Читаем Анонимность и безопасность в Интернете. От «чайника» к пользователю полностью

Файл | Ревизор – вы можете создать базу данных файлов своего жесткого диска, а затем, со временем, посмотреть какие файлы были изменены, какие удалены, какие добавлены (рис. П.1.3);

Рис. П1.3. Ревизор

Сервис | Диспетчер процессов – этот инструмент способен заменить специальные программы, например Process Explorer (рис. П.1.4);

Рис. П1.4. Диспетчер процессов

Сервис | Диспетчер служб и драйверов – позволяет получить информацию о запущенных службах и используемых драйверах. Некоторые вредоносные программы (в частности, руткиты) маскируются под драйвер. AVZ позволяет найти такие драйверы, в списке служб и драйверов они будут выделены красным. К слову, нужно добавить – все, что программе кажется подозрительным, она выделяет красным;

Сервис | Открытые порты TCP/UDP – сетевые черви и другие сетевые вирусы обычно занимают какие-то TCP/UDP-порты. С помощью этого инструмента вы можете найти порты, открытые подозрительными программами (рис. П1.5);

Сервис | Менеджер автозапуска – инструмент позволяет просмотреть, какие программы запускаются автоматически при старте системы.

Рис. П1.5. Открытые TCP/UDP-порты

Исследуйте меню программы – вы найдете много полезных инструментов, практически на все случаи атаки вашего компьютера вирусами и вредоносными программами. Конечно, использование AVZ требует некоторой подготовки, в конце-концов, AVZ – это всего лишь инструмент, а получится ли использовать его по назначению, зависит только от вас.

Очень давно, еще во времена Windows 98, я открыл для себя две очень полезные программы: FileMon и RegMon. Первая программа отображала все операции с файловой системой в реальном времени, то есть позволяла наблюдать, какая программа выполняет те или иные операции с файлами и каталогами.

Некоторые сетевые вредоносные программы очень любят перезаписывать файл hosts, чтобы вы заходили на сайт злоумышленника. Представьте себе такую ситуацию – вы хотите зайти на mail.ru. Вводите адрес mail.ru, но так как в файле hosts прописан IP-адрес злоумышленника для сайта mail.ru, то вы попадаете на "поддельный" mail.ru, который ничем внешне не отличается от оригинального. Вы вводите имя пользователя и пароль, они передаются злоумышленнику, затем вас перенаправляют на оригинальный сайт, и вы даже не заметили, что что-то прошло не так. А пароли-то уже украдены! Так вот, с помощью FileMon можно было отследить, какая программа изменяет тот или иной файл, и при необходимости принять соответствующие меры.

Программа RegMon работала аналогично, только "мониторила" реестр Windows.

Однако программы FileMon и RegMon остались в прошлом. Теперь вместо двух программ вам нужно использовать одну – Process Monitor (рис. П1.6). Скачать эту программу можно по адресу: http://technet.microsoft.com/ru-ru/sysinternals/bb896645.

Рис. П1.6. Программа Process Monitor

А если вам нужны программы FileMon и RegMon для старых версий Windows, их все еще можно скачать по адресу: http://technet.microsoft.com/ru-ru/sysinternals/bb896642.

Wireshark (ранее Ethereal) – программа-анализатор трафика для Ethernet-сетей и некоторых других. Ранее программа называлась Ethereal, но в 2006-м году была переименована из-за проблем с торговой маркой.

Возможности программы Wireshark похожи на возможности программы tcpdump, которая наверняка знакома UNIX-пользователям, но Wireshark благодаря графическому интерфейсу с множеством фильтров намного удобнее.

С помощью этой программы вы сможете просматривать весь проходящий по сети (а не только через ваш компьютер!) трафик в режиме реального времени. Такая функциональность достигается благодаря переводу сетевой карты в так называемый неразборчивый режим (promiscuous mode).

Программа распространяется абсолютно бесплатно под лицензией GNU GPL, а графический интерфейс создан с использованием кроссплатформенной библиотеки GTK+, благодаря чему программа доступна для разных систем: Window, Mac OS X, Linux, FreeBSD, NetBSD, OpenBSD.

Скачать программу можно по адресу: http://www.wireshark.org/.