| RSS



Меню

Bookmark and Share


Статистика
Ваш IP: 18.117.151.127
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

История файлов-призраков
Несколько недель тому назад моя жена заметила, что время от времени она видит в папке рабочего стола файлы, которые на самом деле на рабочем столе не находятся. Сказала она об этом не только из-за того, что была обескуражена таким несоответствием, а еще и потому, что ей надо было удалять и перемещать некоторые из этих файлов-призраков. Я и понятия не имел, о чем вообще она ведет речь (впрочем, так происходит почти всегда, когда супруга пытается объяснить мне суть своих затруднений при работе с компьютером), а потому попросил ее позвать меня, когда она в следующий раз увидит такие загадочные файлы.

Несколькими днями спустя я вернулся домой с работы и увидел в дверях ожидающую меня взволнованную жену. Она объяснила, что проблема повторилась и она оставила окно открытым, чтобы я мог посмотреть на эти ускользающие файлы. Я ринулся к стоявшему на кухне компьютеру с таким энтузиазмом, что даже не поздоровался с собаками, и немедленно принялся за изучение ситуации. Я увидел окно IE во весь экран и множество вкладок с открытыми электронными письмами (иногда мне кажется, что моя вторая половинка вообще не закрывает вкладки с электронными сообщениями), а также открытое диалоговое окно выбора файла со списком файлов, находящихся у ней в папке "Рабочий стол", которое она вызвала, нажав на кнопку вложения при работе с письмом. Диалоговое окно выглядело следующим образом:

Я свернул IE, чтобы посмотреть на рабочий стол и действительно убедился в том, что несколько файлов, включая папку "Maui Feb. 08" и JPG-файлы CIMG13xx там отсутствовали. В надежде обнаружить их в окне обозревателя, я открыл его и перешел в папку "Рабочий стол", но не обнаружил всех этих файлов и там:

Таких вещей ранее мне наблюдать не приходилось и я понял, что для утилиты Process Monitor нашлось занятие. А поскольку программ от Sysinternals на ее машине не было (печально, но факт), я запустил утилиту прямо из сети, воспользовавшись адресом сервиса Sysinternals Live (\\live.sysinternals.com\tools\procmon.exe). Оставив Process Monitor фиксировать все мои действия, я закрыл и снова открыл диалоговое окно выбора файла через веб-интерфейс почтовой службы, после чего выполнил поиск по сочетанию букв "CIMG" с которого начинались имена многих файлов, присутствовавших в диалоговом окне выбора файла, но не в папке "Рабочий стол" обозревателя. Первое попадание случилось при перечислении списка директориев, где имена файлов появлялись с крайней правой колонке, озаглавленной Подробности:

Файлы были расположены в профиле пользователя жены по адресу \Appdata\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Daryl\Desktop. Каталог Virtualized создается браузером IE7 во время работы в защищенном режиме (PMIE), который является режимом по умолчанию в Windows Vista и Windows Server 2008.

В режиме PMIE используются Уровни целостности (Integrity Levels), которые впервые появились в Vista и Server 2008. Они позволяют ограничивать возможность записи для выполняемого в IE кода только теми каталогами файловой системы и ветками реестра, которые отмечены как перезаписываемые для учетной записи, из под которой работает IE. Как я уже объяснял ранее в предыдущем сообщении на блоге, с PMIE браузер запускается в режиме низкого уровня целостности (Low Integrity), что позволяет ему записывать предпочтения и временные файлы (такие как кэш браузера и история посещений). Однако при этом он не может производить изменения в других областях, доступных для текущей учетной записи, например, в папке с документами или индивидуальной для каждого пользователя папке автозапуска, поскольку они имеют средний уровень целостности (Medium Integrity). Такая политика предотвращает атаки при загрузке с помощью которых вредоносные приложения могут внедряться в процессы IE и осуществлять постоянное присутствие.

Для того, чтобы обеспечить обратную совместимость со старым кодом (например, с элементами ActiveX или модулями Browser Helper Objects), для работы которого может потребоваться запись в каталоги за пределами виртуализованной среды браузера, в режиме PMIE браузер перехватывает такие запросы и перенаправляет их в директорию Virtualized.

Чтобы удостовериться в том, что это как раз то, что в нашем случае и происходило, я просмотрел трассировку стека вышеозначенных виртуализованных операций, кликая по строкам правой кнопкой мыши и выбирая Stack. Стэк показал, что Acredir.dll перехватывал операции и выполнял функции перенаправления:

Двойной клик по строке в окне трассировки стека открыл окно свойств модуля, в котором сообщалось, что данный DLL-файл является "DLL-файлом совместимости с Windows". Это убедило меня в том, что он представляет собой часть виртуализованной среды режима PMIE:

Я хорошо знаком с виртуализацией PMIE, но раньше я никогда не видел, чтобы файлы виртуализировались на рабочий стол, поэтому для меня не было очевидно, что именно в этом и кроется причина обнаруженного супругой несоответствия. Программа Process Monitor вскрыла эту причину и все, что мне оставалось сделать – это удалить виртуализованные файлы. Большинство пользователей не знает, что удалять файлы можно прямо из окна выбора файлов, поэтому я воспользовался случаем и показал жене, как она может управлять виртуализованными файлами из окна выбора файла вложения веб-интерфейса почтовой службы, если то же самое будет происходить снова. Мы удалили те файлы, которые были ей не нужны и переместили некоторые изображения в папки его фотогалереи.

Дело было закрыто. В качестве вознаграждения я заработал восхищение своей жены, которое она выразила по поводу того, с какой легкостью мне удалось установить источник неприятностей, и в особенности от того, что именно я написал утилиту, которую использовал для их устранения. Кроме этого, супруга получила представление о принципах работы виртуализованной среды PMIE, хотя я подозреваю, что моя лекция на эту тему в ее голове долго не задержится.

Кстати говоря, ты практически наверняка увидишь некоторые файлы и каталоги, если заглянешь в папку Virtualized, которая находится в твоем профиле пользователя, поскольку даже самые обычные операции IE приводят к перенаправлению. На последнем скриншоте ты видишь кэш-файлы пиктограмм, которые создаются окном выбора файлов, если пользоваться им из-под IE. Обычно они хранятся в твоем профиле, однако в режиме PMIE у браузера нет туда доступа, поэтому они виртуализируются:

Оригинал:

http://blogs.technet.com/markrussinovich/archive/2009/02/03/3174194.aspx

Категория: Общие Статьи | Добавил: LeadyTOR (20.04.2009)
Просмотров: 2396 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
    Главная      
...
На службе : дней

17:16
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика