Навигация
Главная
Поиск
Форум
FAQ's
Ссылки
Карта сайта
Чат программистов

Статьи
-Delphi
-C/C++
-Turbo Pascal
-Assembler
-Java/JS
-PHP
-Perl
-DHTML
-Prolog
-GPSS
-Сайтостроительство
-CMS: PHP Fusion
-Инвестирование

Файлы
-Для программистов
-Компонеты для Delphi
-Исходники на Delphi
-Исходники на C/C++
-Книги по Delphi
-Книги по С/С++
-Книги по JAVA/JS
-Книги по Basic/VB/.NET
-Книги по PHP/MySQL
-Книги по Assembler
-PHP Fusion MOD'ы
-by Kest
Professional Download System
Реклама
Услуги

Автоматическое добавление статей на сайты на Wordpress, Joomla, DLE
Заказать продвижение сайта
Программа для рисования блок-схем
Инженерный калькулятор онлайн
Таблица сложения онлайн
Популярные статьи
OpenGL и Delphi... 65535
Форум на вашем ... 65535
HACK F.A.Q 65535
Бип из системно... 65535
Гостевая книга ... 65535
Invision Power ... 65535
Пример работы с... 65535
Содержание сайт... 65535
Организация зап... 65535
Вызов хранимых ... 65535
Создание отчето... 65535
Программируемая... 65535
Эмулятор микроп... 65535
Подключение Mic... 65535
Создание потоко... 65535
Приложение «Про... 65535
Оператор выбора... 65535
Модуль Forms 65535
ТЕХНОЛОГИИ ДОСТ... 63038
Имитационное мо... 58350
Реклама
Сейчас на сайте
Гостей: 7
На сайте нет зарегистрированных пользователей

Пользователей: 13,091
новичок: avegraf
Новости
Реклама
Выполняем курсовые и лабораторные по разным языкам программирования
Подробнее - курсовые и лабораторные на заказ
Delphi, Turbo Pascal, Assembler, C, C++, C#, Visual Basic, Java, GPSS, Prolog, 3D MAX, Компас 3D
Заказать программу для Windows Mobile, Symbian

Игра Sokoban на Delphi + Блок схемы
База данных междугородних телефонных разговоров на Delphi
Моделирование процесса обработки заданий на вычислительном центре на GP...

Реклама



Подписывайся на YouTube канал о программировании, что бы не пропустить новые видео!

ПОДПИСЫВАЙСЯ на канал о программировании
ЗАПУСК ТРОЯНОВ
MS UnSecArt #4


  В последнее время security
bboyz&grlz озабочены поисками всевозможных buffer overflow,поисками ошибок в
реализации сетевых протоколов на низком уровне и изучением неадекватного
поведения ОС,я расскажу о более прозаичных и понятных методах:


Куда надо смотреть что бы не
запускать всякую гадость у себя на компьютере


Реестр


 Именно, реестр-это первое что приходит в голову.. Внимательно просматриваем
ключи, если в этих разделах появилось что-то очень непонятное-разберитесь...

Большинство троянов прописываются именно в этом месте...

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]


  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]


 Здесь можно присваивать
различные значения ...Пример,если выбрать любой bat файл-ткнуть на него правой
кнопкой и выбрать "Изменить" что запустится?Правильно- notepad.exe,однако по
этим ключам можно заметить что здесь присваиваются значения при команде
"Открыть", то есть запуская любой бат файл,фактически запускается троян. Строка
вида C:\WINDOWS\troyan.exe %1 будет запускать troyan.exe ВСЕГДА если открывается
bat файл, то же самое касается exe,com,hta,pif



  [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"

  [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"


Немного об ICQ...


  [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]

  "Path"="test.exe"

  "Startup"="c:\\test"

  "Parameters"=""

  "Enable"="Yes"


 В этом месте указываются ВСЕ
приложения которые запускаются когда ICQ чувствует соединение с Интернетом...



