Скрытые бэкдоры, троянские кони и руткиты в среде Windows
Не каждый случай успешного вторжения «венчается» заменой веб-сайта на сервере, кражей или повреждением данных. Часто электронные злоумышленники не хотят устраивать зрелищ, а предпочитают избегать славы, скрывая свое присутствие на скомпрометированных системах, иногда оставляя некоторые неожиданные вещи. Они используют изощренные методы для установки определенных «вредоносных программ» (черных ходов), чтобы позже снова впустить их с полным контролем и тайно.
Для чего предназначено вредоносное ПО?
Очевидно, что у хакеров есть различные мотивы для установки вредоносного программного обеспечения (вредоносного ПО). Эти типы программного обеспечения, как правило, предоставляют мгновенный доступ к системе, чтобы постоянно красть из нее различные типы информации — например, стратегические проекты компаний или номера кредитных карт. В некоторых случаях они используют скомпрометированные машины в качестве отправной точки для массированных атак типа «отказ в обслуживании». Возможно, наиболее распространенная причина, по которой хакеры выбирают другую систему, — это возможность создания стартовых площадок, которые атакуют другие компьютеры, маскируясь под адреса невинных компьютеров. Это определенный вид спуфинга, когда журналы вторжений вводят целевую систему в заблуждение, заставляя ее поверить в то, что она взаимодействует с другим законным компьютером, а не с компьютером злоумышленника.
В нормальных условиях безопасность локальной сети из Интернета практически не может быть нарушена, поскольку в большинстве случаев локальные сети привязаны к Интернету через зарезервированные адреса типа 10.0.0.0 или 192.168.0.0 (подробнее см. в доступном документе RFC 1918). на http://www.faqs.org/rfcs/rfc1918.html). Таким образом, хакер не может иметь прямого доступа из Интернета, что представляет для него определенную проблему. Установка программ-оболочек (например, Telnet) на любой компьютер, доступный через Интернет, позволит злоумышленнику получить доступ к локальной сети и распространить свой контроль над инфраструктурой. Такие типы атак распространены на компьютерах Unix, поскольку они используют более распространенные службы оболочки удаленного доступа (SSH или, реже, Telnet) и не требуют дополнительной установки. Однако в этой статье основное внимание будет уделено системам на базе Microsoft Windows.
Кто станет жертвой?
Умный хакер не будет пытаться разместить свою программу на сервере, который регулярно контролируется и проверяется. Он будет тайно, без ведома любого законного пользователя. Следовательно, его попытки войти в систему, безусловно, не будут осуществляться через главный контроллер домена, журнал которого часто проверяется, сетевой трафик отслеживается и который немедленно обнаруживает любые изменения. Конечно, все зависит от соблюдения политики безопасности, а как известно, сетевые администраторы не всегда добросовестно выполняют свою работу. Тем не менее, хост, который не играет ключевой роли в сети, является идеальной мишенью для хакера. Прежде чем приступить к процессу выбора, успешный хакер, как правило, передает зону, а затем определяет вероятные роли отдельных хостов в домене, выводя информацию из их имен. Плохо защищенная рабочая станция, изолированная от основной сети, в идеале может использоваться для хакерских целей, потому что шансы обнаружить признаки установленного бэкдора малы.
Бэкдоры
Бэкдор — это программа или набор связанных программ, которые хакер устанавливает на компьютер жертвы, чтобы обеспечить доступ к системе в более позднее время. Целью бэкдора является удаление свидетельства первоначальной записи из системного журнала. Но «хороший» бэкдор позволит хакеру сохранить доступ к машине, на которую он проник, даже если фактор вторжения тем временем был обнаружен системным администратором. Сброс паролей, изменение прав доступа к диску или исправление первоначальных дыр в системе безопасности в надежде на решение проблемы может не помочь.
Тривиальным примером бэкдора являются пароли BIOS, маршрутизатора или коммутатора по умолчанию, установленные либо небрежными производителями, либо администраторами безопасности.
Хакер может просто добавить новую учетную запись пользователя с правами администратора, и это будет своего рода бэкдором, но гораздо менее изощренным и легко обнаруживаемым.
Добавление новой службы является наиболее распространенным методом маскировки бэкдоров в операционной системе Windows. Для этого необходимо задействовать такие инструменты, как Srvany.exe и Srvinstw.exe, которые поставляются с утилитой Resource Kit, а также с Netcat.exe [1]. Принцип этой операции заключается в том, что средство srvany.exe устанавливается как служба, а затем разрешает запуск netcat.exe как службы. Последний, в свою очередь, прослушивает соответствующий порт для любого соединения. После подключения он создаст удаленную оболочку на сервере (используя cmd.exe), и с этого момента хакер получит полную свободу действий.
Непосредственно перед началом установки бэкдора хакер должен исследовать сервер, чтобы найти активированные службы. Он мог бы просто добавить новую услугу и дать ей неприметное имя, но лучше выбрать услугу, которая никогда не используется и которая либо активируется вручную, либо вообще отключается. Достаточно удалить его с помощью утилиты Srvinstw.exe и снова установить новую службу с таким же названием. Таким образом, хакер значительно снижает вероятность того, что администратор обнаружит лазейку во время последующей проверки. Всякий раз, когда происходит событие, системный администратор сосредоточится на поиске чего-то странного в системе, оставляя все существующие службы непроверенными. С точки зрения хакера важно скрывать файлы глубоко в системных каталогах, чтобы защитить их от обнаружения системным администратором. Со временем хакер придумает, как назвать инструменты, которые нужно поместить на диск сервера. Netcat.exe и Srvany.exe — это утилиты, которые должны работать непрерывно и будут отображаться в диспетчере задач. Хакеры понимают, что бэкдор-утилиты должны иметь имена, которые не будут привлекать излишнего внимания. Такой же подход они используют при выборе подходящего порта для бэкдора. Например, порт 5555, по-видимому, не заблокирован по той причине, что он может сразу предупредить системного администратора.
Представленная выше техника очень проста, но в то же время эффективна. Это позволяет хакеру вернуться на машину с наименьшей видимостью в журналах сервера (мы, очевидно, не говорим о ситуациях, когда используется дополнительное программное обеспечение для мониторинга трафика и установлена эффективная система регистрации событий). Более того, бэкдор-сервис позволяет хакеру использовать более высокие привилегии — в большинстве случаев в качестве системной учетной записи. Это может создать некоторые проблемы для злоумышленника, потому что, несмотря на самые высокие разрешения, системная учетная запись не имеет власти за пределами машины. Под этой учетной записью сопоставление дисков или добавление учетных записей пользователей невозможно. Вместо этого пароли могут быть изменены, а привилегии могут быть назначены существующим учетным записям. Для бэкдора, захватившего учетную запись системного администратора, таких ограничений не существует. Единственная оставшаяся проблема связана со сменой пароля пользователя, поскольку для перезапуска соответствующей службы требуется обновление пароля. Администратор, несомненно, начнет замечать ошибки журналов, как только будет обеспечена забота о регистрации и мониторинге событий. Приведенный выше пример описывает бэкдор, который является наиболее опасным с точки зрения системы-жертвы, поскольку любой может подключиться к нему и получить самые высокие разрешения без необходимости аутентификации. Это может быть любой scriptkiddie, использующий инструмент сканирования портов на компьютерах, случайно выбранных из Интернета.
Веб-сайты, предназначенные для хакеров, дают примеры многих инструментов, которые служат для установки бэкдоров, с той разницей, что после установления соединения злоумышленник должен войти в систему, введя заранее определенный пароль. iCMD [2], Tini [3], RemoteNC [4] или WinShell [5] (рис. 1) являются примерами инструментов, напоминающих Telnet.
Однажды я видел очень интересный скрипт под названием CGI-backdoor [6]. Я посчитал это интересным, потому что злоумышленник мог выполнять удаленные команды на сервере через WWW. Это был специально созданный полностью динамический сайт.asp, написанный на VBScript (доступный также на Perl, PHP, Java и C), который позволял выполнять команды на сервере, используя командный процессор по умолчанию cmd.exe. Хакер может использовать это для настройки обратного сценария WWW в системе жертвы, но по умолчанию это разрешено только с достаточными привилегиями для учетной записи IUSR_MACHINE. Этот скрипт можно использовать вообще без регистрации, поэтому в системе не остается никаких следов. Его дополнительным преимуществом является то, что он не прослушивает какой-либо порт, а выполняет перевод между HTML-кодом, используемым на веб-страницах, и сервером, на котором выполняются интерактивные веб-сайты.
Для создания бэкдоров хакеры могут использовать имеющиеся в продаже инструменты, такие как Remote Administrator [7] или бесплатный TightVNC [8], которые помимо полного контроля над компьютером также позволяют управлять удаленной консолью.
