Сервис для
сео - оптимизаторов

Найди ошибки на сайте
Ошибки мешают продвижению сайта
Исправь ошибки на сайте
Сайт без ошибок продвигать легче
Получи новых клиентов
Новые клиенты принесут больше прибыль

Почему установщики вредоносных программ используют файлы TMP и папку Temp при заражении Windows

  1. Использование файлов TMP
  2. Использование временной папки Windows

Вы никогда не задумывались, почему в зараженной системе обнаружено слишком много TMP-файлов? Даже если они имеют разные имена, файлы являются точными копиями друг друга, почему?

Первое, что делает установщик вредоносного ПО (первая стадия заражения), когда выполняется на целевой системе - будь то дроппер или загрузчик, - это устанавливает копию вредоносного программного обеспечения и его компонентов в соответствующее место в системе. Некоторые популярные места включают в себя:

  • C: Windows
  • C: Программные файлы
  • C: Пользователи / [текущий пользователь] / AppDataRoamingMicrosoft

Однако существуют случаи, когда установка вредоносного ПО становится поврежденной или неполной из-за текущего состояния целевой системы на момент заражения. Целевая система может иметь медленное соединение, в результате чего загрузчик вредоносных программ не полностью загружает вредоносную программу и ее компоненты. В случае удаления вредоносных программ занятая система может повредить файлы, что приведет к неправильному функционированию вредоносной программы. Другой случай, который может привести к повреждению, - это когда целевая система выключается или перезагружается пользователем до того, как вредоносная программа будет полностью установлена. Большинство пользователей, считая, что их система заражена вредоносным ПО, реагируют на это отключением. «Отключите его, сейчас !!!», если это сервер или настольный компьютер, или «Извлеките аккумулятор, сейчас !!!», если это ноутбук, и у вас есть возможность извлечь аккумулятор (большинство современных ноутбуков больше не позволяют аккумулятор удаление). Идея состоит в том, что немедленное отключение системы в середине процесса заражения предотвратит атаку.

Злоумышленники умны. Они знают об этом и сделали это одним из своих вариантов использования при создании новых технологий установки вредоносных программ, которые позволяют избежать любого вида повреждения во время установки. Их решение? Используйте файлы TMP и папку Microsoft Windows Temp.

Использование файлов TMP

Основная цель злоумышленника - либо полностью установить неисправное вредоносное ПО и его компоненты, либо не устанавливать его вообще.

Это делается с помощью атомарных записей. В контексте программирования атомарные записи (или атомные) обозначают то, что не может быть разделено (конечно, в физике атомы могут быть разделены).

Чтобы лучше понять это, приведем пример. Ниже приведен простой код, который записывает что-то в файл.

Эта операция записи не является атомарной, поскольку возможно, что создаваемый файл Malware.EXE может находиться в нескольких секторах диска, и эти сектора являются частью различных кластеров файловой системы NT (NTFS). Подумайте о фрагментации диска. Повреждение происходит, когда один сектор записывается с предполагаемыми данными, в то время как другой сектор или сектора не записываются, возможно, из-за прерывания или выключения машины. Когда машина перезагрузится, неудачная операция записи не будет восстановлена. Это верно для большинства файловых систем, особенно для файловой системы NTFS и Windows 95, независимо от операционной системы.

Решение состоит в том, чтобы применить атомарную операцию записи. Помните, что цель автора вредоносного ПО состоит в том, чтобы установить или записать вредоносное ПО в нужное место без каких-либо повреждений или вообще без установки. В файле изменения метаданных, такие как переименование, являются атомарными. Таким образом, вместо записи файла в предполагаемом месте, запись выполняется во временный файл. После того, как запись завершена и проверена как завершенная на диске, старый файл (временный файл) заменяется новым файлом (установленное вредоносное ПО в заданном месте).

Чтобы лучше понять это, давайте посмотрим на последовательность ниже на основе Блог MSDN от Microsoft , (но переписано, чтобы соответствовать нашему примеру вредоносных программ.

Процесс записи (на Malware.EXE)

EXE)

Обратите внимание, что на этих шагах местоположение каждого файла не было добавлено. Должно быть понятно, что TMP и альтернативный файл находятся в папке Temp, а новый Malware.EXE в конечном итоге находится в предполагаемом месте.

