Вадим Проскурин - Хоббит, который познал истину

Снова кратковременный провал сознания, неизбежный при переходе на другой компьютер. Мое предыдущее тело умерло - пока еще его можно оживить, выдернув из кэша, но через пару минут оно окончательно перестанет существовать. Вот и хорошо, незачем плодить лишние копии. Я осматриваюсь.

Я начинаю с политики аудита, я должен понять, какие следы оставило мое вторжение в этот компьютер. Я мог бы включить соответствующую привилегию и получить нужные данные легальным путем, но эти действия могут оставить дополнительные следы. Я иду другим путем.

Вход в конфигурационную базу, политики должны быть где-то здесь... Доступ закрыт. Хорошо, что я не ткнулся носом в закрытую дверь, тогда моя попытка доступа была бы зарегистрирована в журналах; я получил нужную информацию опосредованно, через свойства родительского контейнера. Ну-ка, кто у нас имеет сюда доступ?

Похоже, только операционная система. Ничего страшного. Я формирую необходимую структуру и запускаю CreateProcess. Малоизвестная особенность планировщика заданий как будто специально предназначена для таких, как я. Почему за двадцать с лишним лет эту особенность так и не ликвидировали? Спасибо Биллу Гейтсу за нашу счастливую жизнь.

Я запоздало соображаю, что данный вызов тоже относится к числу регистрируемых. Маловероятно, что текущая политика аудита предусматривает регистрацию подобных событий, но если эту операцию зафиксируют... Ладно, уже поздно беспокоиться, остается только надеяться.

Ага, задание запустилось. Контакт... Есть контакт. Теперь контейнер доступен, открываем... Где тут политика аудита? Вот она. Сейчас посмотрим, какой бит что значит... Ага, политика вполне нормальная, я ожидал увидеть что-то подобное. Не видно ни явных ляпов, ни проявлений паранойи. Моя ошибка оставлена без внимания. Замечательно.

Включение привилегий не регистрируется... Камень с сердца. Я спокойно включаю привилегию аудитора и смотрю на искомые файлы. Вот они, суммарный объем полтора мегабайта. Доступ на чтение администраторам... предоставлен. Аудит... регистрируются только изменения. Кажется, дело в шляпе. Тьфу-тьфу-тьфу.

Я копирую файлы и ухожу. Ухожу спокойно, штатными средствами, у меня достаточно полномочий, чтобы не заниматься хакерекими извращениями.

4

Сссра?

Я это. Ты получил файлы?

Да, вот они. Ты разведал проход?

Операция отменяется.

Почему?

Мы не в Интернете.

А где?

Где-где... - Сссра грязно выругался. - Все в той же локальной сети наших друзей. Они отключили один маршрутизатор, и сейчас Средиземъе недоступно, а вот компьютер... Ну тот, с больницей и садом, он здесь, в соседнем сегменте, ему только поменяли адрес.

Как ты догадался?

Они используют очень необычное железо, крайне маловероятно, чтобы в случайно выбранной сети стояли такие же компьютеры, как и у них. А когда подозрение возникло, проверить его оказалось совсем несложно. Все таблицы DNS обновлены позавчера, запросы к удаленным компьютерам Интернета выполняются с такой же скоростью, как и запросы в пределах локальной сети, трейсрут не работает, в общем это модель Интернета, неплохо сделанная модель, но именно модель. Уходить некуда, кроме как обратно к Максу.

Значит... Значит, Макс просто проверяет нас? Он хочет выяснить, не собираемся ли мы убежать?

Именно. А заодно оценить нашу эффективность. Уйти отсюда будет совсем непросто.

Что происходит в сети?

Вирус бесчинствует. Администраторы отключили все маршрутизаторы и несколько рабочих станций, но других активных действий пока не предпринимают.

Что будем делать?

Я установил вакцину на один компьютер, скоро администраторы поймут, почему он не заражается...

Ты что? Они же сразу поймут, что кто-то...

Не горячись, Хэмфаст, все продумано. Вакцина - это одно значение в реестре, которое может быть выставлено кем угодно. На практике совпадение с ожидаемым значением маловероятно, но в жизни бывают еще более невероятные совпадения.

Понятно. И что дальше?

Дальше администраторы должны вакцинировать все остальные компьютеры, а потом заняться вычищением вируса. В этот момент мы перепрыгнем на компьютер, вакцинированный первым. Он еще долго не привлечет внимания.

А потом?

Ставим сетевой модуль и потихоньку пролезаем через дырочку в огненной стене. Знаешь анекдот про наркомана и прокаженного?

Знаю. Я торчу, чувак, как ты отсюда сваливаешь. Что ж, будем сваливать отсюда по частям.

Окей. Ждем.

5

- Вы замечательно справились с заданием, - сообщил Макс. - По правде говоря, начальство не верило, что вы вернетесь.