«Падение Трои, деревянный конь и все последующие события…»
Троянские кони или трояны удаленного администрирования (RAT) — это класс бэкдоров, которые используются для удаленного управления скомпрометированной машиной. Они предоставляют пользователю явно полезные функции и в то же время открывают сетевой порт на компьютере-жертве. Затем, после запуска, некоторые трояны ведут себя как исполняемые файлы, взаимодействуют с определенными ключами регистров, отвечающих за запуск процессов, а иногда и создают собственные системные службы.
В отличие от обычных бэкдоров, троянские кони подключаются к операционной системе жертвы и всегда поставляются в комплекте с двумя файлами — файлом клиента и файлом сервера. Сервер, как следует из его названия, устанавливается на зараженную машину, а клиент используется злоумышленником для управления скомпрометированной системой. Некоторые хорошо известные функции троянов включают в себя: управление файлами на компьютере-жертве, управление процессами, удаленную активацию команд, перехват нажатий клавиш, просмотр изображений на экране, а также перезапуск и закрытие зараженных хостов — и это лишь некоторые из их функций. Некоторые даже могут подключиться к своему создателю. Конечно, эти возможности различаются у разных троянских коней. Самыми популярными считаются: NetBus, Back Orifice 2000, SubSeven, Hack'a'tack и польский Prosiak.
В большинстве случаев трояны распространяются по электронной почте. Обычно они находятся во вложениях, поскольку их авторы используют уязвимости почтового клиента. Другой метод основан на том факте, что они связаны с другими программами. В Интернете существует множество программ, которые преобразуют файлы в один исполняемый файл.
Троянские кони (также называемые троянами) обычно действуют несколько схематично. В отличие от ранее описанных бэкдоров, где и реализация, и функции ограничены только изобретательностью злоумышленника, здесь поведение достаточно четко определено. Они прослушивают определенные порты (например, 12345 — порт по умолчанию для трояна NetBus), устанавливая определенные ссылки в стартовых файлах и регистрах, поэтому их относительно легко обнаружить и идентифицировать. В большинстве случаев проблемы с троянскими конями можно решить, используя антивирусное (AV) программное обеспечение (обновленное!) для проверки на возможное заражение.
RootKit – скрытие присутствия
Для достижения своей цели хакер должен установить бэкдор, который нелегко обнаружить. Это его основная задача. Для этого хакеры используют самые разные методы, размещая свои инструменты на самом глубоком уровне скомпрометированных систем и переименовывая файлы, чтобы не вызывать подозрений. Однако этого недостаточно, поскольку процессы все еще видны, и очень просто обнаружить любую неожиданную программу, которая прослушивает определенный порт, используя netstat для проверки информации об этом порту. Поэтому хакеры также могут использовать Root Kits.
Как известно большинству читателей, руткит — это, как правило, концепция Unix, которая распространяется на другие платформы во все более изощренных формах. Это набор инструментов, используемых злоумышленником для сокрытия своего присутствия в атакуемой системе. Типичные цели включают замену или заражение двоичных файлов, таких как ps, find, ls, top, kill, passwd, netstat, скрытие каталогов, файлов и даже их частей — например, в /etc/passwd. Более того, перехват паролей, удаление логинов активности злоумышленника, размещение бэкдоров в определенных сервисах (например, Telnet), чтобы в любой момент проникнуть без авторизации. В среде Unix существует множество руткитов, и каждый новый выпуск является более «дальновидным» с точки зрения своих функций. Они также доступны для атак на системы Windows — менее сложные, но все же мощные и модные. Некоторые удобные решения для руткитов имеют дело с сокрытием или изменением команд netstat, тем самым делая ранее установленный бэкдор невидимым при прослушивании любого порта.
Простой сценарий, помещенный в строковый контекст Perl, скомпилированный и названный netstat.exe, может быть примером тривиального руткита. Реальный системный netstat можно назвать oldnetstat.exe. Принцип работы нового netstat заключается в том, что как только командная строка вызовет настоящий netstat (теперь oldnetstat.exe), он будет направлен во временный текстовый файл. Затем руткит ищет в этом файле любую информацию о прослушиваемом порте, чтобы удалить его (в соответствии с процедурой, предопределенной в коде руткита). После модификации результат выводится на экран, а старый файл удаляется. Этот принцип и прост, и эффективен, и дает интересную возможность — его можно использовать для подмены выходных данных, действующих из любого другого инструмента, доступного через командную строку, — например, tlist или dir. В сети доступно множество программ такого типа. Те, с которыми я сталкивался, не отображали, например, информацию о прослушиваемых портах, таких как 666, 27374, 12345, 31337 — то есть всем известные порты троянского коня.