Приведенные выше шаги являются первой попыткой автора вредоносного ПО устранить коррупцию во время установки. Это не идеально, поскольку повреждение все еще может произойти во время сбоя процесса, выключения компьютера или перезагрузки. Это приводит к скоплению вредоносных TMP-файлов в папке Temp и установленному поврежденному вредоносному ПО. В идеальном случае вредоносная программа устанавливается и все файлы TMP удаляются вместе с установщиком вредоносной программы.

Чтобы решить эту проблему, могут быть добавлены меры по восстановлению после сбоя. Опять же, приведенная ниже последовательность взята из блога Microsoft MSDN, переписанного в соответствии с примером вредоносного ПО.

Если установщик вредоносного ПО имеет возможность работать, делая себя постоянным даже после неудачной установки, он может выполнить следующие шаги в качестве меры предосторожности при восстановлении после сбоя.

Восстановление после сбоя во время записи (на Malware.EXE)

EXE)

Даже с возможностью восстановления после сбоя описанные выше шаги все еще не идеальны, особенно если решение для конечной точки запускает сканирование по расписанию в системе во время операции записи. Решения конечных точек могут получать доступ к используемым файлам и открывать их даже в течение короткого периода времени, что приводит к сбою на шаге 7 операции записи или шагах 1 и 3 операции восстановления - даже если вредоносное ПО является новым или не обнаружено. Эти операции не выполняются, потому что решение конечной точки имеет открытый дескриптор файла. Как во времена, когда вы хотите извлечь внешний диск, но не можете, потому что программа использует файл, расположенный на этом диске.

Исправление для этого заключается в использовании уникальных временных имен файлов.

Процесс записи (на Malware.EXE)

EXE)

Восстановление после сбоя во время записи (на Malware.EXE)

EXE)

Это шаги, которые используют большинство установщиков вредоносных программ при установке вредоносных программ. В результате полностью установлено вредоносное ПО без каких-либо повреждений.

Как и в случае со всем программным обеспечением, всегда есть что-то, что может пойти не так, и вы об этом узнаете, потому что целевая система заканчивается кучей случайно названных вредоносных файлов TMP, которые являются точными копиями друг друга. Помните, что большинство установщиков вредоносных программ удаляют себя и эти файлы TMP после успешной установки.

Использование файлов TMP для атомарности является преимуществом, которое злоумышленники в настоящее время пользуются. Они могли бы выполнить эту операцию в любой папке системы, но они решили использовать стандартную папку Windows Temp. Давайте рассмотрим почему.

Использование временной папки Windows

Есть несколько преимуществ использования папки Temp. В некоторых системах папка Temp находится на RAMDISK , Это значительно ускоряет операции записи и манипуляции с файлами по сравнению с обычной файловой системой на диске.

Еще одним преимуществом является то, что временные папки имеют доступ для чтения и записи для текущего вошедшего в систему пользователя, что устраняет любые ошибки разрешения файловой системы, когда установщик вредоносного ПО пытается установить вредоносное ПО в целевом местоположении без соответствующего разрешения. Папка Temp обычно используется в качестве промежуточной точки после того, как установщик вредоносного ПО или само вредоносное ПО имеют повышенные привилегии.

ОС также предлагает преимущество очистки неполных записей временных файлов в папке Temp, поэтому, в случае сбоя установки вредоносного ПО, ОС заботится об удалении любых следов файлов, предотвращая любую часть вредоносного ПО или поврежденную версию. его основной исполняемый файл от сбора аналитиками и исследователями.

Вот она, причина, по которой установщики вредоносных программ используют TMP-файлы и папку Windows Temp во время заражения вредоносными программами.

