Monday, June 6, 2011     17:19
#

Примеры защиты от шпионских программ.

Micro Keylogger – это невидимый и скрытый кейлоггер в отличие от других клавиатурных шпионов, которые не являются полностью скрытыми. Он работает тихо и не влияют на производительность системы. Скрытно отправляет отчет на электронную почту или FTP сервер.

Обнаружение и удаление компьютерного шпиона Micro Keylogger

Этот шпион не имеет активных процессов в системе, служб и не использует стандартные методы загрузок своего функционала. Он использует библиотеки DLL

(DLL или dynamic-link library это файл с дополнительными ресурсами, которые могут использоваться программами и самой операционной системой. В DLL файлы помещают исполняемый код и другие данные нужные различным программам при их выполнении. Один и тот же DLL файл может использоваться несколькими программами одновременно.)

и загружает их в месте с системой Windows через системный процесс rundll32.

(Хост-процесс Windows (Rundll32) — компонент операционных систем семейства Microsoft Windows, запускающий программы, находящиеся в динамически подключаемых библиотеках.)

Собранную информацию шпион выкидывает за несколько секунд на специальный сервер или электронный адрес, так же используя системный процесс explorer.exe

(Процесс explorer.exe - это исполняемый файл Проводника Windows.)

В мониторах системы нет никаких странных процессов и в автозагрузке, тоже нет подозрительных программ, которые были запущены. Можно сделать заключение, что компьютер чист и не имеет ни каких методов слежки. Но это не так, не изучив загруженные во все процессы библиотеки DLL, нельзя делать такие заключения. Сейчас на примере мы посмотрим, как можно обнаружить шпиона Micro Keylogger через программу маскировщик Mask S.W.B Pro. Открываем программу просматриваем мониторы драйверов, процессов, служб не чего подозрительного не находим и переходим к монитору DLL, выключаем через контекстное меню окна контроль UAC, если он включен.

(При использовании версии Mask S.W.B Pro USB, отключать UAC для анализа монитора DLL не обязательно, в момент запуска программы нужно просто отказаться от прав администратора).

(UAC - это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

Маскировщик работает с правами администратора и его мониторы тоже, не все шпионы могут подключаться к программам с такими правами. По этому для детального изучения и выявления в системе вышеописанной слежки мы отключаем UAC на время анализа системы, позже через это же контекстное меню контроль можно включить обратно.

Перезагружаем компьютер запускаем программу Mask S.W.B Pro и открываем монитор DLL.

В списке загруженных библиотек обнаруживаем красным цветом файл core32_3.dll – это и есть DLL шпион от программы Micro Keylogger. Теперь мы видим у нас в системе шпион, его имя и путь к папке C:\Windows\security\Syslogs, в которой он находится.

Шпион от Micro Keylogger обнаружен, теперь рассмотрим, как его обезвредить. Нажимаем правой кнопкой мыши на красную строку и в контекстном меню, выбираем пункт отключить.

Далее подтверждаем свои действия и для завершения операции перезагружаем компьютер.

После перезагрузки компьютера шпион Micro Keylogger будет нейтрализован.

Следующим действием удаляем данные и папку, в которой находятся файлы от шпиона C:\Windows\security\Syslogs.

При запуске системы может появиться сообщение об ошибке core32_3.dll, тогда потребуется открыть системный реестр, найти через функцию поиска все параметры, в которых присутствует имя шпионской библиотеки core32_3.dll и удалить их.

Для этого, нажимаем на клавиатуре Win + R, вводим regedit и нажимаем Ok.

Для маскировки своих действий от шпиона Micro Keylogger не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Ваши произведённые действия в защищённой среде шпион не будет видеть, даже если он будет, находится в активном состоянии.

Скачайте программу маскировщик Mask S.W.B, и бесплатно проверьте - осуществляется ли за вами слежка при помощи шпиона Micro Keylogger.

Вернуться назад