFile /FindNextFile, отвечающих за показ файлов и папок. Они просто перестают замечать то, что нужно спрятать, чем бы вы ни пробовали посмотреть содержимое логических дисков. В защищенном же режиме руткит перехватывает обращения и меняет таблицу системных вызовов. Безопасный режим перестал быть безопасным.

Сколь ни печально, но ни один современный антивирус не увидит руткит на вашем жестком диске. Что и неудивительно — руткиты переписывают свойства API.

Windows имеет специальную базу данных, в которой хранит идентификационные номера всех сервисных служб и указателей на функции драйверов различных устройств. Обычно несанкционированное вмешательство в таблицу заканчивается крахом системы или ее частичной неработоспособностью. Однако руткиты вносят изменения очень аккуратно.

Внешне все остается как прежде — система работает, программы запускаются без задержки. Но на диске уже создана скрытая папка, в которой может оказаться все что угодно — от вируса до шпионской программы. Причем содержимое этой папки нормальному антивирусу так же недоступно, как и самому пользователю компьютера. Ведь для своей работы он тоже использует Windows API!

Руткиты обеспечивают новым вирусам более высокие шансы на выживание. Этим удачным обстоятельством немедленно воспользовались вирусописатели. Почти сразу после появления информации о рутките, который использовала для защиты дисков от копирования компания Sony BMG, в «Лаборатории Касперского» заявили о появлении в Сети хакерской отмычки Backdoor.Win32.Breplibot.b. Распространялась она через спам-рассылку. К письму прикреплялась фальшивая фотография (техника подмены картинок вирусами описывалась нами ранее). Как только юзер пробовал посмотреть рисунок, запускался вредоносный код. Причем первым делом он копировал себя в системный каталог $SYS$DRV.EXE. А именно в папке под таким названием хранились части DRM-защиты фирмы Sony. Если пользователь слушал диски Audio CD Sony, то бэкдор оказывался надежно скрыт от обнаружения любыми доступными методами.

Вот так аукнулось головотяпство Sony. Кстати, у многих профессиональных программистов сразу же возникло несколько любопытных вопросов. Хакер, использовавший руткит, скорее всего сам ничего не открывал. Он просто воспользовался информацией, которую разместил в Сети Марк Руссинович. Так стоило ли рассказывать каждому встречному о своем открытии? С другой стороны, на грязном деле попалась весьма уважаемая компания. Кто даст гарантию, что другие системы защиты дисков от других производителей не используют то же самое? В том числе и на дисках с компьютерными играми? Никаких гарантий у нас нет!

Фальшивые перспективы

На борьбу с новой угрозой брошены лучшие силы, но тем не менее прогнозы неутешительные. Отдельные энтузиасты и специалисты крупных корпораций по производству софта пытаются найти противодействие. Тот же Марк Руссинович, как мы уже говорили, работает над программой по обнаружению руткитов — RootkitRevealer.

Есть и другие утилиты — Avenger (http://swandog46.geekstogo.com/avenger.zip), Helios (http://helios.miel-labs.com/downloads/Helios.zip, утилита требует для установки Net Framework v.2.0.50727), DarkSpy (сетевая версия доступна по адресу www.fyyre.net/~cardmagic/download/darkspy105_en.rar), IceSword (www.xfocus.net/tools/200509/IceSword_en1.12.rar). На наш диск мы эти программы не выкладываем по банальной причине — практически все антивирусы ошибочно видят в них троянцев. Весят утилитки немного, так что если будет желание или необходимость, вы всегда сможете их скачать с сайтов разработчиков.

Однако сотрудникам Microsoft вместе со специалистами Мичиганского университета весной этого года удалось создать принципиально новый руткит, который вообще не поддается обнаружению никакими стандартными способами. Новый монстр получил условное название SubVirt. Он создает монитор виртуальной машины (Virtual Machine Monitor, VMM) и полностью подгребает под себя все запущенные программы. И они прекрасно работают. Но ни одна из них не в состоянии определить, что Windows на самом деле фальшивая. Все как в теории относительности Альберта Эйнштейна — чтобы определить, движется тело или нет, нужно находиться снаружи, а не внутри.

* * *

Скорее всего, специалисты что-нибудь придумают для защиты наших компьютеров от руткитов. А пока приходится констатировать тот факт, что мы, обычные пользователи, все больше теряем контроль над своими собственными компьютерами. Поскольку теперь никто не может с уверенностью утверждать, что на его машине нет тайников с сюрпризами.

Nintendo заявила, что в разработке находится более восьмидесяти игр для консоли Switch. Рассказываем о тех, что выйдут в ближайшее время.
В 2016 году вышло немало всяческих переизданий, ремейков и HD-версий. Выбираем лучшие из них.
«300 спартанцев» Зака Снайдера и «Гладиатор» Ридли Скотта успешны и узнаваемы, но ни капли ни историчны. Российский «Викинг» идет другим путем.
Франшизы родом из девяностых продолжают доказывать, что им почти нет равных на арене.
Комментарии к статьям
Согласны 0 из 0
01.09.2013 | 23:09 M@k(им [122521]
Помогите скачать RootkitRevealer, не могу найти!
Войти и прокомментировать                Войти под логином игромании | Зарегистрироваться
Главные новости
Самые комментируемые статьи за месяц:
Кино > Ассасины и тамплиеры на большом экране. Фильм «Кредо убийцы»
Спец > Лучший мой подарочек — это Xbox One S!
Кино > «Викинг». The Return of the (Vi)king
Спец > Достать геймпад и плакать: игры, берущие за душу: от Ori and the Blind Forest и This War Of Mine до BioShock Infinite и Life is Strange
Спец > Игра в кубики. В чем сила Minecraft?
Рецензии > Соборы в небесах. Обзор Space Hulk: Deathwing
Железный цех > В ожидании ZEN. Тестируем игровой компьютер Edelweiss MSI Edition на базе AMD 970
Спец > Горячий осенне-зимний сезон Windows Store. Главные игровые новинки
Спец > На скорости 160 км/ч, или Как работают гоночные игры
Прямым текстом > Darksiders: Warmastered Edition — жизнеспособное чудище Франкенштейна
Поиск по сайту Игровые платформы: PC  |   X360  |   XONE  |   PS3  |   PS4  |   Wii  |   Wii U  |   PSP  |   Vita  |   NDS  |   3DS  |   Android  |   iOS
1997-2017 ООО «Игромедиа». Мнение авторов и посетителей сайта может не совпадать с мнением редакции. Полное или частичное воспроизведение материалов сайта и журнала допускается только с согласия редакции. Для прямого контакта с редакцией пишите на основную почту «Игромании.ру».
Пользовательское соглашение

КОММЕРЧЕСКИЕ ССЫЛКИ:
Механизм выбора платформы позволяет отображать на страницах информационного портала материалы, относящиеся строго к выбранным платформам.

Каждый пользователь индивидуально выбирает для себя интересующие его игровые платформы.
 
Rambler's Top100 Яндекс цитирования