Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

SoftHomeRu - Компьютерный мир в вопросах и ответах #33


Выпуск #33
SoftHomeRU
28 июня 2006г.
Компьютерный мир в вопросах и ответах
Колонка редактора
Здравствуйте, уважаемые подписчики!

Перед вами очередной выпуск рассылки. =) Если у вас есть какие-нибудь пожелания или предложения по поводу рассылки (содержания, оформления и т.д.), пишите, мой адрес чуть ниже. :)
А на нашем wap-сайте теперь есть магазин по продаже аксессуаров к мобильным телефонам. Вот ссылка. А еще на сайте есть форум ;)

Сайт: http://www.softhome.ru Wap-сайт: http://wap.softhome.ru Форум: http://www.softhome.ru/forum/
Ответы
Спрашивает NADEZHDA82 :

Подскажите, пожалуйста, как можно прослушивать радио в прямом эфире через интернет, если при открытии сайта радиостанции (например, «Юность», «Рокс») и выборе «прямой эфир»-«прослушать» из колонок ничего не слышно, хоть они и в полной исправности. Может, нужны специальные программы для этого? Если да, то какие и где в интернете их можно найти?

=Lexus= :

Ну, во-первых, нужна нормальная скорость интернета....а во-вторых, спец прог не надо - стандартный windows media player подойдёт! =)


Dimon :

В Winamp`е 5.1 Surround Edition есть такая возможность. Только для нормальной прослушки Интернет - радио нужно иметь ADSL - соединение с провайдером.


Black-code :

При открытии сайта радиостанции ничего и не будет слышно! Поставь например, Winamp! В нём давно присутствует такая функция. Но следует учесть, что нужен канал хорошей ширины!..


Ezh1k :

мне очень нравится программка ScreamerRadio. весит мало, а станций очень много, есть даже по тематикам (рок, поп, металл и т.д.). так что качай и радуйся. http://freesoft.ru/?id=669638


Boris Safonov :

Что-то видеть или слышать из Интернета можно только при широком канале типа ADSL, иначе геморрой. Поставь в писюк ТВ-тюнер с FM. А программ для прослушки из инета много платных и нет, если очень надо, подгоню ссылки.


Superdriver :

Для прослушивания online-радиостанций ничего особого не надо. Вещание обычно ведётся в двух форматах: для Windows Media Player и Real Player. При нажатии на ссылку должен появляться один из этих проигрывателей, если конечно он не встроен уже в саму страницу (а это в основном так и бывает). А вот почему у вас нет звука у меня только одно предположение: это низкая скорость соединения. У вас какой тип подключения? Наверное модем. Скорее всего вещание ведётся с битрейтом 64Кбит/с, вот модем и не справляется. Попробуйте найти радиостанцию с битрейтом ниже 56Кбит/с. А вообще модем для таких целей не годится. Если же у вас не модемное соединение, тогда уже надо что-то другое думать.


D_Kuzmin :

В принципе должно хватить и МП по умолчанию :D Уточни описание на сайте РС. м ОК. (Возможно необходим кодеки)



Спрашивает realant :

У меня в наличии имеется два винта, сидящих на одной шине. на обоих стоит родная WinXP Pro, но не в это дело. иногда надо загрузится с разных винтов для корректировки системы вне системы. только вот как это можно осуществить, не переставляя джамперы с одного винта на другой (это вместе с открывание боковой крышки и колупанием в темном и пыльном системнике)?

Maxim :

В BIOSe (при загрузке нажать клавишу DEL) выставьте приоритет устройств при загрузке.


Андрей :

Это же элементарно, Ватсон ! Через БИОС, конечно ! Там есть: загрузка с FDD, CD и т.д. И вот там выбираешь, с какого винта грузиться: HDD0, HDD1 и т.д.


