Powershell for Windows

Февраль 4, 2010

Cheat-Sheet

Рубрика: another — Метки: , , — Yamshikov Pavel @ 1:42 пп

На сайте Cheat-Sheets собрано много полезной информации, руководства, справочники, шпаргалки и много другого.

Январь 28, 2010

МТС покончил с SMS-мошенниками.

Рубрика: News — Метки: , , , — Yamshikov Pavel @ 9:58 дп

С сегодняшнего дня МТС включил дополнительную защиту от мошенничества по коротким номерам. Теперь абоненту перед списанием средств будет приходить SMS с предложением подтвердить свое желание воспользоваться услугой и достоверная информация о ее стоимости. Источники в МТС, пожелавшие остаться неизвестными, подтверждают, что данный фильтр был установлен на короткие номера, которые чаще всего звучали в жалобах абонентов. В будущем, если ситуация с мошенничеством не изменится, подобный фильтр будет установлен на все короткие номера.

Январь 27, 2010

Арсенал для уничтожения Trojan.Winlock от компании «Доктор Веб»

Компания «Доктор Веб» запустила новый проект, который объединяет в себе массу информации об опасном семействе троянцев, блокирующих доступ в Windows (Trojan.Winlock). На Веб-сервисе можно узнать код разблокировки, определить модификацию Trojan.Winlock, а также обменяться с другими пользователями полезной и актуальной информацией о данной угрозе.

Пользователи, которые в результате действий Trojan.Winlock лишены возможности зайти на сайт компании со своего компьютера, могут воспользоваться бесплатным разблокировщиком через свой сотовый телефон или коммуникатор.

Руководство компании «Доктор Веб» призывает всех пользователей не отчаиваться и ни в коем случае не идти на поводу у злоумышленников, отправляя дорогостоящие СМС-сообщения.

Январь 20, 2010

Шифрование сценариев PowerShell

Рубрика: PowerShell — Метки: , , — Yamshikov Pavel @ 5:08 пп

Иногда, при написании сценария в теле указывают пароли. Для того, что бы эти данные не утекли на сторону скрипт можно зашифровать.

Для шифрования используется следующая функция:

function Encrypt-Script($path, $destination) {
  $script = Get-Content $path | Out-String
  $secure = ConvertTo-SecureString $script -asPlainText -force
  $export = $secure | ConvertFrom-SecureString
  Set-Content $destination $export
  "Script '$path' has been encrypted as '$destination'"
}

Пример:

Encrypt-Script $home\original.ps1 $home\secure.bin

Теперь посмотрим на содержимое файла secure.bin, то увидим, что все содержимое надежно зашифровано:

Get-Content $home\secure.bin

Чтобы запустить скрипт, необходимо расшифровать его. В этом нам поможет вторая функция, которая расшифрует скрипт и выполнит его:

function Execute-EncryptedScript($path) {
  trap { "Decryption failed"; break }
  $raw = Get-Content $path
  $secure = ConvertTo-SecureString $raw
  $helper = New-Object system.Management.Automation.PSCredential("test", $secure)
  $plain = $helper.GetNetworkCredential().Password
  Invoke-Expression $plain
}

Пример:

Execute-EncryptedScript $home\secure.bin

Такой подход позволяет нам использовать нашу личную идентичность как секретный ключ. В результате, человек, который зашифровал сценарий является единственным, кто может расшифровать и запустить его.

Оригинал статьи

Export-CSV -Append

Рубрика: PowerShell — Метки: , , — Yamshikov Pavel @ 2:14 пп

В PowerShell 2.0 командлет Export-CSV не может добавлять строки в существующие файлы CSV.
Для решения это задачи Дмитрий Сотников написал функцию Export-CSV, которая добавляет параметр -Append к уже имеющимся у командлета.

Get-Process | Export-Csv -Path 'c:\Temp\processes.csv' -Append

Если файл не существует в папке TEMP, то парамметр -Append будет проигнорирован и создастся новый файл.

Надеюсь изменения в окончательной версии PowerShell-а будут учтены.

Троян – СМС мошенник.

На днях обратился ко мне за помощь один мой друг. Он умудрился поймать трояна – смс мошенника на свой ноут.

Первый способ удаления трояна:
1. Ввести универсальный код 450850665.
2. Скачать DR.Web CUreIt и проверить компьютер.

Второй способ удаления трояна:
1. Воспользоваться Сервисом деактивации вымогателей-блокеров от «Лаборатории Касперского».

Третий способ удаления трояна:
1. Арсенал для уничтожения Trojan.Winlock от компании «Доктор Веб»

Январь 19, 2010

Получаем список разрешений, необходимых пользователям и группам пользователей домена для доступа к открытому ресурсу (шаре) сервера.

