Pahavara

Ettevalmistus

Veenduge, et teie arvutis oleks pakitud virtuaalmasina kujutis Windows_XP_SP3.tar. Pakkige Windows_XP_SP3.tar lahti, kustutades vana kataloogi kui see olemas on:

$ rm -r Windows_XP_SP3

$ tar -xf Windows_XP_SP3.tar

Käivitage tavakasutajana VMWare Player:

$ vmplayer

vmplayerid peaksid olema kopeeritud arvutitesse, aga juhul kui see puudub, siis saab naaberarvuti teile selle scp-ga saata. Seejärel installeerige see rooduna:

# ./VMware-Player-3.1.2-301548.i386.bundle

Kohandage virtuaalmasin

Avage eksisteeriv virtuaalmasin, selleks valige kataloogist XP virtuaalmasin ja käivitage.

Esmasel käivitamisel valige 'I copied it' ja protsessori featuuride dialoogis 'Yes', HP klaviatuuri juttu võib ignoreerida.

Tõmmake netist virtuaalmasinasse vajalikud materjalid. Praktikumi juhendaja ütleb, millised.

Seejärel veenduge, et virtuaalmasin ei pääseks võrgule ligi: VMWare menüüs Virtual Machine -> Removable Devices -> Network Adapter -> Disconnect. Windows peaks selle peale ütlema, et võrk kadus ära.

Praktikumi juhendis lingitud utiliidid on kõik utils.zip sees olemas. Lingid on lihtsalt selleks, et saaksite need programmid ise pärast kerge vaevaga üles leida.

Pahalased

Pakkige lahti pahalsed.zip ja utils.zip.

Pahalane 1

Kopeerige pahalaste kataloogist oma desktopile 5f85dc4d417c7aa7e49652d89cd6568a, nimetage ta ümber pahalane1.exe'ks ja käivitage (peaks ära kustuma, kui on käivitunud)

Uurige Task Manageri (käivitub Ctrl-Alt-Del peale) abil, mis kahtlasi protsesse masinas on. Vihje: Kasutajal on üks liigne protsess, mille nimi matkib mõnda süsteemset protsessi.

Uurige protsesse Process Explorer-ga - vaadake, mille poolest kahtlane protsess eristub teistest, veenduge, et tal pole digitaalsignatuuri kuid teisel on verifitseeritavad signatuurid.

Uurige Tcpview abil, kas pahalane üritab võrguga suhelda (ei tohiks)

Koristage pahalane masinast - selleks on soovitav kõigepealt protsess maha tappa ning siis eemaldada tema failid ja registrivõtmed:

  1. Vaadake Process Exploreriga, mis on pahalase programmi täispath - peaks system32 kataloogis asuma
  2. Tapke protsess.
  3. Kustutage pahalase programmifail sealt, kus te just tuvastasite ta olevat. Vajadusel lülitage sisse peidetud ja süsteemifailide näitamine.
  4. Eemaldage algkäivituse registrivõtmed. Selleks on mitu võimalust:
    • Start -> Run, regedit - otsige haru HKLM\Software\Microsoft\Windows\Currentversion\Run
    • Start -> Run, msconfig, sealt näete rohkemaid kohti, aga ka seda (ärge veel eemaldage).
      Käivitage Autoruns. Uurige erinevaid viise, kust asjad automaatselt käima minna saavad, ja eemaldage enda programmi käivitus (kustutage ära, mitte ärge ainult linnukest eemaldage).

Pahalane 2

Pange/jätke käima tcpview

Käivitage 1c2bfded99bab96e49f7d9c53026646c - kopeerige desktopile, nimetage ümber exe-ks, käivitage, kustub.

Viivitage Windowsi tulemüüri küsimusel vastamisega, jälgige TCPView väljundit

Mida antud võrguliiklus tähendab? Miks see toimub vaatamata tulemüürist mittelubamisele?

Mida tähendab siis see tulemüüri dialoog - mida see lubab-keelab? Praktikumi arvestuse saamiseks saata vastus oma juhendaja emailile

Lubage või keelake suhtlus tulemüürist

Uurige uut pahalast Process Exploreriga (mis on pahalase nimi?)

Eemaldage pahalane nagu eelmisel korral, ka algkäivitusest

Pahalane 3

Käivitage kolmas pahalane (301f5a89892cd507badd5e27882cdf06) - kopeerige, nimetage ümber, käivitage

Uurige Process Exploreri abil, mis protsess on liigne, mis on tema käsurida, ja kas käsurealt viidatud fail on kusagil olemas (esialgu peaks olema)

Laske virtuaalmasin võrku - VMWare menüüst öelge võrguseadmele Connect (enne seda määrake VMware konfist võrgu tüübiks Bridged). Windowsile pole vaja midagi öelda, tema jaoks on see samaväärne kaabli külge ühendamisega

Oodake mõnda aega, kasutatav dll fail peaks nähtamatuks muutuma (kui ei muutu, võib rebooti teha)

Kui fail on kadunud, käivitage RootkitRevealer ja laske skaneerida süsteemi, see peaks peidetud faili üles leidma, kuid ei oska parandada

Kui rootkit on ennast ära peitnud, keelake võrgupääs võimalikult kohe jälle ära

GMER

Käivitage GMER - see on targem rootkittide vastane vahend, mis oskab ka osasid asju parandada.

Kui GMER kävitamisel räägib, et draiverit ei saa laadida, quota otsas, siis tähendab see, et rootkit on osa gmeri funktsionaalsust ära blokeerinud. See funktsionaalsus võimaldab tuvastada runtimes teiste protsesside mälu patchimist pahalase poolt, ja selle parandamist.

GMER-il jääb peidetud failide avastamise funktsionaalsus alles, leidke selle abil peidetud fail.

Tehke GMER abil sellele peidetud failile 'Kill file', siis peaks kaitse maha tulema ja fail nähtavale. Kustutage fail pahalase eemaldamiseks.

Tapke rundll32, mis pahalse koodi jooksutab - kui saate :)

Kui õnnetus faili kustutamine, tehke reboot ja skaneerige süsteem uuesti üle.

Kui ei õnnestunud, ravige süsteemi Safe Modes - eemaldage see fail.

Kui näete sinist ekraani, siis katsuge sellest korduvbuutide või Safe Mode kaudu mööda hiilida.

Lisaks

Kui aega jääb, katsetage, kas võrgust saadavad tasuta antiviirused (Avast, Avira, ClamWin) neid pahalasi leiavad.

Sidebar
Page edit