Sigurnosna zaštita

Zaključajte računalo pomoću sys.key-a

1. Idite na Start-Run i upište SYSKEY i kliknite na OK.
2. U prvom prozoru koji se otvori kliknite na UPDATE
3. U sljedećem prozoru budite sugurni da je označen System generated password
4. Stavite praznu floppy disketu i kliknite na OKAY
5. Izađite iz programa, izvadite disketu i restartajte računalo

Što smo dobili? Dobili smo na neki način hardverski ključ za otključavanje računala.
Sljedeći put kada upalite računalo,tražiti će vas ovu disketu kako bi mogli pristupiti svome login prozoru.
Samo oprezno pazite da ju ne izgubite jer ineče nećete moći pristupiti vašem korisniku.

Zastita otklanjanjem virusa i trojanaca vlastitom rukom iz Windowsa




Anti-virusi su neophodni, ali samo mi recite koliko puta vam se dogodilo da super, novi, do kraja update-ani anti-virus "bleji" u problem kao u šarena
vrata? Ako je odgovor "nikada", onda sigurno nemate dovoljno iskustva sa trojancima i virusima.

Ove tehnike su ograničene toliko koliko znate tehnika odbrane, poznamo neke a sigurno postoji njih još bezbroj, ali bi voljeli da i Vi pošaljete svoja
iskustva sa trojanima i virusima.

Prije svega...

Prije svega i svačega otvorite Options od Windows Explorera, te pod tabom View
- iskljucite "hide file ekstensions for known types"
- ukljucite "show all files"
- iskljucite "hide windows protected files"

Kako znati da ste zaraženi?

1. Banalne metode
U večini slučajeva se počnu događati neke čudne popratne stvari. Kao naprimjer, vaše računalo u jednom momentu zastane a da mu nemožete
odrediti uzrok, ili ako koristite dial-up onda nakon odspajanja sa internet-a, otvori se prozor sa ponovnim zahtjevom da se spojite, jer virus se
pokušava spojiti na internet. Ako dobijete povratni mail od vašeg mail server-a koji kaze da mail nije dostavljen na neku mail adresu, a vi taj mail
nikada niste ni poslali jer je virus slao sam sebe svima okolo, do svake email adrese na koju je naisao.

2. Pregledanjem liste procesa
Skinite neki freeware ili shareware program koji lista i manipulira sa procesima, a nipošto se ne oslanjajte na taskmanager od windowsa. Testirajte
vaš Process Manager tako što ćete pokusati ubiti neki od bitnih procesa kao npr. WINLOGON, te bilo koji bitni proces, ako on uspije ubiti svakog
od njih bez ikakvog problema onda tek možete govoriti o pravom programu.
Kada tek instalirate windows, onda bacite pogled na procese, vizualno zapamtite sadržaj, a sa vemenom ćete ih sve zapamtiti napamet. Svaki
program koji naknadno instalirate, može dodati neki svoj proces koji bi se u pozadini pokrenuo, ako mislite da vam taj program ne služi nečemu
bitnom, tj. da samo smeta računalu time što je učitan u memoriju, jednostavno ga maknite bez ikakvog razmišljanja.
Naravno ovaj program će se ponovo pokrenuti kada slijedeći put upalite računalo, ali doći ćemo i do toga.
Ako pet dana zaredom po 5 sec dnevno pregledate listu procesa, svaki slijedeći dan ako se neki dodatni program pokrene upasti će vam u oko.

3. Pregledanjem učitanih modula odnosno DLL-ova
Ovo posebno vrijedi za Explorer.exe, dogodilo se da neki dll ima upisan svoju putanju u registry bazi u nekom ključu, kojeg explorer ili bilo neki
drugi program kojemu je to zadatak učita tek nako bez ikakvog pitanja, a također unutar ovih DLL-ova mogu biti trojanci itd. Listu ovih učitanih DLL
ova mozete vidjeti koristeći neki proces viewer koji ima podršku da prikaže i module odnosno DLL-ove koje je učitao određeni proces. Izbor za ovo
je Essential Net Tools koji ima i prikaz putanje gdje se nalazi određeni progam ili modul na disku i koji je Manufacturer od tog programa ili modula.
Svaki program ili modul kojem je manufakturer prazan, nalazi se na nekoj čudnoj lokaciji ili ima neko čudno ime je sumnjiv i potrebno ga je
detaljnije istražiti.

4. Kada su mijenjane bitne windows komponente
Windows komponente se mijenjaju samo kada se radi windows update, ne znam postoji li alatka koja bi vodila računa o tome, jer bi se takođe
mogao instalirati trojan modificiranjem nekih od windows komponenti tako da bi sam sebe inficirao u postojeću komponentu (EXE, DLL, COM, itd.).

5. Data stream, Data stream, grrrr...
Potražite program na googlu koji bi možda se mogao zvati data stream viewer/ editor/manager itd. jer je to mjesto gdje se također može svašta
smjestiti. Ovo vrijedi ako je Vaša particija NTFS. Fajl je smješten uz drugi file ili direktorij koristeći sinstaksu file1.txt:file2.txt. Ovaj filel2.txt se
uopće ne vidi koristeći Windows Explorer ili command line interface, ali je divno mjesto za skrivanje virusa trojanaca itd. Kada tek instalirate
windows pogledajte koji su standardni fajlovi koji dolaze skriveni u data stream (ako ih uopće ima jer nema nikakve potrebe za tim), a zatim
pokrećite povremeno taj data stream viewer da bi otkrili novo nastale.