Сазонов Роман Алексеевич :

Доведите ваш файл boot.ini до следующего вида: [boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU First" /noexecute=optin /fastdetect
multi(0)disk(1)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU Second" /noexecute=optin /fastdetect


Kiss All OLD :

мой биос узнает нажатие F8 при включении компа (бью непрерыно :) ), появляется окно выбора устройства для загрузки: винты, CD, FDD


Oleg :

У меня не ХР, а два 2000-х и 98-я, установленные даже не на разных дисках, а просто в разных разделах одного; и ещё 2000-й на другом диске. Чтобы загружать их по своему желанию, в файл Boot.ini диска С:\(!) выглядит так:

[boot loader]
timeout=8
default=multi(0)disk(0)rdisk(0)partition(3)\WINNT
[operating systems]

multi(0)disk(0)rdisk(0)partition(3)\WINNT="Windows 2000_main - E:\ (Maxtor_0-3)" /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows 2000_R01 - D:\ (Maxtor_0-2)" /fastdetect
multi(0)disk(0)rdisk(1)partition(1)\WINNT="Windows 2000_R02 - H:\ (Seagate_1-1)" /fastdetect
C:\="Windows 98se - C:\ (Maxtor_0-1)"
В результате при загрузке я вижу меню:
Windows 2000_main - E:\ (Maxtor_0-3)
Windows 2000_R01 - D:\ (Maxtor_0-2)
Windows 2000_R02 - H:\ (Seagate_1-1)
Windows 98se - C:\ (Maxtor_0-1)
- из которого выбираю нужный вариант (стрелками клавы). Текст меню - произвольный, но "multi(0)disk(0)rdisk(0)partition(3)" - задаёт расположение нужной ОС: - rdisk - номер диска: 0 - первый, 1 - второй и т.д.; - partition - номер раздела на этом диске 1,2,.. и т.д. Возможно, для ХР есть особенности.


Овод Евгений :

Лично я для таких целей использую Acronis Disk Director Suite, там есть встроенный менеджер загрузки Acronis OS Selector. Всё очень просто и удобно, разберётесь.


Black-code :

Скорее всего никак! Но у меня мамка от ASUS, и в её BIOS'е можно вручную выставлять ведущий винт!!! Посмотри, если мамка не очень старая, то может и есть такая возможность... P.S.: А системы не две сразу стоят? Так наверное проще - при загрузке выбирать систему...


Taatshi :

Запустить вторую систему можно, если вручную отредактировать файл boot.ini. Он находится на диске С: и является скрытым. НО, если Вы ни разу с ним дело не имели, то лучше поставить какой-нибудь селектор загрузки. Это специальные такие программки от сторонних производителей. Например, от фирмы Acronis. Называется прога Acronis OS Selector. Фирма делает очень простенькие в использовании, но умненькие и функциональные программы.


Superdriver :

По-моему это выбирается в BIOS. Заходишь туда и выбираешь в качестве первичного загрузочного устройства, что тебе нужно.


Denis Suhanov :

Просто выстави в BIOS с какого винта будешь грузиться и всего делов... Ещё проще - используй программу SmartBootManager.


SHome :

Зайди в Мой компьютер - Свойство - Дополнительно - Загрузка и восстановление - Отредактировать список загрузки вручную. Там нужно подправить вариант загрузки ОСей. А при загрузке выбирай то, что Тебе нужно.


D_Kuzmin :

Смотри БИОС и Утилиты загрузки Просто при звнгрузке выбери устройство :D


Alexsey_k :

в биосе менять загрузку



Спрашивает Сергей Чернышов :

На днях у себя в доме провел сеть на 8 компов. Все компы работают и видят друг друга идеально, но проблема возникла с общением (т.е. общение через клаву - чат). Может кто знает, где можно взять прогу для разговора по локальной сети, а то я сам в инете натыкаюсь только на демки... По возможности, оставьте ссылку для скачивания.

Сазонов Роман Алексеевич :

Как вариант могу посоветовать стандартную утилиту форточек, Пуск => выплнить => далее набираете "winchat", без кавечек!


Dimon :

1. Intranet Chat 1.21b6 2. Easy Chat 1.0 Build 1900 3. Dmess 2.0.2 4. PowerIP v1.7f


Black-code :

Ищи в Инете "Network Assistant v.3.1" и желательно с build 2128! Потому что только под него есть нормальный серийник. Версии выше 4.0 не советую - скачивал, ставил, но одно разочарование! у нас сетка на 7-ых, всё исправно работает на v.3.1. Если нужен серийник - пиши, вышлю...


Ezh1k :

зайди на сайт http://freesoft.ru/ там точно есть, поищи.


Denis Suhanov :

Из самого простого - для чата в сети - это поставить тот же WinMessenger (находится на файлопомойках) с пол-пинка.


-=realant=- :

попробуй сходи по этой ссылке


D_Kuzmin :

Смотри NetAdmin Прикольная прога. Ссылку найдешь по нику.


