Обнаружив, что даже в неработающем
состоянии система защиты потребляем
некоторую долю процессорного времени я
решил понять, что же делает программа? Filemon
и Regmon показали, что DRM защита каждые две
секунды сканирует все запущенные на
компьютере программы, собирая некую
информацию о файлах — например данные о
размере получаются восемь раз за каждый
скан! Я еще больше стал задумываться о
профессионализме создателей программы…

Связь между процессом и CD плеером нужно
было еще доказать, так что я плотнее занялся
обоими процессами. Я подозревал, что плеер и
$sys$DRMServer общаются через именованные каналы,
так что в Filemon я отметил Named Pipes в меню Volumes и
подтвердил свою теорию:

Теперь все стало абсолютно понятно:
руткит и его файлы попали на мою машину с
программой First 4 Internet DRM, которую Sony
выпустила на CD. Естественно я не захотел
иметь на своем компьютере плохо написанную
и пожирающую ресурсы программу и попытался
удалить ее. Вот тут я попал — ни в "Панели
управления", ни на самом CD, ни на сайте First
4 Internet я не нашел способа удалить программу!
Я просмотрел лицензию пользователя но и там
ни нашел ни слова о том, что подписываюсь
под установкой на свой компьютер некой
программы. Это меня просто привело в
бешенство.

Я удалил файлы драйвера, ключи реестра,
остановил сервис $sys$DRMServer и его копию и
перегрузил компьютер. В процессе удаления
записей в HKLM\System\CurrentControlSet\Services я отметил,
что они были отмечены как boot-start драйвера
или как члены группы HKLM\System\CurrentControlSet\Control\SafeBoot,
что означает их загрузку даже в безопасном
режиме, что само по себе очень опасно, так
как может убить систему из-за единственной
ошибке в драйвере.

После перезагрузки из Проводника исчез CD-привод.
Удаление драйвера выключило его. Вот тут
они меня уже просто достали. Известно, что
Windows поддерживает "фильтрацию"
устройств, позволяя драйверам находится
выше или ниже один другого, это необходимо
для контроля потока данных и фильтрации I/O
запросов. Из своей предыдущей работы я знал,
что если удалить драйвер который
осуществляет фильтрацию, то Windows не сможет
стартовать реальный драйвер устройства.
Открыв Device Manager  посмотрел свойства
своего привода и увидел еще одно
устройство, Crater.sys, зарегистрированное как
фильтр.

Развлечения продолжались — в управлении
устройством можно лишь просмотреть
названия фильтрующих драйверов, однако
удалить их невозможно! Регистрации
драйверов в данном случае хранятся в HKLM\System\CurrentControlSet\Enum,
так что я открыл свой любимый Regedit и
запустил поиск по $sys$ в этом разделе:

Естественно я попытался удалить запись в
реестре, но получил access-denied error. Этот ключ
мог быть удален только из Local System аккаунта,
так что пришлось брать PsExec
и запускать от его имени Regedit:

psexec –s –i –d regedit.exe

Запись удалилась, а я продолжил поиски $sys$.
Оказалось, что еще существует Cor.sys как
фильтр для IDE устройства, он так же был
благополучно удален. Перезагрузка — и мой
CD-ROM снова со мной.

Ну что можно сказать напоследок? Вся
история иррациональна и неправильна. Sony не
просто установила программу на мой
компьютер используя приему, присущие в
основном вирусописателям, она оказалась
криво написанной и без возможности
удаления. Большинство пользователей даже
не сумели бы правильно удалить ее из
системы, вероятно полностью нарушив работу
операционной системы. Признавая за
звукозаписывающей индустрии право
использовать механизмы защиты от
копирования, я не думаю что в данном случае
это право используется по назначению.

Оставить мнение

Check Also

Атака NFCdrip использует NFC для передачи данных на сравнительно дальние дистанции

Исследователь продемонстрировал, что NFC можно использовать в преступных целях и на сравни…