scopri la spia

[MItaly]

Originariamente inviato da nelsonblu
Alcuni sono tremendi, lavorano in background e non appaiono neppure nel taskmgr su sistemi vecchi come XP

Questa mi sembra una sciocchezza, tutti i processi sono mostrati dal Task Manager. Il massimo che un VNC può fare per nascondersi è essere eseguito come servizio dentro ad un processo host (svchost.exe). Se poi si tratta di un rootkit è un altro paio di maniche, ma nessuno installa rootkit per scopi non malevoli.

oppure hanno nomi simili a processi di sistema tipo che sò taskhosts.exe.
Come lo fai a distinguere da un processo di windows innocuo se non sei iperferrato in materia?

Verifichi con un task manager un pelo più avanzato di Windows dove si trova l'eseguibile del processo. Se vedi che è fuori dalla cartella di Windows, è molto facile che non c'entri con Windows. Se invece è nella cartella di Windows, vai nelle sue proprietà, e verifichi le informazioni di versione; difficile che siano taroccate anche quelle.

Fatto sta che comunque il processo è sempre in esecuzione, per cui da quello non puoi sapere facilmente se ti sta osservando o meno. D'altra con una rapida occhiata all'utilizzo della CPU puoi vedere se il processo "sospetto" sta facendo qualcosa o no. Puoi inoltre verificare le connessioni in entrata e uscita con netstat.

[nelsonblu]

Originariamente inviato da MItaly
Questa mi sembra una sciocchezza, tutti i processi sono mostrati dal Task Manager. Il massimo che un VNC può fare per nascondersi è essere eseguito come servizio dentro ad un processo host (svchost.exe). Se poi si tratta di un rootkit è un altro paio di maniche, ma nessuno installa rootkit per scopi non malevoli.

Verifichi con un task manager un pelo più avanzato di Windows dove si trova l'eseguibile del processo. Se vedi che è fuori dalla cartella di Windows, è molto facile che non c'entri con Windows. Se invece è nella cartella di Windows, vai nelle sue proprietà, e verifichi le informazioni di versione; difficile che siano taroccate anche quelle.

Un consiglio, torna umile.
Non tutto quello che non conosci non esiste.
E soprattutto non definire ciò che non conosci "sciocchezza".
Chiedi ad un programmatore di VB6 del comando x.hideMyProcess e vedi poi se lo trovi con contr+alt+canc oppure informati sui keylogger, una loro prerogativa necessaria è proprio essere non visibili nella lista processi. Su Xp poi.. puff.

[Etzi]

Un consiglio.
Se sei all'interno di un'azienda e l'amministratore ti ha installato il programmino ti conviene non toccare (sempre che tu possa farlo) niente potresti rischiare il posto di lavoro.
C'è gente che ha perso il posto di lavoro solo per un utilizzo scorretto di internet durante le ore di lavoro...poi fai tu.

[MItaly]

Originariamente inviato da nelsonblu
Un consiglio, torna umile.
Non tutto quello che non conosci non esiste.
E soprattutto non definire ciò che non conosci "sciocchezza".
Chiedi ad un programmatore di VB6 del comando x.hideMyProcess e vedi poi se lo trovi con contr+alt+canc oppure informati sui keylogger, una loro prerogativa necessaria è proprio essere non visibili nella lista processi. Su Xp poi.. puff.

Un controconsiglio, leggi prima di rispondere. Ho detto:

Se poi si tratta di un rootkit è un altro paio di maniche

non a caso.
Il Task Manager, come qualunque applicazione, per ottenere la lista dei processi usa le apposite API che il sistema mette a disposizione (di solito si usano le PSAPI, ma ce ne sono anche altre); comunque, alla fin della fiera, tutte le API disponibili in user-space sui sistemi operativi di famiglia NT si mappano sulle NT native API, disponibili in kernel space e che sono l'interfaccia diretta che tutto il codice che viene eseguito in kernel-mode ha con il sistema operativo. Il Task Manager, poi, utilizza i normali controlli di Windows per mostrare le informazioni che ha ottenuto.