Похожие

Защитник Windows для удаления вводящих в заблуждение «очистки» программ
предположительно WD был инактивирован (или он все еще скрывается на заднем плане, проводя какой-то мониторинг?) Насколько я понимаю, в Win8.x / 10, когда вы активируете [известный] сторонний антивирус (например, Panda), WD автоматически отключается и больше не будет отслеживать вашу систему на наличие вирусов / вредоносных программ ... ОДНАКО , он продолжит следить за тем, чтобы убедиться, что ваш сторонний av остается включенным и актуальным ... если вы [или работающая
Установите Windows XP на предварительно установленный компьютер с Windows Vista
... примерно 10 ГБ, введя 10000 в сумму. Следующий шаг может сбить с толку, потому что нам нужно изменить диск cd-rom, который на данный момент неизменно занимает D: потому что мы хотим использовать D: для раздела Windows XP, но он уже занят диском cd-rom , Если вы пропустите этот шаг, то XP установится на диск E: это не конец света, но он не
Исправление для ntldr отсутствует в Windows XP и Windows Vista Компьютеры
14 апреля Microsoft подтвердила то, что я разместил неделю назад: Только подмножество телефонов Windows Ph...
14 апреля Microsoft подтвердила то, что я разместил неделю назад: Только подмножество телефонов Windows Phone получат обновление для создателей Windows 10 когда он начнет выкатываться 25 апреля.
Выключите или отключите Bluetooth в Windows 10
... windowsclub.com/enable-use-bluetooth-windows-10"> включить и использовать Bluetooth в Windows 10 , В этом посте мы увидим различные способы отключения или отключения Bluetooth в Windows 10/8/7. 1] Нажмите, чтобы открыть меню «Пуск». Затем откройте « Настройки» и выберите «Устройства», чтобы открыть «Настройки устройств Windows 10». Теперь на левой панели вы увидите Bluetooth. Нажмите на него, чтобы открыть следующие настройки.
Загрузить сейчас Официальную бета-версию приложения OLX Brazil для Windows Phone и Windows 10
В Магазине Windows уже доступна бета-версия официального приложения OLX для бразильского рынка. Мы говорим о бразильском рынке, потому что официальное приложение OLX хранится годами, однако доступно только для тех, кто живет в США. Теперь у нас также есть приложение OLX только для бразильцев. Вот полное описание
Как создать программу установки флешку с Windows 7
... привет, уважаемые читатели. Более 20-ти дней я ничего не писал в блог, не появлялся онлайн, не отвечал на письма и не давался слышать. Такого большого перерыва в своей деятельности я еще не помню. Почему так случилось? И все банально просто - несколько дней я возился с ПК (перевстановлював операционную систему, восстанавливал данные), а затем вирус положил меня в постель на две недели и ни о какой работе уже даже не думалось. Которая может быть активность, когда красный нос, воспаленные
Windows 7 позволяет удалить Internet Explorer 8
Windows 7 позволяет удалить Internet Explorer 8 Обновлено: 27 июня 2009 г. Впервые в своей истории у Microsoft наконец-то появился браузер, который на самом деле стоит сохранить. Несмотря на то, что он не может сравниться с Firefox или Opera с точки зрения безопасности, скорости, удобства использования или соответствия требованиям W3C, он намного легче своих предшественников (IE5-7). И впервые Microsoft позволяет вам этого не делать. Да, вы правильно прочитали: впервые
Windows 10 Redstone 6 в процессе подготовки. У Microsoft первая сборка
Redstone 6 - седьмое большое обновление для Windows 10, которое уже готовится. Несмотря на то, что Microsoft еще не завершила работу над Redstone 5, который должен поразить всех осенью под названием Windows 10 October 2018 Update. У гиганта из Редмонда уже есть первая сборка из ветви Redstone 6. Компиляция имеет номер 10.0.18200.1000. Redstone 6 - это большое обновление для Windows 10, которое выйдет в следующем году. Гигант из Редмонда в настоящее время пытается завершить работу над
Топ 10 лучших бесплатных кейлоггеров для мониторинга нажатий клавиш в Windows
... windows/"> они не копируют или утечка любых конфиденциальных файлов. Однако его также можно использовать в незаконных целях, таких как кража пароля вашего друга и т. Д. В Интернете можно найти множество программных кейлоггеров, некоторые из них бесплатны, а другие - условно-бесплатные, для использования которых требуется платная лицензия. Вообще говоря, условно-бесплатная версия кейлоггера обычно имеет лучшую невидимость, чтобы предотвратить ее обнаружение опытными пользователями,
Скачать Avast Free Antivirus для Windows 10, Windows 8 [Последняя версия]
Если в прошлом вы не чувствовали себя в безопасности с Avast Free Antivirus, вы можете безопасно защитить свое устройство Windows 10 или Windows 8, а также получить доступ ко многим другим полезным функциям, доступным в версии этого приложения 2015 года и версии 2018 как Что ж. Но у вас будет возможность узнать все, что Avast Free Antivirus может предложить, прочитав строки ниже.

