Egy ritka színvonalas és tanulságos posztot olvashattunk a minap attól a Mark Russinovichtól, akinek segédprogramjait az egész világ víruslaboros elemzői használják, csatlakozása a Microsofthoz új időszámítást jelentett a Windows biztonság terén, és akinek azt a bizonyos 2005-ös Sony BMG rootkit leleplezést is köszönhetjük.

Írásában azt mutatja be, hogy kártevő gyanús esetben hogyan lehet apró, de roppant hasznos rendszerdiagnosztikai segédprogramokkal sikeresen Sherlock Holmest és CSI-t játszani. A történet azzal kezdődik, hogy egy amerikai kórházban a Mariofever nevű, hálózaton és hordozható eszközökön egyaránt terjedő kártevőt találnak. A trójai program kísérletet tesz az antivírus programok kikapcsolására is a megfelelő Registry bejegyzések törlésével, hátsó ajtót nyit a rendszerben, adatokat lop el és továbbít távoli szerverre - magyarán egy manapság igencsak jellemző akitivitást vezet elő nekünk.

A dolog a nagyközönségnek ott kezdhet érdekes lenni, hogy ezúttal nem a format C:\ vagy az "hívjunk össze konzíliumot, indítsunk el egy teljes keresést a frissített antiívírusunkkal aztán intubáljunk" módszert vetik be, hanem in medias res, a homo ludens kíváncsian játszani kezd azzal, amije van neki, és az pedig nem más, mint a Sysinternals Listdlls. Ezzel kerül látóterünkbe egy a Winlogon alatt betöltődő DLL, a nvrsma.dll.

Ám egy másik Sysinternals programmal, az automatikusan induló dolgok listázására szolgáló Autoruns listájában ennek érdekes módon még sincs nyoma, így tovább kell ásni ezúttal a Process Monitorral. Nem lőjük le teljesen a poént, tényleg érdemes végigolvasni a lépésről lépésre részletesen bemutatott esetet, mi itt már csak spoilerezünk egy jóízűt, elmondjuk ki tette a nyomravezető lószőrt a bárszekrénybe, és megmutatjuk a gyilkos Sysinternals Stringes képét ;-)

Aki szeretne közelebbről is megismerkedni ezekkel a hasznos és remek eszközökkel, az a Microsoft weboldaláról tudja ezeket a legbiztosabban letölteni, de emellett érdemes lehet néha Mark blogját is felkeresni a hasonló bejegyzések miatt.