Читаем Журнал «Компьютерра» № 35 от 26 сентября 2006 года полностью

2. У антивирусных мониторов, осуществляющих постоянную проверку исполняемого в данный момент кода, шансов отловить троян и того меньше. Они не могут (да и не должны) вести проверку столь же тщательно, как AV-сканеры. Кроме того, антивирусный монитор (если он запускается как приложение, а не служба) трояну легко обмануть, попросту скрыв свое присутствие.

3. Специализированное ПО для поиска троянов действует схожим с AV-сканерами образом; однако оно также проверяет записи реестра (в первую очередь — все секции автозапуска), файлы настроек (boot.ini, win.ini etc.) и может быть способно определить открытые/прослушиваемые порты, что резко повышает эффективность проверки.

Мудрый пользователь имеет в своем арсенале все три вида, но вот запускать их одновременно не стоит ни в коем случае (см. врезку «много хорошо — тоже плохо»).

Автоматическое оружие

Полное удаление найденных троянов с помощью любой из этих утилит не всегда возможно. Логика работы WinXP такова, что не допускает удаления файлов, если к ним обращается какой-то активный процесс. А завершить процесс трояна (особенно уровня ядра ОС) в автоматическом режиме не всегда просто… да и опасно в плане сохранности данных.

Здесь-то и выходят на сцену узкие специалисты, специально обученные удалять наиболее глубоко засевших коней разными (в том числе недокументированными) способами. В первую очередь, это утилита с богатейшей функциональностью производства компании Ewido; она отлавливает не только троянов, но и другое неприятное ПО вроде ad-ware и т. п. Бесплатную тридцатидневную версию можно найти по адресу www.ewido.net/en/product. Есть еще парочка неплохих утилит Trojan Hunter/Spy Hunter, лежащих на www.misec.net/trojanhunte.

Очень мощная утилита компании EMSI — a-squared. Бесплатная версия просканирует и укажет на наличие вредоносного ПО. К сожалению, полная функциональность — только за деньги.

Кроме того, можно посоветовать российскую разработку agnitum Tauscan. Утилита создана специально для борьбы с троянами. Несмотря на ориентацию на неопытных пользователей, разработчики не забывают и о функциональности, база достаточно обширна и содержит около четырех тысяч записей.

Заглянув на www.izcity.com/soft/security/spy, присмотритесь к Trend Micro CWShredder. Это утилита для нахождения и удаления шпионских программ, позволяющая обнаружить следы присутствия на персональном компьютере так называемых Cool Web Search, тоже относящихся к троянам. А по адресу soft.oszone.net/subcat/1/ можно найти массу бесплатных антивирусных программ.

Ну и напоследок, одна из самых известных утилит — Trojan Remover. Ее база на данный момент насчитывает больше десяти тысяч сигнатур.


РОДЕО В домашних услових

Бывает, вы обнаружили активного трояна, а удалить его целиком не смогли. Что делать? В эпоху FAT32 и однодисковых конфигураций ответ был очевиден: загрузиться из-под DOS и удалить оставшиеся фрагменты тела вредителя (или его целиком) вручную.

Появление NTFS— и RAID-массивов заметно усложнило ситуацию. Дело в том, что NTFS является закрытой файловой системой. Ни одна сторонняя ОС и драйверы других разработчиков не поддерживают ее полностью. Если с чтением они еще худо-бедно справляются, то попытка записать/удалить что-либо на NTFS-разделе с их помощью подобна игре в русскую рулетку.

Лучше других для целей ручного удаления подходит версия WinXP PE. Однако и она пасует перед RAID уровня 0. Возможность догрузить дополнительные драйверы (например, nVidia nvRAID) при загрузке по {F6} реально не работала ни на одном из попавшихся мне дистрибутивов WinXP PE. Поэтому, если у вас задействован RAID-контроллер или другие устройства, поддержка которых не включена [Отгульный скот] по умолчанию в Windows, — соберите собственный дистрибутив WinXP PE, дополнив его всем необходимым. Уверен, он поможет вам не единожды. Начните со скачивания приличного PE-билдера.

Более безопасный (но и менее гарантированный) способ ручного удаления заключается в запуске различных «кулхацких» утилит непосредственно из-под инфицированной системы. Для минимализации риска их заражения/дезактивации можно осуществить запуск через защищенный режим AVZ [Об этом уникальном творении Олега Зайцева читайте в ближайших выпусках «Компьютерры»].

Среди таких программ отмечу три творения от компании DiamondCS:

1. Advanced Process Termination (APT). Уникальность этой бесплатной софтинки в том, что она предлагает на выбор дюжину пользовательских и два «ядерных» метода завершения активного процесса (читай — выгрузки активного трояна). Полагаю, лучше не реализовано нигде.

Перейти на страницу:

Все книги серии Компьютерра

Похожие книги

«Если», 1998 № 10
«Если», 1998 № 10

ДЭВИД БРИН. ДЕЛО ПРАКТИКИМодель мира, придуманная Д. Брином, удивит даже самых искушенных знатоков фантастики.Дж. Дж. ХЕМРИ. ЕСЛИ ЛЕГОНЬКО ПОДТОЛКНУТЬ…Отправляемые на Марс исследовательские аппараты гибнут один за другим. В чем причина? Вы не поверите…Василий ГОЛОВАЧЕВ. НЕВЫКЛЮЧЕННЫЙГероя рассказа постигает странная форма амнезии: из его памяти исчезают книги, знаменитые актеры, исторические персонажи и целые государства.Фред САБЕРХАГЕН. ОБМЕН РОЛЯМИ«Наш» агент отправляется в Лондон XIX века, чтобы нейтрализовать вражеского андроида, угрожающего будущему всего человечества.Бен БОВА. ВОПРОСНи одна угроза инопланетян не смогла бы привести человечество в такое смятение, как это мирное предложение…Эдуард ГЕВОРКЯН, Николай ЮТАНОВ. НИЩИЕ ДУХОМ НЕ СМОТРЯТ НА ЗВЕЗДЫГрозит ли нам вырождение, если мы забудем о космической миссии человечества?Михаил ЮГОВ. ЭЛЕМЕНТАРНО, ВАТСОН?О феномене Шерлока Холмса рассуждает психолог.ВЛ.ГАКОВ. ВОСХОЖДЕНИЕ ДЭВИДА БРИНАЗнаменитый фантаст до сих пор сожалеет, что не стал ученым или инженером.БАНК ИДЕЙФзнтезийная задача оказалась неожиданно трудной для участников традиционного конкурса.Юрий БРАЙДЕР, Николай ЧАДОВИЧ. «ХОРОШУЮ ИСТОРИЮ ЖАЛКО ОБРЫВАТЬ»На вопросы читателей отвечают известные белорусские писатели Юрий Брайдер и Николай Чадович.ПОЛЕМИКАУ читателя есть претензии к нашему автору… У автора — к читателю!КУРСОРЧто еще новенького в мире фантастики?РЕЦЕНЗИИЧто еще новенького в книжном море?ПЕРСОНАЛИИСпециально для любителей подробностей.

Василий Васильевич Головачёв , Вл. Гаков , Журнал «Если» , Николай Ютанов , Фред Саберхаген

Фантастика / Проза / Журналы, газеты / Научная Фантастика / Повесть