Рубрика: PowerShell — Метки: , , , , , , — Yamshikov Pavel @ 11:46 дп

FindLanDomenServerShares_v1

Описание:
Получает список серверов из АД. Получает список открытых ресурсов(шар) на серверах. Получает список разрешений, необходимых пользователям и группам пользователей для доступа к ресурсу.

Синтаксис:
FindLanDomenServerShares_v1.ps1 [[-Domen] <string[]>] [[-User] <string[]>][[-LogPath] <string[]>]

Параметры:
-Domen
Имя домена из, которого необходимо взять список серверов.

-User
Учетные данные пользователя (админ домена) вида domen\user

-LogPath
Папка для сохранения собранных данных(по умолчанию D:\TMP\LOG)

Пример:
PS C:\FindLanDomenServerShares_v1.ps1 -Domen gavan -user gavan\adm

P.S.

  1. Для работы скрипта потребуется установить оснастку Quest SoftwareManagement Shell for Active Directory и в файле профиля PowerShaell-а Microsoft.PowerShell_profile.ps1 добавить запись:
    # Подключаем оснастку Quest Software
    Add-PSSnapin Quest.ActiveRoles.ADManagement
  2. После загрузки файла, необходимо изменить расширение doc на ps1.

Декабрь 17, 2009

Microsoft Security Essentials – бесплатный антивирус: Теперь и в России!

Рубрика: Security, Windows — Метки: , , — Yamshikov Pavel @ 9:56 дп

Вчера 16 декабря официально стала доступна русская версия бесплатного антивируса Microsoft Security Essentials для домашнего использования в России! Скачать его можно с сайта http://www.microsoft.com/security_essentials/default.aspx?mkt=ru-ru

Что нужно для установки:

  1. Иметь лицензионную версию ОС Windows
  2. Иметь желание защитить свой домашний компьютер от вирусов и другой “пакости” :)

Хочу отдельно отметить, что данный продукт предназначен для домашнего использования, для защиты компьютеров в корпоративной среде  есть другой замечательный продукт: семейство продуктов Forefront.

Источник

Ноябрь 17, 2009

Хакеры окончательно взломали активацию Windows 7

Механизм активации Windows 7 был взломан ещё до официального выхода этой ОС. Однако, предложенный метод требовал изменений в BIOS, что является весьма нетривиальной задачей.

Сейчас хакеры нашли вариант полного обхода механизма Windows Activation Technologies (WAT) без манипуляций с BIOS’ом и вообще без использования ключа активации.

С помощью этого метода блокируется работа модулей SPP (Software Protection Platform) и SLC (Software Licensing Client). И хотя 30-дневный счётчик периода активации может продолжать видимость работы, он уже не инициирует никаких действий. Для блокировки используются следующие команды:

takeown /F %WINDIR%\System32\sppcomapi.dll

icacls %WINDIR%\System32\sppcomapi.dll /deny *S-1-1-0:F

Здесь sppcomapi.dll — библиотека, с помощью которой контролируется основная часть функций SPP. Данным метод можно применять для операционных систем Windows 7 и Windows Server 2008 R2.

С целью автоматизации процесса блокировки активации хакеры создали программы RemoveWAT и Chew-WGA .

По заявлению представителей Microsoft, они в курсе проблемы и уже занимаются ее решением. В Microsoft также подчеркнули важность использования лицензионного ПО.

Октябрь 30, 2009

Adware от Агавы

Скачиваете вы себе файлик, а он в самораспаковывающемся архиве. Запускаете exe’шник, открывается вроде WinRar (очень похожее окно на вид), распаковываете себе файлик и забываете. Но через время со всех дыр начинает лезть реклама, которую непонятно как отключить потому что не ясно, откуда она вообще взялась.
Казалось бы, классическая схема впаривания адвари, живет уже много лет и ничем не примечательна. Но в России решили сделать по-другому. Адварь теперь одобрена местными антивирусами, распространением практически официально занимается довольно крупная и известная компания.

Чуть больше года назад, мне постучал один из партнеров и сказал что кто-то там хочет у меня размещать вирусы и платить за это деньги. От предложения сходу отправить такого коммерсанта лесом удержало только то, что он назвал себя представителем Агавы и что их вирус вроде как одобрен Касперским и отлавливаться им не будет. Мне стало интересно, как такое может быть и я разрешил дать свои контакты, чтобы пообщаться непосредственно.