Дмитрий :

Держи рабочую прогу

Алиса 2Дмитрий : Пожалуйста, ПРОЧТИТЕ ПРАВИЛА!!!



Спрашивает POLnata1 :

подключил ADSL , модем использует Eternet порт, недавно обновлял виндмедиа, а ХР мне толкует: служба восстановления отключена, обратитесь к админу домена. служба восстановления включена, проверял. на компе только один пользователь с правами админа. где -то он меня кидает, а где, не пойму!

Maxim :

Мой Компьютер >> Диск С >> Свойства >> Восстановление системы. Видно поставлена галочка "Отключить слежение за системой на всех дисках".



Вопросы
Спрашивает MailRu_PK425 :

скорость соединения в Инет по DialUp-42кб, но загрузка сайтов очень медленная. У товарища при тех же установках Инет не просто "бегает", а "летает". В чем проблема или я что-то не до настроил. Исходные данные: Р-Ш- 660, 256Мб, WinXp 1-2 SP

Спрашивает Вячеслав Тиамот :

1 Вопрос такой - Меня интересует программа, которая пишет только Аудио СД, в которой можно подредактирывать звук, (если СД скажем записан глухо или мало высоких) убрать шумы, ну вцелом как редактор в NERO, программа конечно всё это делает, но на выходе (когда запишешь СД) совсем не то? Программу попроще, но чтоб серьезная была, если таковая существует. 2 Вопрос такой - опять же - непридумали ли ещё земные умы программу, которая на недоконца записаных СД (по катой-то либо причине -выключили свет, брак вначале сессии) ну в целом сотни болванок? с сотнями мегобайт места либо украшают потолки или валяются на дальних полках - программа которая заново откроет сессию?

Спрашивает mash4 :

Установлена система Windows XP Home. Очень нужна возможность пользоваться Skype. Нормально подключились наушники, но никак не удается запустить в работу микрофон.Или нужна соотвествующая программа или драйвера?Если да, то посоветуйте где их найти.

Спрашивает Бурда Саша :

У меня есть сайт на km.ru. Кинул туда свою программку и хотел сделать счетчик ее закачек. Написал его сам на РНР. У меня есть Денвер-2 (Джентльменский набор Web-разработчика). Туда входит Apache, PHP4 с поддержкой GD и MySQL, MySQL и многое другое. У меня на локальном сервер, на компьютере, все пашет. Счетчик себя правильно ведет. А когда скинул все это дело на свой сайт, счетчик как показывал "0", так и показывает до сих пор, хотя программку скачивали ни раз (знаю это точно). Начал разбираться, и, если я правильно понял, нужно файлу loads.dat (я в него сохраняю значения счетчика) изменить право доступа. Здесь я прочел следующее:

12. Как изменить права доступа на файл или каталог?

Вот один из самых простых путей выполнения этой операции: введите в адресной строке Internet Explorer один из следующих адресов:
ftp://ваш_логин@my1.km.ru/ - для пользователей UNIX-хостинга, зарегистрированных до февраля 2004.
ftp://ваш_логин@host5.km.ru/ - для пользователей UNIX-хостинга, зарегистрированных после февраля 2004.

В появившемся окне введите логин и пароль. Если вашим компьютером пользуется кто то еще, то не активизируйте опцию "Сохранить пароль"! Перейдите в нужный каталог, на нужном файле или каталоге нажмите на правую кнопку мыши, выберите пункт "Свойства", откроется окно с текущими установками. После изменения установок нажмите кнопку OK.

В принципе, все понятно. Но когда я это пытаюсь сделать в IE6 (ввести вышеуказанный адрес с учетом своих данных), вылетает сообщение:

Internet Explorer обнаружил неполадку в системе и закрывается. Следующая настройка была включена, когда возникла неполадка:
Файл: Jd2002.dll
Организация: (Не проверен) justDo Software
Описание: jd2002 Module

Щелчок по кнопке "Продолжить" открывает другое окно, предлагающее отправить сведения об ошибке Microsoft. Жму "не отправлять". Окно закрывается, а вместе с ним и IE6. То же самое происходит, если я просто через IE пытаюсь зайти на свой сайт по ftp (т.е. в адресной строке IE ввожу "ftp://свой_логин:пароль@host5.km.ru"). Неужели Винду надо будет переустанавливать (стоит XP SP2)?


