Эксперимент для выяснения безопасности наборов обновлений и сборок Windows XP
 

Эксперимент для выяснения безопасности наборов обновлений и сборок Windows XP

Чисто из любопытства с целью выяснения безопасности наборов обновлений и сборок Windows XP был проведен следующий эксперимент.

1. Взяли:
- 3 однотипных компа с брендовым хардом DELL выпуска 2006 года (PC1-PC3);
- лицензионный софт на оптических дисках "Windows XP Pro Rus SP2 OEM DELL" (CD1), "Drivers for OEM DELL" (CD2) и "SP3 for Windows XP Pro Rus SP2 OEM DELL" (CD3);
- нелицензионный софт на оптических дисках "UpdatePack Live 12.8.20" с файлом инсталлятора "UpdatePackLive-12.8.20.exe" (CD4) и "Windows XP Pro SP3 VLK Rus x86" на основе файла образа "GRTMPVOL_RU_20.08.12.iso" (CD5).
2. На компы установили софт в режиме "По умолчанию":
- на PC1 - CD1, CD2, CD3, IE7 и WMP10;
- на PC2 - CD1, CD2, CD3, IE7, WMP10, CD4 и "Microsoft .NET Framework 1.1-4.0" из состава CD5 с файлом инсталлятора "SUPPORT\DOTNET.EXE";
- на PC3 - CD5, CD2 и "Microsoft .NET Framework 1.1-4.0" из состава CD5 с файлом инсталлятора "SUPPORT\DOTNET.EXE".
3. По завершении всех установок в соответствии с рекомендациями Microsoft дважды перезагрузили компьютеры.
4. Компьютерам присвоили имена "PC1/2/3", назначили фиксированные адреса 192.168.1.101/102/103 и объединили с помощью хаба в локальную рабочую группу "OFFICE".
5. Хаб подключили к коммуникационному серверу на базе бесплатной OS Ubuntu Server с платным сниффер-файрволом, который во время эксперимента функционировал исключительно в режиме "Сниффер".
6. Запустили автоматическое обновление PC1/2/3 с Microsoft Update. По завершении всех установок опять дважды перезагрузили компы.
7. Выключили все компы и через 30 секунд вновь включили. Выдержали 30 минут после загрузки Windows и на каждом компе вызвали "Диспетчер задач Windows" нажатием клавиш "Ctrl+Alt+Del". В окне "Диспетчера задач Windows" перешли на вкладку "Процессы". И что же здесь мы увидели? Удивительно, но процесс "Бездействие системы":
- на PC1 составил 99 %;
- на PC2/3 скачкообразно менялся в пределах 96-98 %.
Предварительный вывод 1: в PC2/3 чем-то нарушается "спокойствие системы".
8. Исследование OS на PC1/2/3 с помощью утилит от Microsoft показало следующее:
- в OS PC1 ошибок не выявлено;
- в OS PC2/3 отсутствует обновление KB2571181 "FIX: Computer stops responding when the Mscorsvw.exe process starts in the .NET Framework 4" (NDP40-KB2571181-x86.exe для Windows x86 или NDP40-KB2571181-x64.exe для Windows x64)
http://support.microsoft.com/kb/2571181/en-us
http://support.microsoft.com/kb/2571181
http://forum.oszone.net/post-1971310.html
Это вызывает значительный расход вычислительных ресурсов. Особенно во время загрузки компа и при установке/удалении программ. Можно скачать исправление:
http://www.aidinit.com/2011/12/micro...vw-exe-starts/
Либо воспользоваться услугами "Microsoft .NET Framework Repair Tool"
http://www.microsoft.com/en-us/downl....aspx?id=30135
- в реестре OS PC3 были обнаружены ссылки на отсутствующие файлы для загрузки:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
0 File not found: about:Home
HKLM\System\CurrentControlSet\Services
Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
Это вызывает увеличение длительности времени загрузки компа.
Предварительный вывод 2: в "самодельных" сборках нарушено правильное функционирование системы установки и обновления OS.
9. Все компьютеры оставили включенными на 1 сутки.
10. По истечении установленного времени компьютеры выключили и проанализировали результаты наблюдения сниффера на коммуникационном сервере. Результаты ошеломили:
- PC1 обменялся данными исключительно с серверами DELL и Microsoft;
- PC2/3 "отработали" не только с DELL и Microsoft, но также с некоторыми "точками" Евразии.
Предварительный вывод 3: авторы сборок "засорили" свои рабочие компы "бесплатными инструментами" сомнительного происхождения (HaoZIP, NSIS, UXPatcher, оптимизаторы и реструктуризаторы инсталляционных пакетов от сторонних производителей и т.п.), в результате чего часть "мусора" неминуемо попала в наборы обновлений и сборок Windows XP.

Общий вывод: пользуйтесь софтом от доверенных производителей!

Интересная информация. Правда, я не совсем понял, что такое - если это сборка, наверное, надо бы дать ссылку, или написать что добавлялось\модифицировалось.
Не буду утверждать, но по памяти в Windows XP SP3 Pro, установленной с оригинального диска, также есть ключи реестра на запуск несуществующих файлов и еще нескольких, общим числом штук около 6-7. Смотрел программой AutoRuns от Руссиновича (SysInternals).
Лучшая сборка та, которую собрал сам.

А можно пояснить что за точки Евразии, удалось выяснить какой файл и с какими целями обменевался с ними информацией?

Р.С. А речь идёт о популярной версии Windows XP Simplix Edition, к которой было доверие.

.... и это были точки akamaitechnologies.com

Windows XP Pro SP3 VLK Rus (x86)
http://сборка
В своё время я собирал и сравнивал различные версии "оригиналов" от производителя и пришёл к выводу, что в Интернет "гуляют" в основном RC или RTM Escrow, но только не RTM и тем более не Post-RTM.
Сборки лучше вообще не делать во избежание нарушения функциональных взаимосвязей между компонентами и последовательностью их установки. А обновления делать с помощью оригинальных инсталляторов от производителя с соблюдением нужной последовательности их запуска.
Для проведения аналогичного эксперимента с использованием коммуникационного сервера на базе OS Windows Server могу порекомендовать pTraffer:
http://www.ptraffer.ru/
Прямая ссылка на документ с описанием:
http://www.ptraffer.ru/docs/pTraffer_1.3.pdf
Что касается "точек", то они практически всегда одни и те же. Открыто полюбоваться на их устоявшуюся географию можно, например, здесь:
http://www.fail2ban.org/wiki/index.php/Screenshots
Суть затронутой проблемы - это появление дополнительных "дыр" в сборках OS по причине использования "бесплатных инструментов". Даже прыщ на теле даром не выскочит. По этому поводу есть старый сисадминский анекдот.
Умудрился как-то один сисадмин поставить на комп исключительно бесплатное ПО. Только хотел похвастаться всем о своём достижении, но в Интернет так и не смог выйти из-за Adware/Spyware пробки...
Хорошие примеры "бесплатных программ":
http://www.spyware-ru.com/category/rogue-antispyware/

очередная 10 причин по которым я не могу пользоваться ХР
читай : пользуйся лицензионной 7 (8, etc)

кстати, вы, любезный, проигнорировали упоминание akamaitechnologies.com

Можете сказать, на сколько процентов работоспособности ОС, по сравнению с "оригиналом" мы теряем?

теряем 3,59 %

Модераторам - может прикрепить тему?

:lol: с хорошим железом, это не существенно