pc-facile.com
http://www.pc-facile.com/guide/metodi_esecuzione_virus_spyware_malware/132.htm



Virus: hydra 20 Dicembre 04 @ 00:01 am

4. Strumenti di controllo

Nulla è meglio della pazienza e della voglia che, unite alla conoscenza, rendono il sistema abbastanza sicuro. Ma che fare quando mancano ? Che fare quando il tempo è poco e soprattutto quando si ha intenzione di prevenire, e non curare, l'esecuzione di files nocivi ?

La stessa Microsoft ha messo a disposizione nella famiglia 9x un piccolo monitorizzatore rintracciabile all'interno di C:\WINDOWS con il nome di msconfig.exe

Questo tool permette la visualizzazione del contenuto dei files WIN.INI e SYSTEM.INI e della chiave :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

Più ricchi ma non ancora sufficientemente completi sono i softwares prodotti da Mike Lin :

Startup Control Panel ( SCP )

e

Startup Monitor

Il primo rende possibile la visualizzazione delle cartelle :

C:\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica
C:\WINDOWS\All Users\Menu Avvio\Programmi\Esecuzione automatica


e delle chiavi :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]


Mentre il secondo ( Startup Monitor ) le monitorizza attivamente ( in real time ) con lo scopo di avvisare l'utente della modifica o dell'inserimento di un eseguibile, lasciando libero chi legge di decidere se continuare con la scrittura del file all'interno dell'area controllata o meno ( utile anche nel caso si abbia a che fare con l'installazione di normali ma invadenti softwares ).

Un terzo software relativamente buono è Purge-It.
Questo programma scansisce, monitorizza e mostra in chiaro tutti i processi attivi ed i valori contenuti in :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]


Visualizza il contenuto dei files :

Win.ini
System.ini
Wininit.ini
Autoexec.bat
Winstart.bat
Dosstart.bat
Control.ini
Msdos.sys
Config.sys


Monitorizza le cartelle :

Esecuzione automatica
All user startup
Windows
System


Controlla quali e se ne esistano di condivise, con la possibilità di editarne le proprietà.

Mostra infine tutte le connessioni in atto e ne dichiara le porte, controlla eventuali applicaizoni lanciate dal NetDetect di ICQ, controlla se vengono lanciati eseguibili durante l'esecuzione di files *exe, *bat e *com, non che i VXD caricati ed installati. Unica pecca è il non corretto funzionamento con sistemi operativi come Win2k, Xp e NT.

Ora come ora, purtroppo, non ho trovato nessun software in grado di fornire una protezione medio alta al sistema. Esistono molti tool in rete, ma ognuno ha i suoi limiti e bugs.
Infatti sia StartupMonitor, Startup Control Panel che Msconfig ( e con loro Antivirus e Firewalls ) possono essere semplicemente bypassati , oltre che disattivati. Mentre un software relativamente buono come Purge-it diviene completamente inutile su un ampio range di sistemi operativi.

L'unica cosa lecita e possibile ( per ora ) è utilizzare software come quelli di Lin e di spingersi manualmente sin dove loro non riescono ad arrivare.

Spero che questo breve tutorial sia stato d'aiuto a qualcuno.

Ricordo che la rete è piena di informazioni a riguardo, basta saper cercare ed unire i vari tasselli, senza però dimenticar d'aggiungere al tutto nuove metodologie scoperte smanettando ora dopo ora davanti ad uno schermo illuminato.





© 2000-2024 pc-facile.com