Задать вопросЗадать вопрос без публикования e-mail
Статья
Чужаки в системных папках

Вредоносные программы любят системные папки Windows. Наша задача — обнаружить и выжить их оттуда.

Опять в окне Task Manager (Диспетчер задач) какие-то лишние процессы… Что и говорить, приятного мало. Кто их знает, что они делают, а вдруг что-то вредное? И, в любом случае, на них тратятся системные ресурсы.

К сожалению, мало кто из нас знает толком назначение всех утилит из папки Windows. Все же давайте разберемся, как опознать большинство системных файлов Windows (и обнаружить лишние файлы, если они есть), чтобы отличить своих от чужих. Заодно посмотрим, как проследить, какие приложения работают на компьютере, не только обычные, но и новая разновидность вредоносных программ — скрытые rootkit-файлы.

Как говорится, от вора нет запора: нам, конечно же, никогда не узнать, где и когда проявится очередная дыра в системе защиты, через которую злоумышленники будут пытаться нанести вред системе или похитить данные. Даже при установленном брандмауэре, последней версии антивируса и антишпионского сканера, и при жесткой дисциплине в отношении загрузки файлов из интернета, в компьютере все равно время от времени обнаруживается какая-нибудь свеженькая инфекция.

Антивирусы и другие средства обеспечения безопасности эффективны только при наличии хорошо продуманной стратегии регулярного и частого обновления; они не в состоянии блокировать вредоносную программу, на которую не были заранее запрограммированы. Соответственно, злоумышленники пишут и рассылают свои программы с таким расчетом, чтобы они попадали на компьютеры жертв в период их уязвимости — например, когда в интернете уже появился код очередного червя, но на сайтах антивирусов еще не размещены новые базы для блокирования или устранения этой инфекции. Такой период может длиться несколько минут или дней, и за это время вирус находит свои жертвы.

К счастью, после того как вредоносный код распознан, справиться с ним довольно легко, хотя процедура эта и скучновата.

Сохранность данных прежде всего

Главное в этом деле — помнить, что мы имеем дело с операционной системой. Поэтому лезть в системные файлы, а особенно удалять их — верный путь к проблемам. Подобные действия вполне могут привести к тому, что Windows перестанет запускаться.

Затем, на каждом шаге необходимо оставлять за собой путь к отступлению. Для этого в Windows XP и Me удобно использовать функцию System Restore, которая гарантирует возврат в состояние, предшествующее сбою. Для этого нужно щелкнуть на кнопке Start — Programs (в XP — All Programs) — Accessories — System Tools — System Restore — Create a restore point (Пуск — Программы (в XP — Все программы) — Стандартные — Служебные — Создать точку возврата) и выполнить инструкции мастера. Такие точки возврата следует создавать перед каждым изменением.

Некоторые системные файлы являются скрытыми и при обычной настройке интерфейса Windows не отображаются на экране. Для того чтобы их увидеть, откройте Explorer (Проводник) или любое окно папки и выберите команду Tools — Folder Options — View (Сервис — Свойства папки — Вид). В открывшемся окне включите режим Show hidden files and folders (Показать скрытые файлы и папки) и проследите, чтобы режимы Hide extensions for known file types (Не показывать расширения известных типов файлов) и Hide protected operating system files (Recommended) (Скрыть защищенные файлы операционной системы (Рекомендуется)) были отключены. В ответ на все последующие предупреждения Windows щелкайте на кнопке Yes (Да). (Мы еще поговорим об этих предупреждениях.) Затем запустите последнюю версию антивирусной программы и антишпионского сканера. Если возникнет необходимость удалить файл, делайте это только при полной уверенности, что в нем содержится злонамеренный код. Например, не удаляйте из системных папок старые библиотеки DLL.

Что работает в системе?

Теперь пора выяснить, какие программы и службы действуют на компьютере прямо сейчас. В окне Task Manager (Диспетчер задач) отражаются не все работающие приложения. Поэтому для решения этой задачи лучше воспользоваться бесплатной утилитой Sysinternals Process Explorer. Распаковав файл procexpnt.zip и запустив procexp.exe, вы поймете, что по сравнению с Диспетчером задач Windows Process Explorer — все равно что Шерлок Холмс по сравнению с инспектором Лестрейдом: возможно, не так блестяще выглядит, но действует гораздо надежнее и эффективнее. И, кстати, в отличие от частных детективов, работает бесплатно.