В ICQ постучался некий Avaks, который назвался Михаилом Ильином, директором по чем-то там в Агаве. Кратко рассказал о том, что предлагается:
Я пакую все файлы на сайте их архиватором, получаются exe’шники, которые при распаковке похожи на WinRar так, что пользователь и не заметит разницы. При распаковке всплывает окошко, где среди кучи текста есть маленький абзац о том, что пользователь нажимая «продолжить» соглашается поставить себе некий рекламный модуль, который сможет потом удалить. После нажатия «продолжить» юзеру ставится этот модуль, который где-то через сутки начинает показывать рекламу. Мне, мол, пойдут денежки за клики, со временем юзеров, что скачали вирус с моей рефкой станет много, кликов пойдет немеряно и вообще можно заработать мильйон очень быстро и не напрягаясь. А так, как реклама будет только через сутки после установки рекламного модуля, то никто и не допрет, откуда она вообще взялась.

На мои вопросы, типа, зачем же это мне добровольно гробить свой ресурс, почему Агава не использует свой ifolder.ru и как вообще публичная компания может впаривать вирусы мне сказали, что ресурс я не угроблю потому, что реклама у них жутко релевантная и пользователь будет только доволен от того, что она будет показываться. Ифолдер не используют потому что типа еще не готова интеграция (на сколько я знаю, она и сейчас не готова:), а потом будут предлагать пользователям сжимать свои файлы этим чудо-архиватором, а по поводу вирусов, так это вообще не вирус, там типа есть деинсталятор и вообще все это добро одобрено в лаборатории Касперского и их антивирус на рекламный модуль не реагирует.

При этом, вопрос о том, хотят ли они просто подставить конкурентов (в моем лице) или они просто впечатлились тем, как летитбит их за пару месяцев обогнал и решили попробовать развиваться теми-же методами, вызвал гневную тираду. Типа сравнение с летитбитом даже оскорбительно, мол у нас тут деинсталятор есть и вообще это совсем не адварь, просто рекламный модуль, который юзер сам соглашается ставить. А конкурентов они подставлять не хотят, и вообще они для них не сильно интересны и работать планируется с mp3 сайтами, тут просто я под руку подвернулся и т.д.

Итого, беседа длилась около часа, меня убеждали (пользователи — говно, какая тебе разница, тут деньги платятся итд), угрожали (мы пойдем к твоим конкурентам, они заработают кучу денег и выживут тебя с рынка), долбили фразами о том, что это у них не адварь, что они на всю голову легальные и вообще несут доброе и вечное. Закончилось тем, что я пообещал автоматически определять наличие их адварей в файлах и удалять файлы вместе с юзерами, что их залили и прекратил диалог.

Я проникся русскому стилю наебизнеса, даже натыкался на сайты с их адварью, но настал кризис и в общем-то эта история как-то забылась (видимо, в кризис решили активность не проявлять). Ведь вполне мог кто-то левый назваться Михаилом Ильином, вести диалог в его стиле (читал после этого несколько раз его посты на roem.ru) и вообще вешать лапшу.

Продолжение она получила сейчас, когда в форму обратной связи накидали предложений заработать кучу денег, но на этот раз были реферальные ссылки и судя по стилю письма, работа явно школьников каких-то. Ссылки вели на сайт tmaproject.ru, зайдя и прочитав несколько абзацев я сразу вспомнил прошлогодний диалог, убедился что писал мне реально представитель Агавы и адварь действительно их:


На этот раз, правда, модуль открыто называется adware, расширился список антивирусов, которые не ловят этот модуль: «Так, в «Лаборатории Касперского» TMAgent классифицируют как AdTool – безопасная программа, показывающая рекламу. Также безопасность TMAgent подтверждается его отсутствием в в базах таких известных антивирусов, как DrWeb, NOD32, Panda Antivirus, AVG, Avira, Ad-Aware и многих других.»

Наверное, в честь кризиса антивирусы снизили цены на игнорирование вирусов, Агава и решила расширить список=)

Удивляет два момента:

1. Неужели в России можно легально впаривать адварь? Понятно, что юзер типа сам ставит, и что, вроде как, удалить можно, но это ж явное мошенничество. Такое-же, как у смс лохотронов, по-сути.

2. Зачем пользоваться антивирусами, которые пропускают мимо такого плана софт?

Интересно было бы посмотреть на рекламодателей, что покупают рекламу в этом адваре. Вполне реально, что им продают какие-то там клики на вполне легальной тизерке, а на самом деле, генерируют переходы таким вот образом.

Еще очень интересно было бы послушать официальные комментарии от самой Агавы и от Лаборатории Касперского, которая вроде как должна делать софт, что защищает от подобных программ.

Источник
Предыдущие записи »

Блог на WordPress.com.