Hacking

Malware - Detecting

Upload Malware

Doporučujeme














Naše Bannery








Toplist




Chybné spúštanie súborov


V operačnom systéme je viacero spôsobov spúštania súborov. Závisí to od toho, v akom mode sú spúšťané - v kernely sa volajú funkcie API, v user mode sa navyše so súbormi narába podľa PIDU alebo sa spúšťajú užívateľom podľa preddefinovania v registry. Ako koncový užívateľ sme závislý od nastavení v registry.

V registry, konkrétne pod vetvou HKEY_CLASSES_ROOT, sú zadefinované typy súborov, ktoré má systém rozoznať a ich konfigurácia, ako a v čom ich má otvoriť. Navyše obsahujú nastavenia, ktoré sa zobrazia po odkliknutí pravým tlačidlom myši na konkrétnom súbore, napríklad: upraviť, tlačiť, editovať a podobne. Je veľmi veľa malware, ktoré tieto hodnoty upravujú, či dokonca mažú.

Samotná konfigurávcia pozostáva z dvoch častí. Tou prvou je identifikácia prípony, ktorá je v systéme povolená napríklad HKEY_CLASSES_ROOT\.exe a z časti, ktorá určuje v čom má byť prípona, respektíve súbor spustený. Tá vypadá takto HKEY_CLASSES_ROOT\.exefile


Rozbor:

[HKEY_CLASSES_ROOT\.exe]
@="exefile"    //Odkazuje na konfuguráciu vetve HKEY_CLASSES_ROOT\exefile //
"Content Type"="application/x-msdownload"  //Názov typu prípony//

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
  //Hodnota persistent handler//

----------------------------------------------------

[HKEY_CLASSES_ROOT\exefile]
@="Application" //Názov objektu .exe//
"EditFlags"=hex:38,07,00,00 //Funkcia EditFlags//
"TileInfo"="prop:FileDescription;Company;FileVersion" //Zobrazia sa informácie o knkrétnom súbore//
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
//Zobrazí sa ikona konkrétneho .exe súboru//

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
//Spustiť/Otvoriť ako executable aplikáciu OS//

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
//"Spustiť ako" executable aplikáciu OS//

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""


Rozpis a význam hodnôt EditFlags nájdete tu: IditFlags



Zaújímavosťou je konfigurácia prípony .lnk, konkrétne tieto hodnoty:

[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""


To, prečo stoja za pozornosť nech zistí každý sám :)

Repair

Niektoré malware môžu zmodifikovať alebo odmazať časti definovaných koncoviek, čo vedie k poškodeniu alebo zlému spusteniu súborov.

Asociáciu súborov je možné opraviť napríklad programom Daft





 
Joomla ACL by AceACL