Идея первого расширенного руткита для среды Windows родилась в свое время. Автором был Грег Хоглунд, а ход этой идеи можно было увидеть на сайте www.rootkit.com (к сожалению, больше не доступен). Насколько я знаю, разработка застопорилась после версии 0.44 [9]. Однако ниже вы найдете описание несколько более старой версии, а именно 0.40 [10].
Этот руткит был разработан как драйвер режима ядра, который работает с системными привилегиями прямо в ядре системного ядра. Учитывая этот факт, он имеет доступ ко всем ресурсам операционной системы, таким образом имея широкое поле действия. Для его установки требуются права администратора, в то время как простых команд net start/net stop достаточно, чтобы активировать/деактивировать его соответственно.
После загрузки руткита хакер может скрыть каталоги и файлы на диске жертвы. Этот метод эффективен при условии, что скрываемый объект имеет имя с префиксом _root_, например, _root_directory_name. Как это работает? Руткит, пропатчив ядро, перехватывает все системные вызовы для вывода списка содержимого диска, а все объекты, начинающиеся с последовательности _root_, скрываются от отображения. То же самое касается и процесса поиска — все файлы и каталоги с указанной выше последовательностью символов скрыты от поиска.
Эту функцию руткита также можно использовать для сокрытия запущенных процессов, а также для того, чтобы делать то же самое с записями системного реестра, добавляя ко всем ключам и записям префикс _root_. Это позволяет хакеру установить, например, сервисы, которые станут бэкдором и, таким образом, будут такими же невидимыми для системного администратора, как сервисы, записи реестра или процессы, работающие в системной памяти.
Руткит также может перехватывать все нажатия клавиш на системной консоли. Это можно сделать, подключившись к драйверу клавиатуры и введя команду sniffkeys.
Это не последняя особенность описываемого руткита. Его новейшая версия (0.44) предлагает некоторые другие функции, такие как жестко запрограммированный бэкдор (рис. 2), который позволяет удаленному злоумышленнику подключиться к зараженной машине и получить «верхнюю» привилегированную оболочку.
Кроме того, предусмотрены новые реализации, например, функция перенаправления файлов.EXE в другие программы. Запуск совершенно другого инструмента после того, как руткит обнаружил выполнение файла с именем, начинающимся с _root_, сделает это. Других подробностей пока не опубликовано. В настоящее время все находится на стадии проверки концепции, и хакеры не могут использовать эту функциональность.
Защита от руткита
Гениальный хакер будет достаточно умен, чтобы навсегда скрыть свой след. Он будет использовать все доступные средства, чтобы перехитрить свою жертву, и часто имеет большие шансы достичь этой цели. Однако системные администраторы не беззащитны перед вредоносными атаками. Существует много известных методов и процедур для обнаружения любых предполагаемых установок в системах. На первый взгляд руткит кажется мощным инструментом, и, несомненно, так оно и есть. К счастью, руткиты — палка о двух концах благодаря своей конструкции. Как я уже упоминал, руткит на основе ядра отслеживает обращения к объектам (файлам, каталогам, регистрам или процессам), имена которых начинаются со строки
К счастью, многие взломщики небрежны, и часть их руткита может быть обнаружена. Приведенные выше троянские файлы часто имеют файлы конфигурации, в которых перечислены программы, которые следует скрывать, а какие отображать. Часто забывают скрыть сами файлы конфигурации. Так как /dev является расположением по умолчанию для многих из этих конфигурационных файлов, искать там что-либо, являющееся обычным файлом, часто бывает хорошей идеей.
Однако руткит не может влиять на процессы, в именах которых есть _root_. Другими словами, когда системный администратор анализирует системный журнал с помощью Regedit.exe, он не может видеть скрытые записи, а просто изменив его имя на _root_regedit.exe, ему будет достаточно увидеть их все, а также скрытые ключи и записи реестра. Это справедливо для всех программ — например, для Диспетчера задач (см. рис. 3).
Следующая «уязвимость» руткита: объекты скрыты только от окружения скомпрометированной машины и их легко увидеть с другого компьютера. Удаленное подключение сетевого диска с другого компьютера (или с помощью команды net use) — это способ увидеть все, что было скрыто для локального пользователя. Это связано с тем, что удаленная машина использует чистое ядро для просмотра файлов и каталогов на скомпрометированной машине, избегая процесса фильтрации руткитов.