По умолчанию некоторые из самых полезных данных, извлекаемых Process Explorer из системы, скрыты. Для того чтобы их просмотреть, щелкните правой кнопкой мыши на имени столбца и воспользуйтесь командой Select Columns (Выбрать столбцы). В открывшемся окне будут выбраны только столбцы Process Name (Процесс) и Description (Описание). Выберите также Company Name (Компания) и Command Line (Командная строка). Перейдите на вкладку DLL, выберите столбец Path (Путь) и щелкните на кнопке OK. Затем выберите команду View (Вид) и включите режим Show Lower Pane (Отображать нижнюю панель). В завершение выберите команду View — Lower Pane View — DLLs (Вид — Нижняя панель — DLL).

Настроив Process Explorer таким образом, можно выделить любой активный процесс и увидеть на нижней панели список используемых им DLL-библиотек. В столбце Command Line (Командная строка) сообщается, в какой папке находятся работающие программы, а в случае сервисов (которые иногда работают под управлением svchost.exe) — какой экземпляр svchost.exe запускает этот сервис.

В первую очередь под подозрение попадают процессы, запускаемые из папки Temp. Шпионские программы любят устанавливаться в подобных укромных уголках. То же самое относится к процессам, которые ссылаются на DLL-библиотеки, расположенные в папке Temp. "Добропорядочные" программы запускаются из папки Temp в единственном случае: при инсталляции приложения с помощью InstallShield или другой утилиты установки. Кроме Explorer.exe, в Windows XP, скорее всего, обнаружатся и другие активные процессы, в том числе smss.exe, winlogon.exe, services.exe, alg.exe и lsass.exe. Все они необходимы для работы Windows. Не трогайте их.

Несколько более пристального внимания заслуживает другой "законный" Windows — rundll32.exe, если он окажется среди действующих процессов. За этой программой иногда скрываются вредоносные программы, распространяемые в виде DLL-файлов, — они используют ее в качестве плацдарма для загрузки. В окне Task Manager (Диспетчер задач) значится только rundll32, но в Process Explorer, в столбце Command Line (Командная строка), отражаются все DLL-библиотеки, ассоциированные с rundll32. Все же, прежде чем удалить этот процесс, убедитесь, что это действительно необходимо: ведь rundll32 "законно" используется драйверами некоторых устройств. В принятии этого решения вам поможет путь к файлу DLL.

Поиск незваных гостей

Кроме перечисленных системных файлов, вы, скорее всего, обнаружите среди активных процессов еще несколько программ Windows — приложений и сервисов, работающих в фоновом режиме, а также драйверов различных устройств. Обычно эти программы запускаются одновременно с Windows. Просмотрите содержимое столбцов Description (Описание), Company Name (Компания) и Command Line (Командная строка) для каждого из них. По этим данным вы, скорее всего, поймете, какие процессы относятся к какой из программ, установленных на компьютере.

Если поля Description (Описание) или Company Name (Компания) пустуют либо содержат незнакомые названия, вероятно, стоит копнуть поглубже. Щелкните правой кнопкой мыши на имени процесса в списке Process Explorer и выберите команду Properties (Свойства). Если содержимое вкладки Image (Образ) не прояснит ситуации, перейдите на вкладку Services (Службы). На этой вкладке перечисляются некоторые "легальные" сервисы, которые в главном окне Process Explorer входят в группу services.exe (и не имеют описаний в поле Description).

Предположим, например, что мы обнаружили в Process Explorer два процесса со свободными полями Description (Описание) и Company Name (Компания): slee81.exe и WLTRYSVC.EXE. При ближайшем рассмотрении на вкладке Services (Службы) выясняется, что slee81.exe — это файл Steganos Live Encryption Engine. Пользователь, сам устанавливавший программы Steganos на свой компьютер, не удивится, что они работают в фоновом режиме. Это не нарушение системы защиты, но повод задуматься: если вы не используете эту программу, возможно, стоит ее отключить и освободить ресурсы процессора?

Распознать второй файл, WLTRYSVC.EXE, еще проще — по содержимому поля Services (Службы). Поскольку имя процесса (WLTRYSVC service) мало информативно, находим файл WLTRYSVC, расположенный уровнем ниже, и обнаруживаем, что процесс WLTRYSVC запускается другим приложением — BCMWLTRY.EXE. Этот файл идентифицируется как Broadcom Wireless Network Tray Applet — еще одно приложение, установленное на компьютере.

