В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.

Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.

Сегодня пришло время восполнить и этот пробел.

Сначала немного теории :

Как работает интернет ?

На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?

Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.

Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь  очередь  пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS — Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :

217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.

Вот тут остановимся на несколько минут — еще существует файл hosts в папке c:\windows\system32\drivers\etc\ — в нем записаны некоторые соответствия — это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.

По-умолчанию там одна запись вида 127.0.0.1 localhost — что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.

Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).

Для чего же все эти старания ?

Все очень просто — злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл — адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).

В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.

Как же бороться с такими вирусами ?

Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.

Во-первых   — поставьте атрибут «только чтение» на файл hosts  и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.

Во-вторых — сделайте небольшой .bat файл и поместите его в автозагрузку.

Содержимое этого файла :

arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm

Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm — это физический адрес (MAC-адрес) этого IP-адреса.

Правда существует и один недостаток — если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес — Вам нужно снова поправить этот файлик.

Разберем что же он делает :

arp -d xxx.xxx.xxx.xxx — удалит динамическую запись в arp-кеше.

arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm — добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку — после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.

Да, чуть не забыл — как же узнать этот самый MAC адрес ?

В момент , когда все работает правильно и сбоев нет — выполните — Пуск- выполнить — cmd — Ок.

Появится черное окошко. Наберите :

arp -a

Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).

Вопросы можно задавать в комментариях к этой статье.

Одна из причин нежелания пользователей переходить на Windows Vista или Windows 7 — это добольно большой размер установленной Windows.

Например установленная Windows Vista занимала у меня более 15 Гб, а через пару месяцев и того более.

Установленная копия Windows 7 — около 7 Гб.

Все бы хорошо, но через несколько месяцев я аметил , что места на диске С стало катастрофически мало.

Под систему я выделил 12 Гб. Для Windows XP этого было вполне достаточно.

Как же освободить нужное место ?

Для начала я почистил все точки восстановления , кроме последней (Диск С — Свойства — Очистка диска).

Потом перенес файл подкачки на другой диск.

Но даже после всех манипуляций места оставалось около 300 Мб.

Поубирав ненужные программы, начал искать источник такого «прожорства».

Одним из таких мест была папка C:\windows\winsxs.

У меня она занимала более 4 Гб.

Поискав в инете — нашел интересную статью на http://habrahabr.ru.

Про папку winsxs можно почитать  тут.

Winsxslite — это .bat файл, уменьшающий размер папки winsxs.

Работа скрипта включает две фазы:
1. Поиск в папках Program Files и Windows файлов, идентичных файлам в winsxs.
2. Замена старых версий файла в winsxs жесткими ссылками на более новые версии файла.

Работать можно как с онлайн-системой (то есть с работающей ОС) так и с образом ОС.
Работа с онлайн-системой выглядит так:
— Phase 1 scan;
— Phase 1 apply;
— Перезагрузка;
— Phase 2 scan;
— Phase 2 apply;
— Перезагрузка.

Перезагрузка нужна потому, что к некоторым файлам нет доступа на изменение и скрипт создает TODOlist, данные из которого берутся после перезагрузки.

Утилиту и необходимые программы можно взять тут.

После работы утилиты у меня освободилось более 1.2 Гб места.

Попался на глаза интересный ролик.

Windows 95 на iPad

И + Windows 3.11

Интересно это больше ностальгия ? Или просто контраст технологий ? :)