Другой прием заключается в использовании инструментов drivers.exe (см. рис. 4), доступных в пакете Resource Kit, или Winmsd.exe.
С помощью упомянутых выше программ системный администратор может получить список всех драйверов, включая _root_.sys, то есть сам драйвер руткит-устройства. Это исключительный случай, когда процесс с префиксом _root_ не скрыт. Я хотел бы подчеркнуть, что имя драйвера, как указано выше, связано с конкретным описанным здесь руткитом, а не обязательно с другими руткитами. Но, насколько мне известно, более свежие версии руткита для Windows пока недоступны.
Интересное решение для защиты от руткитов разработала компания Pedestal Software. Компания создала программу под названием Intact Integrity Protection Driver [11], которая блокирует изменения и добавления в ключи и значения реестра. Он эффективно запрещает диспетчеру управления службами или пользовательским приложениям изменять ключи службы и драйвера и значения в реестре, а также добавлять или заменять существующие двоичные файлы драйвера.
Обнаружение и защита от бэкдоров
Безопасна ли ваша система? Откуда вы знаете? Машина очень редко подвергается атаке по какой-либо другой причине, кроме как потому, что она уязвима. Одним из первых шагов в упреждающем подходе является оценка основных правил и требований политики безопасности. Я думаю, что наличие актуального антивирусного программного обеспечения является первостепенной задачей, и даже если оно не защитит вашу машину полностью, оно может стать спасением, обеспечивая хорошую защиту от большинства вирусов и троянов.
Другой хорошей практикой является регулярное изучение любых модификаций программ для обнаружения новых, странных служб или процессов. В этом отношении очень полезными инструментами являются сценарии администрирования, особенно при работе с несколькими системами. Также можно время от времени рассматривать возможность сканирования хостов в вашей сети. Если вы подозреваете, что на вашем компьютере есть открытый порт, дайте снимок, чтобы проверить, авторизован он или нет. Вы можете использовать программы диагностики сети, приложений и устранения неполадок, такие как TCPview (рис. 5) [12], FPort [13], Inzider [14], Active Ports (рис. 6) [15] или Vision [16].
Эти инструменты позволяют идентифицировать конкретное приложение, открывающее порт. Более того, они позволяют не использовать Netstat, если он подозревает, что он был заменен или заражен. Это подводит меня к еще одному интересному соображению: какой бы инструмент ни использовался, хорошей практикой является использование оригинальных инструментов, предварительно загруженных на доверенную дискету или компакт-диск, при попытке проверить систему. Если есть какие-либо сомнения в том, что отдельные инструменты являются оригинальными, проверьте их контрольную сумму, чтобы проверить, соответствуют ли они установочному компакт-диску.
В этом отношении ListDlls [17] и Process Explorer [18] (рис. 7), безусловно, могут быть полезны при обнаружении каких-либо подозрительных признаков зараженных троянами или бэкдоров.
Эти программы с их DLL-библиотеками оказывают некоторую помощь и предоставляют дополнительную информацию по обработке инцидентов, расследованию и проведению анализа для сбора юридических доказательств в целях уголовного преследования.
Могу также предложить обратить более пристальное внимание на ключи реестра, отвечающие за запуск программ при старте системы. В большинстве случаев эти элементы реестра обычно содержат некоторое указание на то, как злоумышленник получил доступ, откуда, когда и т. д. Это:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerKnownDLLs
HKEY_LOCAL_MACHINESystemControlSet001ControlSession ManagerKnownDLLs
HKEY_LOCAL_MACHINEСистемаControlSetServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinLogon
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows (выполнить)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunOnceEx
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows (выполнить)
HKEY_CLASSES_ROOTexefileshellopencommand
Чрезвычайно важно установить согласованные разрешения на доступ к этим ключам и активировать инструменты проверки, чтобы постоянно отслеживать любые вредоносные попытки. То же самое относится к тем системным каталогам и файлам, которые критически важны для безопасности. Общепринятая политика компьютерной безопасности обычно начинается с «надежного» брандмауэра в качестве защиты от бэкдоров. Даже если злоумышленнику удастся установить бэкдор, брандмауэр заблокирует ему доступ к прослушиваемому порту.
На самом деле, обход брандмауэра — это не простая штука, но я позволю себе изрядную дозу пессимизма. Существуют известные хакерские инструменты, которые могут пройти даже через самые надежные брандмауэры.
