Взятие асечки с поличным - Статьи с других форумов - Чужие статьи - Каталог статей - Юма.ру ИТ новости/безопасность/занимател.задачки/притчи

Статья mghack Форум Xaknet

Решил я однажды проверить icq клиента, а именно что ему надо от операционки.

Для своих исследований я использовал неплохую программу Process Monitor (must have).

Решено было проверить на Windows XP SP2 icq2003b.

Строки приведены в хранологическом порядке. Рассматривались процессы icq.exe и icqsrp.exe.

Поехали...

icq.exe RegOpenKey HKCU\Software\Policies\Microsoft\Control Panel\Desktop Read

icq.exe RegCreateKey HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings Read/Write

icq.exe RegQueryValue HKLM\System\CurrentControlSet\Control\ProductOptio ns\ProductType Data:WinNT Read

Icq.exe RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\User Shell

icq.exe читает ветку
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\User Shell Folders

Icq.exe
HKLM\System\CurrentControlSet\Control\ComputerName \ActiveComputerName\ComputerName
HKLM\System\CurrentControlSet\Control\ComputerName \ActiveComputerName\ComputerName
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\Hostname

Icq.exe QueryOpen C:\Documents and Settings\user\Cookies
Icq.exe QueryOpen C:\Documents and Settings\user\Local Settings\History

Icq.exe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5

Icq.exe SetBasicInformationFile C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\index.dat Write Metadata

Icq.exe QueryStandardInformationFile C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\index.dat Read Metadata

Icq.exe SetBasicInformationFile C:\Documents and Settings\user\Cookies\index.dat Write Metadata

Icq.exe ReadFile C:\Documents and Settings\user\Cookies\index.dat Read

Icq.exe CreateFile C:\Documents and Settings\user\Local Settings\History\History.IE5\index.dat

Icq.exe RegOpenKey HKLM\Software\Policies\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains Desired Access: Read

Icq.exe RegOpenKey HKCU\Software\Policies\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Ranges Desired Access: Read

icq.exe
работает с HKCU\Software\Policies\Microsoft\Windows\CurrentVe rsion\Internet Settings\
прочитал ветку HKLM\System\CurrentControlSet\Control\Session Manager\Environment

icq.exe RegQueryValue HKLM\System\CurrentControlSet\Control\ComputerName \ActiveComputerName\ComputerName Read

Icq.exeQueryStandardInformationFile C:\AUTOEXEC.BAT Read Metadata

Icq.exe QueryDirectory C:\Documents and Settings\user\Local Settings Read Metadata

Icq.exeQueryOpen C:\Documents and Settings\user\Local Settings\Temp

icq.exe читает ветку HKCU\Volatile Environment

Icq.exe RegQueryValue HKLM\System\CurrentControlSet\Control\ComputerName \ActiveComputerName\ComputerName
Icq.exe RegQueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\Hostname

icq.exe RegEnumValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Icq.exe QueryDirectory C:\Documents and Settings\user\Мои документы Read Metadata

Icq.exe QueryOpen C:\Documents and Settings\All Users\Документы

Icq.exe QueryDirectory C:\Documents and Settings\user\Рабочий стол Read Metadata

ICQSRP.exe RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\User Shell Folders\

Icq.exe RegQueryValue HKCU\Software\Microsoft\Internet Explorer\International\AcceptLanguage Read

ICQSRP.exe QueryDirectory C:\ (читает все файлы в корне диска С)
ICQSRP.exe QueryDirectory C:\Program Files\ Read Metadata
(читает список всех программ)

Icq.exe RegCloseKey HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Icq.exe RegOpenKey HKCU\Software\Microsoft\Internet Explorer
(читает настройки Internet Explorer)

Icq.exe RegCloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Url History

Вот так вот. Интересно, зачем все это аське о твоем компе знать ?!...