Читаем Создаем вирус и антивирус полностью

Самая лучшая из опробованных программ, Hook Dump 2.5 (http://www.geocities.com/SiliconValley/Vista/6001/hookdump.zip или http://www.halyava.ru/ilya/, для Win 3.1 и Win 95) может автоматически загружаться при включении компьютера, при этом никак не проявляя своего присутствия. Набранный на клавиатуре текст, названия программ, в которых набирался текст, и даже скрытый пароль в Dial-Up Networking, который вообще не набирался – все записывается в файл, расположенный в любой директории и под любым именем. Программа имеет много настроек, позволяющих определять нужную конфигурацию.

Нужно помнить, что за счет побочных электромагнитных излучений и наводок (ПЭМИН) можно считывать информацию с монитора компьютера (разумеется, с помощью специальных технических средств) на расстоянии до 200 метров, а то и больше. Также можно считывать информацию с процессора, клавиатуры, винчестера, дисковода (когда они работают, естественно). Поэтому все криптосистемы становятся почти бессмысленными, если не принять соответствующих мер защиты. Для защиты от ПЭМИН рекомендуется применять генераторы белого шума (в диапазоне от 1 до 1000 МГц) типа ГБШ-1 или Салют. Их (а также другие интересные вещи) можно приобрести в фирмах, торгующих спецтехникой. А можно заняться творчеством и сделать их самостоятельно, используя схемы из популярной книги «Шпионские штучки» (в Москве ее можно приобрести, например, в СК «Олимпийский» или на радиорынке в Митино).

Пейджер стал для многих незаменимым средством оперативного общения. Но мало кто знает, что технология пейджинга позволяет организовать прослушивание (мониторинг) пейджинговых сообщений с помощь несложной аппаратуры (сканер+компьютер+соответствующее программное обеспечение). Поэтому пейджинговые компании контролируются не только ФСБ, ФАПСИ и прочими силовыми подразделениями, но и всеми, кому не лень, в том числе криминальными структурами и новоявленными Джеймс Бондами в лице отечественных фирм, занимающихся так называемой защитой информации.

Получение E-mail

Иногда у пользователя возникает ситуация, когда хотелось бы выявить реального автора полученного сообщения. Например, получено сообщение от вашей жены, в котором она пишет, что уходит к другому. Вы можете либо вздохнуть с облегчением, выпить на радостях рюмку-другую и отправиться с друзьями на дачу праздновать это событие, либо попытаться выяснить, не является ли это чьей-то шуткой.

Ваши друзья могли легко изменить поле From в отправленном сообщении, поставив туда вместо своего обратного адреса хорошо известный вам адрес вашей жены, например masha@flash.net. Как это делается, можно прочесть в разделе «Отправление e-mail». Так что стоящая перед нами задача сводится к следующему: определить, соответствует ли указанный адрес отправителя адресу, с которого в действительности было отправлено сообщение.

Итак, каждое электронное сообщение содержит заголовок (header), который содержит служебную информацию о дате отправления сообщения, названии почтовой программы, IP-адресе машины, с которой было отправлено сообщение, и так далее. Большинство почтовых программ по умолчанию не отражают эту информацию, но ее всегда можно увидеть, открыв с помощью любого текстового редактора файл, содержащий входящую почту, или используя функцию почтовой программы, позволяющую просматривать служебные заголовки (как правило, она называется Show all headers). Что же видим?

Received: by geocities.com (8.8.5/8.8.5) with ESMTP id JAA16952

for ; Tue, 18 Nov 1997 09:37:40 −0800 (PST)

Received: from masha.flash.net (really [209.30.69.99])

by endeavor.flash.net (8.8.7/8.8.5) with SMTP id LAA20454

for ; Tue, 18 Nov 1997 11:37:38 −0600 (CST)

Message−ID: <3471D27E.69A9@flash.net>

Date: Tue, 18 Nov 1997 11:38:07 −0600

From: masha@flash.net

X−Mailer: Mozilla 3.02 (Win95; U)

MIME−Version: 1.0

To: petya@geocities.com

Subject: I don’t love you any more, you *&$%# !!!!

Да, много всякого. Не вдаваясь в технические подробности, в общих чертах: заголовки Received сообщают путь, который прошло сообщение в процессе пересылки по сети. Имена машин (geocities.com, endeavor. flash.net) указывают на то, что сообщение, скорее всего, пришло к вам в geocities.com из домена вашей жены flash.net. Если имена машин не имеют ничего общего с flash.net (например, mailrelay.tiac.net), это повод задуматься о подлинности сообщения. Но самая главная строка для нас – последняя из строк, начинающихся со слова Received:

Received: from masha.flash.net (really [209.30.69.99])