"Потайные ходы"
Удаление подозрительных процессов
Еще одна возможность выявления "потайного хода" заключается в проверке списка процессов на наличие в нем таких исполняемых файлов, как nc, WinVNC.exe и т.д. Для этого в системе NT можно использовать утилиту pulist из набора NTRK, которая выводит все запущенные процессы, или sclist, показывающую работающие службы.
Таблица 14.1. Номера портов, используемые программами и удаленного управления при создании "потайных ходов".
| "Потайной ход" | Порт TCP, используемый по умолчанию | Порт UDP, используемый по умолчанию | Возможность использования альтернативных портов |
|---|---|---|---|
| Remote.exe | 135-139 | 135-139 | Нет |
| Netcat | Любой | Любой | Да |
| Loki | Не используется | Не используется | Не используется |
| Реверсивный telnet-сеанс | Любой | Не используется | Да |
| Back Orifice | Не используется | 31337 | Да |
| Back Orifice 2000 | 54320 | 54321 | Да |
| NetBus | 12345 | Не используется | Да |
| Masters Paradise | 40421.40422.40426 | Не используется | Да |
| pcAnywhere | 22.5631.5632.65301 | 22, 5632 | Нет |
| ReachOut | 43188 | Нет | Нет |
| Remotely Anywhere | 2000, 2001 | Нет | Да |
| Remotely | 799, 800 | 800 | Да |
| Possible/ControllT | |||
| Timbuktu | 407 | 407 | Нет |
| VNC | 5800, 5801 | Нет | Да |
| Windows Terminal Server | 3389 | 3389 | Нет |
| NetMeeting Remote Desktop Control | 49608, 49609 | 49608, 49609 | Нет |
| Citrix ICA | 1494 | 1494 | Нет |
Команды pulist и sclist просты в использовании. Их удобно применять в файлах сценариев для автоматизации процесса тестирования как на локальной системе, так и в сети. В качестве примера приведем список процессов, выводимый программой pulist.
С:\nt\ew> pulist Process PID User Idle 0 System 2 smss.exe 24 NT AUTHORITYXSYSTEM CSRSS.EXE 32 NT AUTHORITYXSYSTEM WINLOGON.EXE 38 NT AUTHORITYXSYSTEM SERVICES.EXE 46 NT AUTHORITYXSYSTEM LSASS.EXE 49 NT AUTHORITYXSYSTEM CMD.EXE 295 TOGA\administrator nfrbof.exe, 265 TOGA\administrator UEDIT32.EXE 313 TOGA\administrator NTVDM.EXE 267 TOGA\administrator PULIST.EXE 309 TOGA\administrator C:XntXew>