Однако это выходит за рамки данной статьи, поэтому я рекомендую прочитать документ, доступный по адресу: http://www.spirit.com/Network/net0699.txt.
Наконец, я хотел бы привлечь ваше внимание к одной проблеме. Как только ваша машина была скомпрометирована и хакер получил полный административный доступ, будьте очень осторожны при восстановлении системы из резервной копии или образа диска! Я лично сталкивался с ситуацией, когда кто-то подменил WWW-сайт. Системный администратор восстановил систему из резервной копии, исправил систему, обновил базу данных доступа и изменил пароли. Таким образом, он посчитал сервер совершенно безопасным. Но он упустил из виду тот факт, что вторжение было сделано задолго до того, как он сделал копию, содержащую скрытую версию. Поэтому я настоятельно рекомендую проверять систему всякий раз, когда выполняется ее резервное копирование.
Хакеры все чаще угрожают сетевому сообществу своими новыми технологиями, бэкдорами и троянскими конями. Поэтому мы должны принять меры для защиты от известных методов взлома, даже несмотря на то, что в них по-прежнему будет большое количество тревожных факторов, о которых мы не знаем. Единственное, что совершенно очевидно — никогда не знаешь, сколько продержится твоя иммунная система, прежде чем сломается.
Инструменты:
[1] Netcat — http://www.hackerscor.com/km/files/hfiles/ncnt090.zip
[2] iCMD — http://go8.163.com/lmqkkk/mytools/iCmd.exe
[3] RemoteNC — http://go8.163.com/lmqkkk/mytools/remotenc.zip
[4] Тини — http://go8.163.com/lmqkkk/mytools/tini.exe
[5] WinShell — http://go8.163.com/lmqkkk/mytools/Winshell4.0.zip
[6] CGI-бэкдор — http://go8.163.com/lmqkkk/mytools/cgi.zip
[7] Удаленный администратор — www.radmin.com
[8] TightVNC — http://www.tightvnc.com/download.html
[9] Руткит v.0.44 — www.ndsafe.com/fires/rk_044.zip
[10] Драйвер IIP — http://www.pedestalsoftware.com/intact/iipdriver.htm
[11] TCPview — www.winternals.com
[12] Порт – http://www.foundstone.com/knowledge/proddesc/fport.html
[13] Инсайдер — http://ntsecurity.nu/toolbox/inzider/
[14] Активные порты — http://www.ntutility.com/freeware.html
[15] Видение – http://www.foundstone.com/knowledge/proddesc/vision.html
[16] ListDlls — http://www.sysinternals.com/ntw2k/freeware/listdlls.shtml
[17] Обозреватель процессов — http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
[18] Сканер сетевой безопасности LANguard
Дополнительная информация:
1. Руткит
http://www.crackinguniversity2000.it/Paper/__==__–%20rootkit%20–__==__.htm
http://packetstorm.decepticons.org/UNIX/проникновение/руткиты
2. Неповрежденный драйвер защиты целостности
http://www.pedestalsoftware.com/intact/iipdriver.htm
3. Предотвращение и обнаружение установки вредоносных программ на NT/2K
http://www.securitystorm.net/mobile/securityfocus-articles/preventing_and_detecting_malware.htm
4. Обнаружение руткитов
http://r00t.h1.ru/texts/detectrk.php
5. Хакерский руткит для NT
http://webbuilder.netscape.com/webbuilding/0-7532-8-4877567-1.html
6. Руткит: секретные инструменты злоумышленника. Салиман Манап.
http://www.niser.org.my/resources/rootkit.pdf
7. Остановите хакеров Windows
http://webbuilder.netscape.com/webbuilding/0-7532-8-4996985-1.html
8. Понимание и защита от руткитов
http://rr.sans.org/threats/rootkits2.php
9. Хакерский лексикон
http://www.robertgraham.com/pubs/hacking-dict.html
10. Защита скомпрометированного Microsoft Windows NT или 2000 Server
http://www.utexas.edu/computer/security/news/iis_hole.html
11. Бэкдоры Windows — обновление II
http://www.ciac.org/ciac/bulletins/j-032.shtml
12. Бэкдоры (продолжение)
http://www.themanagementor.com/EnlightenmentorAreas/it/SW/1202_4.htm
13. В корне руткиты
http://builder.cnet.com/webbuilding/0-7532-8-4561014-1.html?tag=st.bl.7532.edt.7532-8-4561014