Таким образом "прочесываем" все активные службы и фоновые приложения. Сложнее всего решить вопрос с теми из них, которые не идентифицируются и на вид не выполняют какой-либо полезной функции. Имена таких "темных лошадок" стоит поискать в интернете — возможно, их деятельность вам не понравится.

Онлайн-досье

Где искать информацию о незваных пришельцах из Сети? Подозрительные DLL в первую очередь стоит проверить в базе данных Microsoft DLL Help Database, где есть возможность поиска DLL по имени. При подозрении, что файл имеет отношение к шпионским программам, можно посетить сайт Computer Associates Spyware Information Center. Еще один хороший ресурс — Pest Encyclopedia, где есть информация более чем о 27000 формах вредоносных программ.

Если по поводу программы все еще остаются подозрения, ее можно поверить по списку Task List Programs на сайте AnswersThatWork.com, где есть список обычных программ, шпионских утилит и вирусов. Можно также воспользоваться постоянно действующими локальными средствами, такими как WinPatrol и WinTasks 5 Professional . Обе эти программы подключаются к размещенной в интернете базе данных, где есть информация о тысячах DLL-библиотек и приложений. Кроме того, WinTasks ведет еще "черный список" нежелательных процессов, не допуская их повторного запуска.

Те, для кого поиск вредоносных программ — постоянное занятие, могут воспользоваться программой Security Task Manager , которая проверяет все исполняемые файлы, драйверы и DLL независимо от того, активны они или нет.

И последнее. Поиск информации о файле в интернете не должен быть поверхностным. Чем больше сведений вы получите, тем выше вероятность того, что вы не удалите по ошибке полезную программу или DLL-библиотеку.

Внимание: rootkit

Сравнительно недавно появилась новая порода вредоносных программ — rootkit-файлы, работающие на уровне ядра операционной системы. Эти средства позволяют хакерам скрывать следы своих файлов (и сами файлы) на инфицированном компьютере. К счастью, существуют программы, позволяющие обнаружить и удалить эту инфекцию.

Хакеры используют rootkit-программы для управления и атак, а также для сбора информации с систем, на которые удалось установить rootkit — обычно вместе с вирусом или путем взлома.

Обычные rootkit-программы, как правило, после инсталляции работают незаметно, в фоновом режиме, но легко обнаруживается путем просмотра активных процессов, обмена данными с внешней средой и проверки устанавливаемых программ.

Однако rootkit-программы, действующие на уровне ядра операционной системы, изменяют само ядро или компоненты ОС. Кроме того, их гораздо труднее обнаружить.

В частности, некоторые rootkit вмешиваются в системные запросы, передаваемые ядру операционной системы, и отменяют те из них, что касаются rootkit-программ. Обычно это приводит к тому, что сведения о программе или аппаратной конфигурации становятся невидимыми для администратора или утилит поиска вредоносного ПО.

Впервые rootkit-программы появились и получили распространение в Linux и UNIX. Как следует из их названия, они позволяют хакеру получить доступ на уровне root — высший уровень административных привилегий. Самый опасный вид rootkit — средства перехвата нажатий клавиш, позволяющие узнавать регистрационные данные и пароли пользователей.

Средства борьбы с rootkit

Большинство программных детекторов, в том числе антивирусы, антишпионы и IDS (Intrusion Detection Sensors — датчики вторжений) неспособно обнаружить rootkit-программы ядра.

Стратегий распознавания rootkit ядра на инфицированном компьютере мало, так как каждый rootkit ведет себя по-своему и по-своему заметает следы.

Иногда удается обнаружить rootkit ядра, проверяя инфицированную систему с другого компьютера по сети. Еще один метод — перезагрузить компьютер с Windows PE, сокращенной версией Windows XP, запускаемой с компакт-диска, и сравнить профили чистой и инфицированной операционных систем.

В Windows с rootkit-файлами хорошо справляется бесплатная утилита RootkitRevealer , которая отыскивает файлы и ключи системного реестра, которые могут иметь отношение к rootkit. Однако программа RootkitRevealer не защищена "от дурака": далеко не все найденные ею объекты являются вредоносными. Для того чтобы эффективно использовать RootkitRevealer, необходимо правильно трактовать предоставляемую ею информацию.