Per "taroccare" queste informazioni, quindi, si può operare a diversi livelli.
L'approccio più semplice è andare a modificare le informazioni visualizzate, mandando messaggi al listview del Task Manager per eliminare l'elemento della lista del proprio processo; come metodo è fattibile, ma visto che ogni programma tipo task manager li visualizza in maniera differente è impensabile scrivere un programma che abbia effetto su ciascuno di essi.
Il livello successivo è fare sì che le applicazioni non ottengano dalle API i risultati corretti; e qui siamo già nel regno dei rootkit.
Nota che in ogni caso questo non può essere fatto da un'applicazione qualunque, ma deve avere i massimi diritti possibili sul sistema (per cui deve essere eseguita da un amministratore o in contesto di protezione SYSTEM) se vuole che il taroccamento sia completamente trasparente.

Queste alterazioni possono essere fatte sia in user-mode, che in kernel-mode. Nel primo caso l'applicazione "maligna" deve iniettare il suo codice in ogni processo al suo avvio, patchare la IAT (Import Address Table, la tabella che in ogni processo contiene gli indirizzi delle funzioni importate dal dll) in modo che le righe riguardanti le API da "dirottare" puntino a del codice dell'applicazione maligna iniettato nel processo. Tutte queste operazioni richiedono l'uso di API come CreateRemoteThread e WriteProcessMemory, che tuttavia, per funzionare, richiedono che entrambi i processi appartengano allo stesso utente, oppure che l'utente che ha lanciato il programma malevolo abbia il privilegio NT SE_DEBUG, che tuttavia di default è garantito solo agli amministratori. Di conseguenza il massimo che un processo eseguito come non amministratore possa fare è nascondersi ai processi eseguiti dall'utente stesso. Un nuovo processo eseguito da un amministratore sullo stesso sistema non può in questa situazione essere taroccato.

L'alterazione dei dati sui processi eseguiti in kernel mode esulano in parte dalle mie competenze (sul kernel NT ho letto qualche articolo e l'interessante capitolo del Tanenbaum, ma non ho mai programmato in kernel-mode, per cui ne conosco il funzionamento solo per linee generali), ma richiedono comunque che del codice malevolo sia eseguito in kernel mode (sia quindi un driver), per caricare il quale è necessario usare un programma lanciato con privilegi amministrativi.
Quindi: senza privilegi amministrativi (salvo bug gravi del sistema operativo, di driver eseguiti in kernel mode e di applicazioni eseguite con privilegi amministrativi) non è possibile installare rootkit che rendano completamente invisibile l'esistenza di un'applicazione.

Nel caso specifico del topic naturalmente si tratterebbe di un'applicazione installata dall'amministratore di sistema, che ovviamente, essendo potenzialmente dotata di ogni privilegio possibile, può fare quel che le pare, compreso nascondersi (nel qual caso, come detto, si qualificherebbe come un rootkit).

Tuttavia, come già detto, è difficile che una persona di buon senso si fidi ad installare un'applicazione del genere su macchine proprie e per scopi non malevoli, per due semplici motivi: in primo luogo è facile che applicazioni che compiono questo genere di azioni "poco trasparenti" siano di fatto dei trojan, che sfruttano la loro modalità "stealth" per effettuare anche azioni malevole (ad esempio rendere il computer uno zombie in una botnet). In secondo luogo, perché un datore di lavoro non ha nessun motivo per fare ciò, dal momento che l'uso di software del genere per spiare un dipendente è (a quanto ne so) illegale, per cui se anche scoprisse attività illecite mediante un software del genere in modalità stealth andrebbe nei casini se venisse alla luce che le ha scoperte in questo modo. Se poi VNC è usato per fare assistenza remota, come succede appunto praticamente in tutti gli uffici che lo usano, non c'è proprio niente da nascondere, dato che è normale che VNC sia sempre in esecuzione, e si può intuire facilmente se è in azione dall'iconcina nella tray (se è attivata) o dall'uso della CPU e dalle connessioni attive, come ho detto prima.

[fivendra]

Originariamente inviato da Etzi
Un consiglio.
Se sei all'interno di un'azienda e l'amministratore ti ha installato il programmino ti conviene non toccare (sempre che tu possa farlo) niente potresti rischiare il posto di lavoro.
C'è gente che ha perso il posto di lavoro solo per un utilizzo scorretto di internet durante le ore di lavoro...poi fai tu.

quuoto e lo risottolineo e poi se non hai nulla da nascondere perchè hai paura di essere visto?
se le policy dell'azienda sono queste, non devi andare a toccare nulla

comunque cerchiamo di non andarea parlare di hacking o di cracking o devo chiudere il thread...