Неплохо было бы автору в топике собрать всё полезное, что написали в комментах. Особенно названия программ.
От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
Варианты зарытия вирей:
1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
4) подмена какого-нить системного процесса. ну тут всё просто =)
Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.
Кстати по поводу дозвона при подключенном GPRS/EDGE. Эта проблема довольно старая. Что заметил — если идёт какая-то активная закачка, то дозвониться до этого человека нереально, говорят абонент не абонент. Если же активной закачки — нет, то вполне спокойно можно до такого абонента дозвониться. Почему так происходит?
В 3G такого нет, во время 3G сессии можно одновременно разговаривать и качать данные, правда я такое видел только за бугром.
И кстати опять же — можно через американский прокси ходить на SF =) Дыры в любом случае найти можно, так что пофигу =) Главное чтоб на разработку это не повлияло…
А информация о проекте (явно использующим шифрование) считается предметом экспорта? Например на SF будет храниться только информация и документация по проекту (или даже тупо ссылка на другой сайт), а файло — раздаваться через какие-нибудь торренты?
В МТСе, например, с помощью этого DEFAPN реализована услуга "доступ без настроек". В отличии от мегафона и билайна — у МТСа тарификация идёт в зависимости от направления (интернет, ммс, вап) + корректируются параметры прокси-сервера для вап и ммс.
То есть при использовании одного апн, можно отправлять ммс, лазить по инету, выходить в вап.
Ммс-трафик при этом будет бесплатен (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети + заголовка ммс-сообщений)
вап (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети) по цене вапа
интернет (запрос на любой не «серый» адрес) по цене интернета с учётом скидок и пакетов.
Так что операторы не только могут таким образом «тупо рубить капусту» но и помогать пользователям, которые не могут справиться с настройкой гпрс (по крайней мере это касается МТСа, в билайне, на сколько я знаю, весь «корректированый» трафик тарифицируется по цене вапа, что огорчает =( ).
Я всегда так делаю =) Винду так особенно удобно переносить. Потом с помощью партишнмэджика расширить разделы как надо и усё.
Ещё как-то давно фряху с живого сервера переносил на новый сервер с помощью nfs.
Время отключения старого сервера при замене составило 5 минут =)
Хотя можно перенести и с помощью такого изврата:
новый сервер:
— nc -l -p 1234 | dd of=/dev/sdb bs=$((1024*1024))
старый
dd if=/dev/sdb bs=$((1024*1024))| nc 1.2.3.4 1234
— Я так винду с старого компа на ноут переносил…
От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
Варианты зарытия вирей:
1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
4) подмена какого-нить системного процесса. ну тут всё просто =)
Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.
Надеюсь сей текст будет кому-нибудь полезен =)
В 3G такого нет, во время 3G сессии можно одновременно разговаривать и качать данные, правда я такое видел только за бугром.
То есть при использовании одного апн, можно отправлять ммс, лазить по инету, выходить в вап.
Ммс-трафик при этом будет бесплатен (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети + заголовка ммс-сообщений)
вап (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети) по цене вапа
интернет (запрос на любой не «серый» адрес) по цене интернета с учётом скидок и пакетов.
Так что операторы не только могут таким образом «тупо рубить капусту» но и помогать пользователям, которые не могут справиться с настройкой гпрс (по крайней мере это касается МТСа, в билайне, на сколько я знаю, весь «корректированый» трафик тарифицируется по цене вапа, что огорчает =( ).
tar -c /usr /var /etc /boot… | nc 1.2.3.4 1234
nc -l -p 1234 | tar -x
Ещё как-то давно фряху с живого сервера переносил на новый сервер с помощью nfs.
Время отключения старого сервера при замене составило 5 минут =)
Хотя можно перенести и с помощью такого изврата:
новый сервер:
— nc -l -p 1234 | dd of=/dev/sdb bs=$((1024*1024))
старый
dd if=/dev/sdb bs=$((1024*1024))| nc 1.2.3.4 1234
— Я так винду с старого компа на ноут переносил…