[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\


  Как пример скрытия настоящего
расширения файла:


[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]

@="Scrap object" "NeverShowExt"=""

  В win 98 есть такая опция "Не показывать расширение для зарегистрированных
типов файлов",как показывает опыт, эта опция достаточно опасна,поэтому
рекомендую отключить ее... Хорошо,теперь мы видим все настоящие расширения,txt
это txt,exe это exe etc... -следующий шаг,создаем файл new.txt.shs,хм... файл
почему то имеет расширение txt,хотя мы явно указали shs..

 Вот за скрытие shs-расширения и отвечает этот ключик...Более того, если
просмотреть свойства этого файла, то он все равно будет называтся
new.txt,впечатление конечно портит иконка,но я думаю что это не очень большая
проблема...


 autorun.inf   Теперь вспомним
о старой, но до сих пор непофиксенной баге- а именно autorun.inf. Хехе,
действительно очень старая дырка. Напомню ее суть, кто забыл (или не знал ;)
Большинство встречалось с тем что если засунуть сидюк, то он сам запускается и
так далее.. Ответственнен за это небольшой файл autorun.inf содержащий
следующее:


[autorun]

OPEN=AUTORUN.EXE

Запускается файлик находящийся на CD,то есть autirun.exe... Понятно что
переправить строку с autorun.exe на troyan.exe не составит труда.. Предположим
что хакер имеет доступ к какому либо диску(не флопповод), он просто закидывает
туда авторан,троянчика и ждет, пока кто-нибудь (желательно админ),не зайдет на
этот диск....


Autoexec.bat


no comments ;)


Win.ini


  [windows]

 &nbspload=troyan.exe

 &nbsprun=troyan.exe


 System.ini


Shell=Explorer.exe file.exe


 c:\windows\winstart.bat


Обычный бат-файл...зато всегда запускается


 c:\windows\wininit.ini


Да,запускается АБСОЛЮТНО не видимо для пользователя,запускаятся ОДИН раз и
стирается..Используется этот файл для установки различными setup'ами

: (content of wininit.ini)

[Rename]

NUL=c:\windows\picture.exe

Nul -равносильно стиранию файла...Еще раз говорю,для пользователя запуск
приложения АБСОЛЮТНО незаметен...

Теперь вспомним о дырках которые были найдены сравнительно недавно-


 Explorer.exe


  Было обнаружено, что NT/2k почему то начинают искать explorer.exe в корне
диска, то есть если злоумышленник имеет доступ к корню, он просто кладет туда
трояна, который называется explorer.exe


 


 Похожая проблема имеется и в win95/98

Правда теперь файл будет называтся win.comПо всей видимости осталось еще с 3.11.


 folder.htt


Довольно часто,просматривая содержимое папок в Windows,вы обращали свое внимание
на файлы типа folder.htt

Так вот,этот файл может содержать директивы т.н. active script'инга.Хм, скажет
читатель,ну и что из этого?

Итак,суть дыры

Сначала локально:-

Вы под Win98 используете разграничение по пользователям,и соответсвенно у
кого-то права меньше чем у Вас, что он делает? Он меняет файл folder.htt в какой
либо директории на свой. Потом при заходе в директорию (если у Вас в опции Вид
стоит "Показывать содержимое директории как Web")в котором лежит чужой
folder.htt запускаются директивы прописанные в нем же и! ...выполнение любой
команды с привилегиями зашедшего... Под Win2000 ситуация абсолютно похожая...   
Болгарин Georgie Guninski написал небольшой эксплойт,который запускает файл
a.bat c надписью:

"Written by Georgie Guninski"

Хорошо, скажем так, сейчас достаточно редко используется Win98 в качестве
мультипользовательского компьютера, и это вселяет некоторую надежду,но тут
вкрадывается следующая мысль , а именно:


Удаленная атака


Что мешает атакующему закинуть
подобные файлы в любой расшаренный ресурс на компьютер Вашей секретарши? (Стоит
напомнить что "Просмотр в виде Web " стоит по дефолту...А Ваша фирма занимается
онлайновыми транзакциями?стоит подумать...



fix:::

Хм...в принципе все это фиксится просто-достаточно просто произвести небольшие
изменения,а именно отключить просмотр в виде Web Page в меню Вид.





