Как в Windows подменить одну программу другой

Не так давно мне довелось чистить компьютер у знакомых от трояна, который на тот момент не обнаруживался ни одним антивирусом. Одно из проявлений зловреда заключалось в том, что при попытке запустить Firefox, Chrome или Opera, вместо них запускался Internet Explorer с предустановленным говносайтом. Переустановка браузеров ничем не помогла, но зато при переименовании исполняемых файлов браузеров они запускались как обычно. Это натолкнуло меня на мысль, что зловред каким-то образом ориентируется на имя файла. Поиск по реестру и последующее ковыряние в интернетах привело меня к хитрому трюку, который использовался в этом трояне. Речь идет о подмене одной программы другой.

Читать статью целиком »

Как прочитать файлы, заблокированные операционной системой Windows

В целях безопасности некоторые файлы и каталоги в системе Windows защищены от несанкционированного доступа. И будь вы хоть трижды администратором на своем компьютере, при работающей системе вы не сможете их открыть даже для просмотра, не говоря уже о внесении каких-либо изменений. К таким файлам относятся файлы подкачки pagefile.sys и hiberfile.sys, файлы реестра, папки с данными точек восстановления. Для чего это нужно? Ну, например, при помощи специальных инструментов из файла подкачки можно попытаться извлечь сохраненные в памяти пароли от криптоконтейнеров (Passware Kit Forensic), а из файлов реестра - логины и пароли учетных записей пользователей (SamInside).

Читать статью целиком »

Что скрывают ярлыки?

Как гласят толковые словари, форенсика - современная наука о раскрытии инцидентов, связанных с компьютерной информацией, исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. И действительно, невероятно сложно удалить все следы работы за компьютером, чтобы профессионал не смог их обнаружить. Сегодня я покажу вам, что скрывают такие, на первый взгляд, безобидные объекты, как ярлыки недавно открытых документов.

Читать статью целиком »

Отключение проверки цифровой подписи в Windows

На работе возникла необходимость подключить одно нестандартное устройство к компьютеру. Драйвера, которые прислали с ним, по всей видимости, самодельные, поэтому система совершенно обоснованно начала ругаться на отсутствие цифровой подписи. Конечно, можно проигнорировать предупреждение безопасности и установить драйвер, вот только работать при этом он все равно не будет.

Читать статью целиком »

Quick Task Terminator 1.4

Программа Quick Task Terminator предназначена для принудительного завершения процессов, а также для получения краткой информации о пути запуска, параметров командной строки и версии запущенных процессов. Также из меню программы можно принудительно перезагрузить или выключить компьютер или отправить его в режим гибернации. Комбинация "горячих" клавиш Alt+Ctrl+Shift+Win+K убивает процесс, окно которого активно в данный момент, что позволяет аварийно выходить из зависших полноэкранных приложений. Alt+Ctrl+Shift+Win+I - информация о процессе, окно которого активно в данный момент. Alt+Ctrl+Shift+Win+M - открыть список процессов (аналог клика на иконке). "Горячие" клавиши можно изменить в настройках программы. Как и остальной мой софт, Quick Task Terminator написан для личных нужд, поэтому обладает только нужным мне функционалом. Прототипом для его создания стал плагин Terminator от оболочки Aston, к которому я в свое время очень привык.

Читать статью целиком »