| Тимур | Дата: Пятница, 30.05.2014, 13:00 | Сообщение # 1 |
 Молчун
Группа: Администраторы
Сообщений: 7
Статус: Offline
| Командный интерпретатор "cmd.exe" - слишком опасная штука, чтобы держать его на своем компе. Но и удалить его мы не можем - тогда перестанут работать некоторые инсталляторы и программы-оболочки. К тому же оставлять себя без командной строки - тоже не выход. Может, попробовать переименовать его? Тогда атакующие точно останутся ни у дел! Однако с легальными программами произойдет то же самое, поскольку они определяют имя командного интерпретатора по переменной COMSPEC, а она по умолчанию указывает на C:\WINDOWS\System32\cmd.exe.
Но это тоже поправимо! Обзываем "cmd.exe" в "hacker.exe", соответствующим образом скорректировав переменную COMSPEC: [Win+Break]-->Дополнительно-->Переменные среды-->COMSPEC-->Изменить.
Теперь напишем коротенькую программу, выводящую на экран предупреждение о хакерском вторжении и (!)переименуем ее в "cmd.exe".
При всей своей простоте предложенный прием необычайно эффективен. Хакеры и сетевые черви практические никогда не анализируют переменную окружения COMSPEC. Вместо этого - командный интерпретатор вызывается по его исходному имени cmd.exe, позволяя тем самым обнаружить атаку на самых ранних стадиях проникновения!
|
| |
| |