6. Start -> Programs -> StartUp

Pogledajte startup za All Users i za vašeg user-a, jer iako izgleda glupo možda neki virus ili trojan stavi link do sebe u ovaj folder tako da kada se
svaki slijedeći put računalo bude palilo pokrenuti će se i taj program.

7. Registry

Ja volim otvoriti Regedit.exe, zatim Edit -> Find
Find what: Run
Look at: Keys

Ovim dobijem neke bezveze rezultate ali nakon nekoliko pritiska na F3 stignem i do pravih vrijednosti.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

zatim kod nekih windowsa

HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun

HKLMSoftwareMicrosoftWindowsCurrentVersionAeDebug
HKLMSoftwareMicrosoftWindowsCurrentVersionImage File Execution Options

HKEY_CLASSES_ROOTexefileshellopencommand

Unutar ovih ključeva se mogu postaviti putanje do virusa i trojana koji ce se paliti zajedno sa windows-ima.

8. Control Panel -> Administrative tools -> Services
Također u Services je moguće dodati trojana ili virusa. Naravno uvijek ima opcija disable kojom zaustavite i onemogučite taj neki "zli" servis

Poslije možete upisati njegovo ime pod kojim se predstavlja u servisima, upisati u regedit.exe Edit->Find tako da možete otkriti orginalnu putanju,
a naravno možete izbirsati te registry ključeve.
9. %systemroot%system32drivers
Umalo da zaboravimo, može se pojaviti i "novi" driver za Vas kompjuter.

10. Dokumentacija
Ovo nije posebna tehnika, ali sve što nađete bilo u registriju ili negdje drugo zapišite ime filea, lokaciju, veličinu, datum kreiranja, pristupanja itd.
tako da Vam poslije bude lakše prilikom brisanja.
Ukljanjanje / brisanje

1. Ako nabavite putanju tog zlog programa potražite u istom direktoriju, ili gledajuči riječi koje se spominju u sadržaju tog zlog momka, potrazite
fajlove koji su povezani sa njim, možda koje on koristi kao resurse, u koje smiješta logove itd. Čak je moguće da su više tih fileova povezani, i
čuvaju jedni druge. Možete te dodatne iskopirati na neko sigurno mjesto za naknadno istraživanje, a zatim izbrisati ih. Ukoliko ste našli da se zli
file nalazi u data streamu, ista stvar vrijedi i za njega, kopirajte ako vam treba a zatim pokušajte izbrisati. (ako ne možete bilo koji fajl izbrisati
znači da je pokrenut ili ga je neki pokrenuti proces otvorio, [čitajte dalje]
2. Ako je riječ o tome da je virus modificirao neki sistemski file onda ga pokušajte zamijeniti sa Backupom tog istog filea, ugasite računalo i

probajte
- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računalu npr. linux
- KNOPPIX je takodje dobro rjesenje

3. Sada smo došli do toga da izbrišemo to "sranje"
Ukoliko doslovno brisanje da Shift+Delete ne radi znači da je pokrenut ili ga je neki pokrenuti proces otvorio. Rješenje mozete uzeti iz prethodnog

slučaja, tako što ugasite računalo i probate:
- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računalu npr. linux
- KNOPPIX je takodjer dobro rjesenje

4. Postoji jos jedna metoda, koja je također efikasna jer je izuzetno jednostavna i ne zahtjeva da se pokreće nikakav drugi operativni sistem.
Ukoliko imate NTFS particiju na kojoj se nalazi zli file, a pokrenut je winNT/2000/XP odite u Properties -> Security, a zatim svi korisnicima,
SYSTEM, Administrators, i sve što vidite pred očima stavite Full Access Deny Iako je program učitan u memoriju ne možete ga brisati ni mijenjati,
možete mijenjati njegove dozvole, znači stavite svima DENY!!! Slijedeći put kada se bude palio Windows taj file se neće moci učitati, a zatim ga
možete mirno obrisati nakon što mu vratite dozvole u normalno stanje.

testiranje anti virusa
This is a good question and it is wise to familiarize yourself with how your anti-virus software behaves when it detects a virus, before it really happens. One quick way to do this is to use the EICAR Anti-Virus Test File. This is a test file that will cause no damage to your system and still allow you to test if anti-virus tool is awake.
Here are some steps:


1. Open a text editor (e.g. Notepad)
2. Enter the following text in it:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Save the file as EICAR.COM on your desktop.
4. Open DOS and try to execute this .COM file (or simply double-click the file on Desktop)

If your anti-virus software is working properly, it will warn you that a virus has been detected when you attempt to run the .COM file.

To be double-sure, zip this file, and then try double-clicking on the ZIP file to see if your AV tool recognized viruses inside ZIP files. You can also send this file to yourself as an attachment, just to verify if your AV tool has command of email cleanliness.

Mjesto gdje se najčešče sakrivajui virusi.

Dobro je ponekad skenirati System Volume Information File.
A do njega dođete ovako:

Kada otvorite neki file otiđite na ALATI>ODREDNICE MAPE i sad pronađite i maknite kvaćicu gdje piuše sakri zaštićene datoteke operativnog sustava
i stavite kvačicu gdje piše prikaži skrivene mape i datoteke.
Nakon što to isključite možete vidjeti u svakom disk drive-u tu mapu i povremeno ju skenirajte ali nakon što ju skenirate oupet promjenite da se ne vidi.