Сервис это программа написанная особым образом, чаще всего имеющая привилегии local SYSTEM. Сервисы используются как системные службы, например для ведения логов, работы web-сервера и т.д. Как же система различает сервис это или обычная программа? Система просматривает реестр, где зарегистрированы все сервисы. Данная база доступна для просмотра в Microsoft Management Console (mmc.exe), но только для пользователей с правами администратора. Так же этот список всех сервисов можно просмотреть в реестре по ключу:

HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServices

Атака подменой сервиса

Основной смысл атаки на сервисы заключается в их подмене. К примеру: есть сервис logon.scr, который представляет собой "Logon Screen Saver" - системный хранитель экрана.

Как уже сообщала "Компьюлента", 15 октября корпорация Microsoft выпустила пять новых бюллетеней безопасности с описанием новых дыр в операционных системах семейства Windows.

В первых двух из них обсуждались проблемы, связанные с технологией ActiveX, остальные же бюллетени посвящены ошибкам переполнения буфера в других модулях популярных операционных систем Microsoft.

Бюллетень MS03-043 описывает ошибку переполнения буфера в системной службе Messenger. Эта служба не имеет ничего общего с популярными интернет-пейджерами MSN Messenger и Windows Messenger и служит для передачи по сети сообщений от одного пользователя к другому, а также для различных оповещений, например, о завершении печати документа на сетевом принтере.

Недостаток обнаружен в Microsoft Windows Server 2003. Удаленный пользователь может сослаться на различные файлы относительно "Shell Folders" на целевой системе. Эта проблема может облегчить эксплуатацию других уязвимостей.

Удаленный пользователь может сконструировать HTML, который может сослаться на различные "shell folders" на системе используя '..' символы обхода каталога в комбинации с 'shell:' URL. Удаленный пользователь не должен знать или предполагать имя учетной записи целевого пользователя, чтобы получить доступ к этим директориям.

В последнее время компьютерный мир захлестнула волна макро вирусов. Почему же данные вирусы получили такое распространение?

Всё довольно просто - для создания макро вируса не нужно каких либо глубоких познаний в программировании, так же не нужно знания ассемблера. Что позволило множеству неопытных программистов попробовать свои силы в разработке вирусов. Что же необходимо для разработки макро вируса?

Во первых это минимальное знание языка VB и желательно VBA, для разработки полностью готового к распространению макро вируса вам понадобится Microsoft Word 97/2000 и желательно какой-нибудь антивирус с обновлёнными базами.

Найден новый метод обхода SurfControl для MS Proxy. Итак, как же обойти этот дурацкий механизм фильтрации урлов... Системы уязвимы: SurfControl для MS Proxy version 3.0.2. Тестовые условия: Мы установили "правила" так, чтобы запретить доступ к сайтам, классифицированным, как Adult/Sexually Explicit, Hacking, etc. (как всегда, все самое интересное :) А это означает, что любой, кто попытается зайти на www."заблокированный сайт".com получит вместо инфы большой и жирный кукиш от вредной проги - SurfControl.

Зачем это нужно? Как известно, компьютеры взламывают через ошибки в программах или их настройках.

Очевидно, что если доступных из сети программ (сервисов) нет, то взломать такой компьютер невозможно (это то же самое, что пытаться взломать компьютер, не включенный в сеть вообще).

Как защититься? Сервисы нужны. Иначе бы их не было :) Хотелось бы, чтобы они были доступны только с некоторых машин, например, из локальной сети. Стандартное решение - использование брандмауэра - программы или железяки, избирательно пропускающей информацию по сети.

Наверное, ты крутой, просто очень крутой WEB дизайнер. Так вот, сделал ты однажды сервер (купил... за чужую креду, наверное) или просто WEB страничку. Проходит день, другой, третий (месяц уже прошел... к тебе уже приехали из отдела по борьбе с экономическими преступлениями за использование той креды, про которую я говорил :)), а к тебе на сайт так никто кроме тебя и твоих друзей не зашел (вот облом...). "Что ж делать?!" - спросишь ты, а я отвечу: "А ничего не делать, копить кучу гринов и платить какой-нить фирме, чтоб она твои баннеры показывала...:(" Такой вариант, я понял, тебя не устраивает. Тогда читай эту статью до конца и делай, как будет написано! (а деньги, если хочешь, можешь мне прислать:))

Хочу заранее оговориться, что некоторые методы не очень-то и легальны, поэтому ты будешь юзать их на свой страх и риск...

Что главное для троянов и прочих программ "удаленного управления" компом? Конечно незаметность! И даже если получиться сокрыть саму программу, в частности дав ей "невидимость" в диспетчере задач, то это целиком не решит всей проблемы. Остается еще один способ обнаружения таких программ - через их функции работы с сетью. Иногда сканер выдает: "открыто: 12345 порт - удаленное администрирование или trojan". Вот так и ловятся трояны :)

Поэтому я тебе поведаю о способах сокрытия сетевых соединений, в чисто ознакомительных целях, конечно :) Для начала рассмотрим, как можно обнаружить присутствие твоей проги на чужом компе. Как ты знаешь, трояны состоят из серверной и клиентской частей, причем серверная находиться на чужом компе. Отсюда и открытый порт трояна, который и обнаруживается сканером портов.

Инструменты: W32Dasm v 8.93, SoftIce v 4.x (или) Spy++.

Всем нравится трепаться по Асе и другим IM-системам, и никто не хочет за это удовольствие деньги авторам того же клиента отстегивать. Чтобы спасти свой бюджет производители вставляют в софт баннеры, которые приносят деньги первым и раздражают своим миганием пользователей. Однако, если клиент вдруг захочет избавиться от баннера, сможет ли он это сделать?

Коль скоро, защиту ICQ исследуют все кому только не лень, посмотрим как организована реклама в IM-клиенте Odigo. Скачиваем русскую версию, инсталим ее, регимся (сомневаюсь, что у кого-то уже есть аккаунт в Odigo) и вот он внизу окошка противный такой желтый - баннер.