ь, імітатор зберігає ці дані там, де вони доступні зловмисникові. Далі імітатор ініціює вихід із системи (що в більшості випадків можна зробити програмним шляхом, використовуючи системну процедуру ShutDown), і в результаті перед очима у нічого не підозрює користувача з'являється ще одне, але на цей раз вже справжнє запрошення для входу в систему.
Обдурений користувач, бачачи, що йому пропонується ще раз внести пароль приходить до висновку про те, що він допустив якусь помилку під час попереднього введення пароля, і слухняно повторює всю процедуру входь в систему заново. Деякі імітатори для переконливості видають на екран монітора правдоподібне повідомлення про, нібито, досконалої користувачем помилку. Наприклад, таке: невірний пароль. СПРОБУЙТЕ ЩЕ РАЗ .
Написання імітатора не вимагає від його творця будь-яких особливих навичок. Зловмиснику, який вміє програмувати на одному з універсальних мов програмування (наприклад, на мові BASIC), знадобляться на це лічені години. Єдина складність, з якою він може зіткнутися, полягає в тому, щоб відшукати в документації відповідну програмну функцію, що реалізує вихід користувача з системи.
Приховати пароля часто полегшують самі розробники операційних систем, котрі не ускладнюють себе створенням ускладнених за формою запрошень користувачеві зареєструватися для входу в систему. Подібне зневажливе ставлення характерно для більшості версій операційної системи UNIX, в яких реєстраційне запрошення складається з двох текстових рядків, які видаються по черзі на екран терміналу:
login:
password:
Щоб підробити таке запрошення, не потрібно бути семи п'ядей у ??чолі. Однак саме по собі ускладнення зовнішнього вигляду запрошення не створює для хакера, який задумав впровадити в операційну систему імітатор, яких-небудь непереборних перешкод. Для цього потрібно вдатися до більш складних і витонченим заходам захисту. Як приклад операційної системи, в якій такі заходи в досить повному обсязі реалізовані на практиці, можна привести ОС сімейства Windows або Apple Macintosh.
Системний процес WinLogon, що відповідає в операційній системі Windows за аутентифікацію користувачів, має свій власний робочий стіл - сукупність вікон, одночасно видимих ??на екрані дисплея. Цей робочий стіл називається столом аутентифікації. Ніякої інший процес, в тому числі і імітатор, не має доступу до робочого столу аутентифікації і не може розташувати на ньому своє вікно.
Після запуску Windows на екрані комп'ютера виникає зване початкове вікно робочого столу аутентифікації, що містить вказівку натиснути на клавіатурі клавіші Ctrl + Alt + Del. Повідомлення про натискання цих клавіш передається тільки системного процесу WinLogon, а для решти процесів, зокрема, для всіх прикладних програм, їх натискання відбувається абсолютно непомітно. Далі виробляється переключення інше, так зване реєстраційне вікно робочого столу аутентифікації. У ньому-то якраз і розміщується запрошення користувачеві ввести своє ідентифікаційне ім'я та пароль, які будуть сприйняті і перевірені процесом WinLogon.
Схематично роботу такого вірусу можна представити таким чином:
. При першому отриманні управління в процесі завантаження MBR (Master Boot Record) вірус перехоплює int 16h;
. Обробник переривання int 16h стежить за вектором int 21h, викликаючи його недокументованою функцією AX=0babch - контроль на перехоплення;
. Якщо вектор int 21h не відповідає стандартним чином, то вважається, що необхідно виконати перехоплення int 21h;
. Оброблювач int 21h стежить за зміною диска, контролюючи функцію 0eh.
Підводячи підсумок сказаному, можна відзначити, що не дивлячись на величезну кількість не помилок, ступінь захищеності Windows від імітаторів досить висока. Розгляд захисних механізмів, реалізованих в цій операційній системі, дозволяє сформулювати дві необхідні умови, дотримання яких є обов'язковим для забезпечення надійного захисту від імітаторів:
§ системний процес, який при вході користувача в систему отримує від нього відповідні реєстраційне ім'я і пароль, повинен мати свій власний робочий стіл, недоступний іншим процесам;
§ перемикання на реєстраційне вікно робочого столу аутентифікації має відбуватися абсолютно непомітно для прикладних програм, які до того ж ніяк не можуть вплинути на це переключення (наприклад, заборонити його).
На жаль, ці дві умови ні в однієї з операційних систем, за винятком Windows, не дотримуються. Тому для підвищення їх захищеності від імітаторів можна порекомендувати скористатися адміністративними з...