Комментарии

Чаще всего меня спрашивают: «Как установить двойную загрузку с Windows XP на моем новом компьютере с Windows Vista?
Чаще всего меня спрашивают: «Как установить двойную загрузку с Windows XP на моем новом компьютере с Windows Vista?». Ответ в том, что это не так сложно, просто очень много времени, и вам нужно иметь копию Windows XP. Обратите внимание, что вы не должны пытаться сделать это, если вы не готовы решать любые проблемы, которые могут возникнуть. Первая проблема, с которой мы сталкиваемся, заключается в том, что компьютеры с предустановленными операционными системами занимают весь
Хотите знать, как обеспечить безопасность Windows?
Хотите знать, как обеспечить безопасность Windows? Просто и понятно: следуйте нескольким простым Веб-практики , В этом нет темной магии. Альтернативные приложения, немного рассуждений, нет случайного нажатия на случайные файлы, и вы должны быть в порядке. В самом деле. Заключение Удаление Internet Explorer 8 может быть сделано довольно легко. Тем не менее, я, фанат Linux и фанат, искренне рекомендую не делать
Почему уже отформатированную?
Почему уже отформатированную? Потому что мне спокойнее, когда развертывание идет на чистый носитель, не форматируется в процессе. Программа и так будет флешку форматировать, но уже пройдется по чистой и готовом поле. Нажали Begin copying и программа Windows7 USB / DVD Download Tool сначала быстренько флешку форматное ...
Почему Notepad ++ Mac недоступен?
Почему Notepad ++ Mac недоступен? К сожалению, невозможно загрузить Notepad ++ для Mac. Вы можете подумать, что Notepad ++ Mac недоступен, потому что также невозможно загрузить Notepad for Mac, но это не настоящая причина, почему. Notepad ++ в значительной степени опирается на Win32 API, 32-битный интерфейс прикладного программирования для современных версий Windows. Win32 API состоит из множества компонентов, включая такие вещи, как файловые системы, устройства, процессы,
Если вам приходится использовать фиктивные тексты, почему бы не использовать лучшие из лучших?
Если вам приходится использовать фиктивные тексты, почему бы не использовать лучшие из лучших? Какой твой любимый генератор пустых текстов? Мы пропустили какие-нибудь хорошие?
Возьмемся за сложный вопрос, нужно ли нам обновляться до Windows 7 - вообще?
Возьмемся за сложный вопрос, нужно ли нам обновляться до Windows 7 - вообще? Вместо этого, мы должны перейти на тонкий клиент и развернуть службы терминалов или Citrix, или мы могли бы использовать браузер? Мой мозг находится на первой стадии, когда я начинаю понимать, что однажды я смогу запустить свою электронную почту, текстовый процессор и электронную таблицу из Интернета. В этом случае мне может не понадобиться мощная операционная система. Верите ли вы в ТШО? (Общая стоимость
Будут ли все мои файлы проанализированы китайскими спецслужбами?
Будут ли все мои файлы проанализированы китайскими спецслужбами? Когда мы следим за тренингами по журналистским расследованиям в Китае, мы часто слышим, что нам приходится уходить с пустым ноутбуком, безопасная ОС , доступ к VPN и не принимать USB-ключ или обзор нашего оборудования. Вероятно, это не переоценено, и Китаю не чужды эти практики,
Почему карта так важна?
Почему карта так важна? Уровни подземелий разделены слоями коренной породы, чтобы гарантировать, что, попав в темницу, вы не сможете обмануть систему, просто копая прямо вверх или вниз, чтобы убежать. Оказавшись в темнице, вы в ней, пока не найдете выход или не умрете, пытаясь.

Даже если они имеют разные имена, файлы являются точными копиями друг друга, почему?
Их решение?
Или он все еще скрывается на заднем плане, проводя какой-то мониторинг?
Почему так случилось?
Чаще всего меня спрашивают: «Как установить двойную загрузку с Windows XP на моем новом компьютере с Windows Vista?
Хотите знать, как обеспечить безопасность Windows?
Почему уже отформатированную?
Почему Notepad ++ Mac недоступен?
Почему Notepad ++ Mac недоступен?
Если вам приходится использовать фиктивные тексты, почему бы не использовать лучшие из лучших?