RootkitRevealer не удаляет и не блокирует обнаруженные rootkit, и даже не может определенно сказать, является ли обнаруженный файл частью rootkit. Но если программа обнаружила нечто, чего на этом месте быть не должно, и антивирус не в состоянии это удалить — высока вероятность, что вы нашли то, что искали.

RootkitRevealer должна работать в полном одиночестве: пользователю рекомендуется отключить все остальные программы, в том числе фоновые и те, что включаются автоматически, такие как хранитель экрана, отложить мышку, отойти от компьютера и позволить RootkitRevealer сделать свое дело.

Если параллельно с RootkitRevealer на компьютере будет работать что-то еще, системного сбоя не произойдет, но поиск будет нарушен, и результаты могут быть неточными.

Результатом работы RootkitRevealer является список файлов, в число которых попадают метаданные NTFS для каждого раздела диска. Эти файлы создаются при нормальной работе Windows, и не всегда являются признаком наличия rootkit. Некоторые расхождения вполне допустимы. Например, первые 10-20 результатов могут иметь вид обычных ключей системного реестра, но напротив них должно стоять Access denied. Это обычные результаты для нормальной системы, независимо от наличия в ней rootkit.

Но файлы с пометкой Hidden from Windows API, — это повод для беспокойства. Такие файлы могут находиться во временных папках, папке Windows или еще где-нибудь на диске. Если вам встретятся такие файлы, попробуйте перейти к ним с помощью Windows Explorer (Проводника) и проверить: видимы ли они там? Впрочем, и это нельзя считать прямой уликой. Например, технологии скрытия файлов используют такие полезные программы, как антивирус Касперского.

Гораздо подозрительнее программы с длинными именами файлов, состоящими из произвольного набора букв и цифр. При обнаружении таких файлов рекомендуется обновить антивирус и выполнить как можно более тщательную проверку компьютера.

Менее опытные пользователи могут прибегнуть к помощи антивирусного сканера F-Secure BlackLight, который обнаруживает и обезвреживает rootkit-файлы. Несмотря на спартанский дизайн, это довольно серьезная программа.

Если же устранить rootkit ядра не удается, остается последнее средство — форматирование инфицированного диска и переустановка операционной системы.

В заключение отметим, что, хотя впервые rootkit появились в Linux и UNIX, сегодня их самая любимая среда — Windows. Такой популярности она обязана не только широкому распространению, но и наличию в ней мощных API (Application Programming Interfaces — программных интерфейсов приложения), благодаря которым легко замаскировать истинное поведение системы. Популярный Web-браузер Internet Explorer только упрощает задачу проникновения в систему хакеров, вирусов и электронных червей, которые часто являются носителями rootkit-кода.


Прислать статью
Написать, статью на какую тему вы хотели бы видеть в рассылке
Полезный совет

Если вам не нравится шрифт, установленый в Блокноте по умолчанию, то его можно поменять! =) Откройте вкладку Формат > Шрифт и поставьте, например, "Times New Roman" 12.


Прислать свой совет
Несколько простых правил

  • Задавая вопрос в рассылку, подробно, но лаконично сформулируйте его.
  • Перед тем как спросить, если есть возможность, обратитесь к поисковикам, почитайте иструкцию.
  • Ответ на вопрос должен быть именно ответом на данный вопрос.
  • Вопросы и ответы могут быть опубликованы или нет на усмотрение редакции. Человек, задавший вопрос и указавший свой e-mail, получает все ответы.
  • E-mail'ы отвечающих публикуются, если в письме не указано обратное.
  • Стиль и пунктуация писем не изменяется.
  • Не меняйте тему письма, если она уже указана. Дописывайте в тему, что хотите, но то, что уже есть НЕ МЕНЯЙТЕ!!!
  • Запрещается присылать в адрес рассылки письма с прикрепленными файлами!
  • Поиском серийников, кряков и тп. рассылка не занимается. Для этого есть ФОРУМ (раздел "Аптека").
  • Мнение редакции может не совпадать с мнением отвечающих, авторов статей и т.п.
  • ДАВАЙТЕ БУДЕМ ВЕЖЛИВЫ ДРУГ К ДРУГУ!

Внимание авторов других рассылок! Если вы хотите обменяться формами для подписки, пишите СЮДА.
© SoftHomeRU - Компьютерный мир в вопросах и ответах. © 2005-2006 г.
Содержание, дизайн, идея - Алиса Кысь.
НАПИСАТЬ

В избранное