Настройка Windows с использованием реестра


Сокрытие информации - часть 4


Приятного в этом мало, а сталкиваться с этим приходится постоянно. Я даже написал небольшую статью о способах загрузки таких "паразитов" (Если поселился незванный гость...). Методы маскировки таких программ в системе там были затронуты совсем немного, а тут хотелось бы остановиться на этом подробнее. Так вот, найти программу, меняющую домашнюю страницу ему никак не удавалось. Когда он выслал мне экспортированный кусочек реестра с разделом Run, первое что бросилось в глаза - параметр winlogon, запускающий winlogon.js из каталога шрифтов Windows. В каталоге шрифтов никаких Ява-скриптов быть не может! Но если смотреть не очень внимательно, то вполне можно пропустить вроде бы системную программу, запускаемую из системного каталога. Причем, в FONTS пользователи заглядывают гораздо реже, чем в System. Отсюда мораль - программы, пытающиеся запуститься незаметно, стараются маскироваться под системные приложения, поэтому именно на них надо обращать внимание в первую очередь и тщательно разбираться что это за программа, откуда она запускается, что делает.

Вот еще один случай: в бытность работы своей на одном заводе несколько лет назад, наше бюро получило задание от начальства установить на компьютерах программу, логирующую все действия, людей работающих за ними. Начальству очень не хотелось, чтобы программисты в рабочее время играли в игрушки и занимались посторонними делами. Оно не могло понять, что игры - неотъемлемая часть работы любого программиста :). Для этих целей было взята программа StatWin, которая и сама по себе довольно неплохо шифруется в системе, а в сочетании с установкой на сетевом диске, да закапыванием автозапуска в самые дебри реестра, заметить ее аккуратную работу было очень сложно. И она тихо-мирно проработала несколько месяцев, пока дикая случайность не позволила ее обнаружить (подвела именно установка на сетевой диск). Я скромно умолчу о скандале, поднявшемся после этого, но начальство было очень опечалено последующими событиями :). Однако, любопытен сам факт того, что десятки программистов на протяжении нескольких месяцев не замечали тотальной слежки! А это далеко не обычные пользователи, которых обмануть гораздо легче.




Начало  Назад  Вперед



Книжный магазин