Подстава.

Просьба, данный текст не копировать и никуда не утаскивать!

Настоятельно не советую подбирать хак софт и разную малваарь в тырнэте, шобы поднасрать ближнему своему, как бы в опе не свербило. Не умеете писать своё, негде брать надёжное? Не хер вапче браться, за енто геморное дело.

Ща разжую почему.

MUICache - весьма гадская подстава для начинающего хэккира. Если вкратце, венда, как та еще КГБ-шная скотина, сохраняет все пути/заголовки бинарей с окнами в энтом самом реесторе.

Пример первый: хэккер Вася Пупкин, нарыл в тырнэтах билдер (сборка/версия) вкуснаго и елитного троянчега и собирается похекать всех своих недругов или прочухать подружку на предмет блятства. Автором билдера вполне может быть товарисч из спецуры/работающий на неё, который, под видом хацкера, тусуется на околохакерских ресурсах. Ну а чё? Шоп выполнить план по отлову, идут на всё! Таки воот.... выкладывает ентот пидораз пейсатель малварный, чё нить вкуснявое, типо - подбирай ребзя нахаляву! И подбирают на свою задницу... Не только в переносном смысле.

Автор, в заголовке окна билдера напишет что-то в духе "Mego Ilitniy Trojan Builder by %HATSKER_NAME% HTTP://ILITNIYHACKSITE.COM". В итоге венда сохраняет этот заголовочек у себя в реесторе, вызывает наряд людей в масочках, а пока те едут - отвлекает хэккира проном. Даже если хэккир после хэккинга снесёт к херам билдер, папочку, и ваще нажмет кнопарь "СДЕЛОТЬ ЗАШИБИСЬ И ПРИГОТОВИТЬ КОФЕ" (при этом не зная про этот муй-кэш) - в реесторе инфа никуда не денеццо, она будет уютненько сидеть и ждать стука в дверь "А НУ БЛЯДЬ ОТКРЫВАЙ ЭТО ОМОН, РУКИ ЗА ГОЛОВУ СУКА"

Пример второй:

Использование TrueCrypt. Все файлеки в крипто-контейнере, билдеры-хуилдеры на пару с отборным зоопарком там же. Васечка решил заюзать билдер троянчега: скачал, запустил, похекал ну и т.д. В реестор схоронилась всё та же инфа по билдеру - путь и заголовок. И вот настаёт тот самый момент - "ВСЕМ СТОЯТЬ РУКИ ЗА ГОЛОВУ" итд итп. Даже, если том трукрипта был размонтирован, сам трукрипт спрятан или была выключена история (т.е.

нельзя однозначно сказать - юзался ли трукрипт и есть ли на тачке сам крипто-контейнер). При анализе слепка реестора, по этому сраному муй-кэшику можно будет увидеть, что помимо всего прочего, хэккир запускал подозрительно малварные бинари из тома "X:", который есс-но на момент прибытия маски - шоу, отсутствовал в системе.
Из популярных решений данной проблемы - CCleaner, во складке "Реестор" он умеет чистить только те значения муй-кеша, файлики которых были удалены. Т.е. сносим всю свою малвару с диска, только после этого чистим этот тулзой реестор. Но нам такое на фик не упало, верно? Специально для таких случаев юзается тулза MUICacheView или типо неё, которая показывает весь муй-кешик и умеет удалять оттуда всякое ненужное. Там же по линку можно увидеть пути в реестре - где ваще это говно находится.
Но это не решение проблемы - это просто чистка следов. Более подходящий вариант - сделать так, чтоб оно туда вообще не писалось. Как вариант - запретить запись в эту ветку реестра (через regedit). Но как более подходящий вариант - юзать виртуалку внутри трукрипта, тогда и следов никаких не будет. Или, на подвешенную систему примотать все нужные приблуды и чип чаво, одним тыком на кнопу, всё отрубить. Робятам из маски-шоу, останется укоптить сосвояси с пустыми руками.

Примечание: TrueCrypt — компьютерная программа для шифрования "на лету" для 32- и 64-разрядных операционок Виндовс, Линукс и Макос. Позволяет создавать виртуальный зашифрованный логический, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жесткого диска или иного носителя инфы, такой как флеш. Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.

Кэш MUI - В этом разделе реестра зачастую присутствуют записи, содержащие информацию о приложениях, которые были давно удалены с дисков компьютера. Рекомендуется удалять такие записи.

</noindex>

5 6 46

☣ Ха - ха - хакер ☣

212 участников

Смотрите также

А почему бы не поставить программку Shadow Defender или бесплатную BitDisk Free. Закрыл компьютер или просто перезагрузил и никаких следов деятельности, да и все налетевшие вирусы испарятся.

1 Экспертное мнение

}{ack Moderator ответил Liria Ok

2013-11-06

# 30893541

А ещё лучше, фигачить через дедики с Live CD. Стучат, вышел с учётки, тыкнул кнопу и все следы на лазере слизнулись. Секундное дело. Причём, на деде, ранее примотанные там же хактулзы/троянчеги, продолжают работать и собирать логи.

2 Экспертное мнение

Показать 1 ответ

Свернуть ответы