Сообщение от soft_masha:
почти так. но оно это делает ЛЕГКО
Не "почти", а точно. Находится файл реестра, и хэш заменяется на любой другой желаемый.
Сообщение от soft_masha:
никак нельзя этому воспрепятствовать?
Можно воспрепятствовать. Запретить загрузку с внешних носителей и запаролить биос. Если юзер не админ, то сбросить биос он может только перемычкой на материнке, а значит корпус надо тоже закрыть на замок. С точки зрения винды поделать ниче нельзя. Шифровать раздел не получится - иначе как с него загрузиться. Так что, это реальная дыра. Впрочем, в линухе все точно так же. Там даже попроще, потому что все файлы настроек текстовые. )
Сообщение от Spectator:
Это не апломб
Еще какой апломб. Серьезную защиту ты будешь ломать долго и далеко не один вечер.
[Ответ]
Oleg R 22:46 14.08.2010
Сообщение от soft_masha:
делает что угодно с ними
не что угодно. нельзя узнать пароль. (можно перебором, но нормальный пароль долго)
кроме того это умеет ERD.
[Ответ]
Teddybear 23:32 14.08.2010
Интересно, а где в линухе хранится пароль?
[Ответ]
Teddybear 23:57 14.08.2010
Сообщение от soft_masha:
нигде..
Как это? Как в закрытом паролем ZIP-архиве?
[Ответ]
Oleg R 02:26 15.08.2010
Сообщение от soft_masha:
нигде.. в том то вся и фишка
Сообщение от Teddybear:
Интересно, а где в линухе хранится пароль?
в /etc/passwd или /etc/shadow
в зависимости от конфигурации. если в первой папке - в открытом виде, во второй - в зашифрованном.
[Ответ]
Spectator 13:23 15.08.2010
Сообщение от soft_masha:
нигде.. в том то вся и фишка
Не совсем так. Пароль то хранится, но не он сам, а данные, которые позволяют сравнить введенный пароль с оригинальным паролем, без самого пароля.
Схема забавная, упрощенно выглядит так:
юзер вводит пароль первый раз, все буквы меняют регистр: Spectator => sPECTATOR
Это сохраняется.
Потом, при входе, когда юзер вводит пароль, все буквы таким же образом преобразуются и сравниваются с тем что было сохранено.
Таким образом мы имеем отсутствие присутствия пароля в чистом виде на диске, и возможность сравнить пароли, при этом.
Преобразование, по факту, понятно, "несколько" сложнее, чем Spectator => sPECTATOR, это просто наглядный пример.
[Ответ]
Мне недавно попался винлокер с требованием перчислить деньги на какой-то счет Вконтакте.. Вытравил при помощи LiveCD от DrWeb
[Ответ]
Паханисимус 20:26 16.08.2010
Teddybear, Та механизм у этих хреновин ПОКА одинаковый, только счета назначения и суммы разные.
[Ответ]
Teddybear 20:32 16.08.2010
Правда эта тварь модифицировала реестр, отключив рабочий стол, меню Пуск, безопасный режим и диспетчер задач.. С рабочим столом все более менее понятно, а вот как вернуть диспетчер задач? Какие ключи или политики посмотреть?
[Ответ]
Part!zan 20:33 16.08.2010
Ну дайте мне такой троян... Хочууу!
Сообщение от Teddybear:
как вернуть диспетчер задач?
AVZ умеет. Если, конечно, вирь не стер его ехешник.
[Ответ]
Teddybear 20:37 16.08.2010
Сообщение от Part!zan:
AVZ умеет. Если, конечно, вирь не стер его ехешник.
А ключик реестра соответствующий не подскажете часом?
[Ответ]
Part!zan 20:40 16.08.2010
Teddybear, не помню. А что мешает AVZ воспользоваться? Могу сказать, что через групповые политики (gpedit.msc) тоже можно восстановить, но там искать нужное место непросто.
[Ответ]
Teddybear 20:43 16.08.2010
Сообщение от Part!zan:
А что мешает AVZ воспользоваться?
Teddybear,
Завтра иду к одной подруге.
Вин7. Порно баннер, который просит положить 400р на телефон и на чеке будет код разблокировки (ну они совсем уже обнаглели!).
Под семерку еще ни разу не приходилось лечить такое. Есть различия от ХР? Я простым autoruns и ERD comander обойдусь?
[Ответ]
Teddybear 20:57 16.08.2010
Катя.,
я семерку тоже не лечил ни разу.. Об этом лучше Партизана спросить
[Ответ]
Part!zan 21:03 16.08.2010
Катя., нда, все усилия мелкософта с ее UAC - коту под хвост. А ты мне троян подаришь после лечения? )
[Ответ]
Катя. 21:05 16.08.2010
Part!zan, только если найду
вообще код на чеке - это нонсенс. боюсь что его ни один антивирус не найдет. придется искать ручками и головой.
[Ответ]
Teddybear 21:08 16.08.2010
Сообщение от Катя.:
боюсь что его ни один антивирус не найдет.
Не факт.. В моем случае это оказался обычный exe-шник с названием "VIP_porno.avi.exe
[Ответ]
Part!zan 21:10 16.08.2010
Катя., я тебя очень прошу. ) А то теории навалом, а практики никакой. Ни разу не попадалась такая зараза.
[Ответ]