  Продолжим хит-парад

 Как-то AntioX и diGriz долго обсуждали возможность такую- так как по дефолту в
win включена "Не показывать расширения для зарегистрированных типов файлов", то
весьма просто изменить иконку бинария на иконку желтого цвета-то есть папки,
назвать файл 1 или a (чтобы файл/директория появлялись в самом начале
директории) и ждать пока пользователь нажмет на эту лже-папку...Решение
интересное, я с таким не сталкивался...
(К сожалению,
сорсов нет,так как автор пропал куда-то,программа просто открывает дефотовые
admin share то есть C$ d$ etc,если администратор предварительно убил это в
реестре,написать такую программу достаточно просто...Поэтому-либо пользуйтесь,
либо пишите сами ;)Кстати,используется только под НТ.


 И наконец-Автозагрузка

&nbspC:\windows\start menu\programs\startup-как известно,здесь можно указать
указать,какие программы надо запускать вместе с системой.Сюда можно запихнуть
что угодно,просто трояна,создать lnk файл на него или reg файл, который сам
добавится к определенной ветке реестра.Фантазия безгранична 8)

Опубликовал Kest October 26 2008 16:13:54 · 0 Комментариев · 6180 Прочтений · Для печати

• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •


Комментарии
Нет комментариев.
Добавить комментарий
Имя:



smiley smiley smiley smiley smiley smiley smiley smiley smiley
Запретить смайлики в комментариях

Введите проверочный код:* =
Рейтинги
Рейтинг доступен только для пользователей.

Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.

Нет данных для оценки.
Гость
Имя

Пароль



Вы не зарегистрированны?
Нажмите здесь для регистрации.

Забыли пароль?
Запросите новый здесь.
Поделиться ссылкой
Фолловь меня в Твиттере! • Смотрите канал о путешествияхКак приготовить мидии в тайланде?
Загрузки
Новые загрузки
iChat v.7.0 Final...
iComm v.6.1 - выв...
Visual Studio 200...
CodeGear RAD Stud...
Шаблон для новост...

Случайные загрузки
DelphiX
Calendar
Введение в станда...
PBEditPack
MpegPlay
DirHTMLReportBuil...
RxLIB
Abbrevia
Пятнашки и крести...
Панель поиска
Работа с базами д...
Панель случайной ...
PDJ_Anima
Переработанный пл...
PDJXPPack
Handles
CoolHints2k
CaptionButton
Сложный калькулятор
39 статьи по Delphi

Топ загрузок
Приложение Клие... 100480
Delphi 7 Enterp... 87871
Converter AMR<-... 20082
GPSS World Stud... 13515
Borland C++Buil... 12060
Borland Delphi ... 8671
Turbo Pascal fo... 7048
Visual Studio 2... 5005
Калькулятор [Ис... 4910
FreeSMS v1.3.1 3545
Случайные статьи
Способ достижения ...
tld (172
Бюджеты и инфографика
Узбекские песни ск...
Вычисление значени...
Файлы в папке Wind...
retract(X)
TopGen 3 (накрутчик)
Решение для случая...
Как уменьшить прил...
Установка Apache +...
Сотрудник службы б...
Советы по загрузке...
Ассемблер в Delphi
Обмен универсальны...
Последниедва запре...
Глава 22. Роли ...
Формирование сообщ...
Как определить коо...
Отображение данных...
Использование Drag...
ДАЛЬНЕЙШАЯ ЭВОЛЮЦИ...
Бесшумная работа
Задание на моделир...
Подготовка файла A...
Статистика



Друзья сайта
Программы, игры


Полезно
В какую объединенную сеть входит классовая сеть? Суммирование маршрутов Занимают ли таблицы память маршрутизатора?