Анализируем вирус Stuxnet с помощью инструментов Sysinternals (часть 2)

В первой части я начал исследование известного червя Stuxnet с помощью инструментов Sysinternals. Я использовал Process Explorer, Autoruns и VMMap для осмотра системы после ее заражения. Autoruns быстро показал сердце Stuxnet, два драйвера устройств с именами Mrxcls.sys и Mrxnet.sys, и оказалось, что для отключения Stuxnet (и предотвращения повторного заражения) необходимо просто удалить эти драйверы и…

1

Анализируем вирус Stuxnet с помощью инструментов Sysinternals (часть 1)

Хотя сначала я не понял, с чем я столкнулся, впервые Stuxnet попался мне на глаза 5 июля прошлого лета, когда я получил электронную почту от программиста с вложенным файлом драйвера Mrxnet.sys, который он идентифицировал как руткит. Драйвер, ведущий себя как руткит, не является чем-то особенным, однако данный файл отличался тем, что информация о версии идентифицировала…

1

Дело о нерабочей системе

Эта статья продолжает тему борьбы с вредоносным программным обеспечением, которая затронула несколько моих последних публикаций и приурочена к выходу моего романа Zero Day (который состоится сегодня!) Эта история началась с того, что моя подруга из Microsoft рассказала мне, что у ее соседки был ноутбук, который из-за вредоносных программ стал непригоден для работы, и она попросила…

1

Дело о блокировке утилит Sysinternals вредоносным ПО

В преддверии публикации моего романа Zero Day, выход которого назначен на 15 марта, продолжим тему случаев, связанных с вредоносным программным обеспечением (на прошлой неделе я опубликовал статью "Дело о вредоносном автозапуске"). Эта статья рассказывает о случае, о котором мне сообщил пользователь, применивший уникальный подход к очистке системы после того, как он столкнулся с невозможностью запустить…

1

Дело о вредоносном автозапуске

Учитывая то, что мой роман, Zero Day, будет опубликован через несколько недель и основой повествования в нем является использование вредоносного ПО террористами в качестве оружия, я решил опубликовать статью, которая рассказывает о борьбе с вредоносным ПО средставами утилит Sysinternals. Этот случай начался с того, что в службу поддержки Microsoft поступил звонок от клиента, работающего в…

1

Случаи с BSoD: ищем подсказки в аварийном дампе и в Сети

Мои последние публикации в блоге были посвящены «эстетической» стороне «синих экранов смерти» – в них я рассказывал, как настроить цвета BSoD. Надежность кода режима ядра Windows становится лучше с каждым выпуском, так что многие из вас никогда не столкнутся с BSoD. Но если вы все же увидели его (речь идет не о BSoD, который вы…

1

Анонс романа «День ноль»

Вы читаете эту новость, если являетесь моими друзьями на Facebook, следите за мной в Твиттере или подписаны на рассылку блога Sysinternal. Я горд сообщить, что мой первый роман – кибертриллер «День ноль» готовится к печати в издательстве St. Martin’s Press в середине марта. Если вам нравятся инструменты Sysinternals, статьи, которые я помещаю в этот блог,…

1

«Синий экран смерти» в другом цвете в один клик

В моей последней публикации я описал, как использовать локальную отладку ядра, чтобы изменить цвета экрана BSOD в Windows, также известного как «синий экран смерти». Несомненно, многие из вас подумали, что показать синий или красный BSoD своим друзьям или родным было бы забавно, однако описанные шаги для реализации этой затеи слишком сложны. Алекс Ионеску (Alex Ionescu),…

1

«Синий экран смерти» в любом другом цвете

Наблюдение BSoD с цветом, отличающимся от синего может смутить кого угодно, даже меня, и, основываясь на реакции аудитории TechEd, я готов поспорить, что вам было бы интересно подобрать свой цвет и потом показать его своим друзьям-айтишникам. Впервые я увидел это в исполнении Дэна Пирсона (Dan Pearson) во время его беседы о диагностике аварийных дампов памяти,…

1

Дело о медленном открытии файлов Project

Если вы видели одну из моих презентаций из серии «Дело о …" (например ту, которую я представил на TechEd Europe в прошлом месяце, доступную для просмотра в сети), то вы знаете, что я считаю стеки потоков мощным диагностическим инструментом для поиска корневой причины проблем производительности, некорректного поведения программ, сбоев и зависаний (краткое описание того, что…

1