Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (166)
  • добавить в избранное
    Добавить в закладки

Бьем врага его же оружием

Прочитали: 13457 Комментариев: 64 Рейтинг: 308

31 августа 2016

Файл hosts играет важную роль, когда злоумышленники подсовывают нам нужные им страницы сайтов. В частности, манипуляции с ним позволяют скрывать доступ к сайтам антивирусных вендоров.

Для чего вообще нужен файл hosts? Это файл, в который можно помещать записи, сопоставляющие имена интернет-ресурсов с их сетевыми адресами. В частности, это позволяет получать доступ к различным ресурсам без использования внешних сервисов и ускорять загрузку сайтов.

Контроль за изменением содержимого файла hosts осуществляется с помощью Превентивной защиты Dr.Web Security Space.

Но hosts – это обоюдоострое оружие, и в руках опытного пользователя он позволяет запретить доступ к сайтам злоумышленников. Для блокировки доступа к нежелательному ресурсу необходимо лишь добавить в конец файла строку вида "127.0.0.1 URL_блокируемого_ресурса". Суть этого действия состоит в том, что при попытке загрузить блокируемый ресурс система попробует загрузить его с локального компьютера (предопределенный адрес 127.0.0.1), на котором он, естественно, отсутствует. Поэтому нежелательный сайт и не загрузится.

Но модификация файла hosts – это не только борьба с нежелательными ресурсами. Как известно, современные вредоносные файлы зачастую управляются извне.

Чтобы определить IP-адрес пользователя, Black Shades обращается к сайту http://icanhazip.com. В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно открыть файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com. Если малварь не сумеет соединиться с icanhazip.com, она аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже).

<a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb

https://xakep.ru/2016/06/07/black-shades

Hosts представляет собой простой текстовый файл, одна строка в котором соответствует одной записи. Классический формат записи:

IP-адрес Символьное_имя_домена # Тут может быть комментарий

Почти во всех операционных системах (кроме Windows 7 и 8, там одни комментарии) первой записью числится:

127.0.0.1 localhost

Это означает, что доменному имени localhost соответствует IP-адрес 127.0.0.1, локальный адрес самой системы.

Внимание! По умолчанию для OS Windows он располагается в %windir%\system32\drivers\etc\hosts. Данный путь злоумышленники могут изменить. Однако вы можете вернуть его к значению по умолчанию самостоятельно. В данном примере для простоты мы предполагаем, что путь к файлу соответствует значению по умолчанию.

Файл можно открыть, нажав Пуск - Выполнить (это же окно выводит комбинация клавиш Win+R), в появившемся окне Запуск программы в поле Открыть вводим notepad %SystemRoot%\system32\drivers\etc\hosts и нажимаем ОК. Также открыть файл можно в любом текстовом редакторе.

Если вы открываете файл вручную, то учтите, что ему может быть присвоен атрибут «Скрытый». Для показа таких файлов необходимо в Свойствах папки включить опцию Показывать скрытые файлы и папки).

Внимание! Зачастую злоумышленники вставляют нужные им записи за пределами видимого окна «Блокнота», используя пустые строки. После открытия файла всегда проверяйте, есть ли справа полоса прокрутки и прокручивайте окно полностью.

Правила редактирования файла hosts

  1. Каждый элемент должен располагаться в отдельной строке.
  2. IP-адрес должен начинаться с первой позиции строки, за ним (в этой же строке) должно следовать соответствующее ему имя хоста.
  3. IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
  4. Комментарии должны предваряться символом #.

Если комментарии используются в строках соответствия доменных имен, они должны следовать за именем узла и отделяться от него символом #.

Если не удается сохранить файл, то необходимо войти в систему учетной записью администратора или запустить блокнот от имени администратора и редактировать файл.

Сделать это можно двумя способами.

  1. С помощью командной строки (в случае Windows 10), кликнув правой кнопкой мыши по иконке <a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb.

    <a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb

    Выбираем Командная строка (администратор) и в открывшемся окне пишем (или копируем) строку:

    notepad C:\Windows\System32\drivers\etc\hosts

    В этом случае обычный блокнот Windows будет запущен с правами администратора и позволит внести изменения в файл hosts.

    <a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb

    Вносим изменения и сохраняем файл (Файл → Сохранить).

  2. Открытие текстового редактора с правами администратора вручную.

    Переходим в папку, в которой хранится исполняемый файл текстового редактора, к примеру, «Блокнот» (эта часть инструкции также подойдет к другим текстовым редакторам, например Notepad++). Скажем, исполняемый файл «Блокнота» находится в C:\Windows\system32. Ищем (в случае «Блокнота») файл notepad.exe.

    Кликаем по файлу правой клавишей мыши и выбираем Запуск от имени администратора.

    <a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb

    Выбираем Файл → Открыть. В появившемся окне переходим в папку C:\Windows\System32\drivers\etc. Выбираем в правом нижнем углу Все файлы и открываем hosts.

    <a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb

    Вносим необходимые изменения и сохраняем файл.

Внимание! Если после сохранения файла и/или после перезагрузки некоторые сайты продолжают не открываться или открываются не совсем с тем содержимым, которое вы ожидаете, то, возможно, в системе действует активная вредоносная программа, которая с определенной периодичностью проверяет содержимое файла hosts и меняет его.

Чтобы просмотреть статистику обращений к различным ресурсам и выбрать те, которые «достойны» записи в файл hosts, нажмите в меню Агента Dr.Web на значок <a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb и выберите имя пользователя.

<a href='https://www.drweb.ru/pravda/hashtag/?q='>#</a>drweb

#Hosts #Интернет

Антивирусная правДА! рекомендует

Но есть путь проще!

Если вы хотите блокировать доступ к определенным интернет-ресурсам, используйте Белый и Черный списки Родительского контроля Dr.Web Security Space – в этом случае вы можете настроить правила доступа индивидуально для конкретных пользователей компьютера.

#drweb

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: