Некролог на Web-Money Keeper Classic


Внутри Keeper'а - часть 3


Штатные средства VM Ware не позволяют менять ни MAC-адреса, ни конфигурацию оборудования (в новых версиях вроде бы сделаны некоторые шаги в этом направлении, но не слишком радикальные). К счастью, есть неофициальная заплатка, позволяющая менять все, что угодно: http://honeynet.rstack.org/tools/vmpatch.c. Эксперименты подтверждают — после изменении конфигурации, Keeper перестает распознавать VM Ware и электронный кошелек больше не "палится".

В текстовых строках можно ковыряться до бесконечности. Это настоящий Клондайк, раскрывающий зловредные намерения Keeper'а хуже любого предателя. На месте разработчиков, мыщъх их бы обязательно зашифровал, а то как-то несерьезно получается.

Как вам нравится следующее? Keeper динамически создает драйвер citio.sys (на NT/W2K/XP)/citio.vxd (на 9x), тут же его загружает в память, а после удаляет:

 

.rdata:10222D5C aSystem32Driver   db 'system32\drivers\citio.sys',0

.rdata:10222D78 aFileName         db '\\.\citio',0

.rdata:10222D8C aSystemCitio_vx   db 'system\citio.vxd',0

.rdata:10222DA0 a_Citio_vxd       db '\\.\CITIO.VXD',0

Листинг 3 ссылки на неопознанный драйвер, обнаруженные в Keeper'e

С самим драйвером я не разбирался. Выяснил только, что имеет размер 4048 байт и по сообщениям на форумах часто является источником многих проблем. Тут уже дело не в конфиденциальности, а в надежности и стабильности работы. Мастерить драйвера — это вам не прикладные программы писать. Малейшая небрежность/неосторожность превращается в сплошной геморрой. Зачем пускать к себе на компьютер _заведомо_ некорректно написанную программу?!

"Источники, приближенные к кругам разработчиков" сообщили, что все эти драйвера вставлены вовсе не из-за пакости, или желания навредить пользователю. Напротив! Они охраняют Keeper от нехороших программ, крадущих электронную наличность. Как говорится, все на благо пользователя, даже если это благо идет ему вопреки. Мыщъх повторяет еще раз: нормально спроектированный платежный клиент работает исключительно на прикладном уровне, а не вгрызается в систему как бульдозер в асфальт. Если на компьютер проникла зловредная программа, захватившая администраторские права (а такие права заполучить очень легко), она может вытворять с Keeper'ом все, что угодно и никакие драйвера не в состоянии ее остановить, поскольку, после того как зловредная программа загрузит свой собственный драйвер, она уровняет свои шансы с Keeper'ом, а в противостоянии двух драйверов обороняющаяся сторона всегда обречена на поражение.




Начало  Назад  Вперед



Книжный магазин