Навигация
Главная
Поиск
Форум
FAQ's
Ссылки
Карта сайта
Чат программистов

Статьи
-Delphi
-C/C++
-Turbo Pascal
-Assembler
-Java/JS
-PHP
-Perl
-DHTML
-Prolog
-GPSS
-Сайтостроительство
-CMS: PHP Fusion
-Инвестирование

Файлы
-Для программистов
-Компонеты для Delphi
-Исходники на Delphi
-Исходники на C/C++
-Книги по Delphi
-Книги по С/С++
-Книги по JAVA/JS
-Книги по Basic/VB/.NET
-Книги по PHP/MySQL
-Книги по Assembler
-PHP Fusion MOD'ы
-by Kest
Professional Download System
Реклама
Услуги

Автоматическое добавление статей на сайты на Wordpress, Joomla, DLE
Заказать продвижение сайта
Программа для рисования блок-схем
Инженерный калькулятор онлайн
Таблица сложения онлайн
Популярные статьи
OpenGL и Delphi... 65535
Форум на вашем ... 65535
21 ошибка прогр... 65535
HACK F.A.Q 65535
Бип из системно... 65535
Гостевая книга ... 65535
Invision Power ... 65535
Пример работы с... 65535
Содержание сайт... 65535
ТЕХНОЛОГИИ ДОСТ... 65535
Организация зап... 65535
Вызов хранимых ... 65535
Создание отчето... 65535
Имитационное мо... 65535
Программируемая... 65535
Эмулятор микроп... 65535
Подключение Mic... 65535
Создание потоко... 65535
Приложение «Про... 65535
Оператор выбора... 65535
Реклама
Сейчас на сайте
Гостей: 12
На сайте нет зарегистрированных пользователей

Пользователей: 13,372
новичок: vausoz
Новости
Реклама
Выполняем курсовые и лабораторные по разным языкам программирования
Подробнее - курсовые и лабораторные на заказ
Delphi, Turbo Pascal, Assembler, C, C++, C#, Visual Basic, Java, GPSS, Prolog, 3D MAX, Компас 3D
Заказать программу для Windows Mobile, Symbian

Моделирование работы аэропорта на GPSS + Пояснительная записка
Моделирование работы участка термической обработки шестерен на GPSS + По...
Моделирование работы крупного аэропорта на GPSS + Пояснительная записка

ЗАПУСК ТРОЯНОВ
MS UnSecArt #4


  В последнее время security
bboyz&grlz озабочены поисками всевозможных buffer overflow,поисками ошибок в
реализации сетевых протоколов на низком уровне и изучением неадекватного
поведения ОС,я расскажу о более прозаичных и понятных методах:


Куда надо смотреть что бы не
запускать всякую гадость у себя на компьютере


Реестр


 Именно, реестр-это первое что приходит в голову.. Внимательно просматриваем
ключи, если в этих разделах появилось что-то очень непонятное-разберитесь...

Большинство троянов прописываются именно в этом месте...

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]


  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]


 Здесь можно присваивать
различные значения ...Пример,если выбрать любой bat файл-ткнуть на него правой
кнопкой и выбрать "Изменить" что запустится?Правильно- notepad.exe,однако по
этим ключам можно заметить что здесь присваиваются значения при команде
"Открыть", то есть запуская любой бат файл,фактически запускается троян. Строка
вида C:\WINDOWS\troyan.exe %1 будет запускать troyan.exe ВСЕГДА если открывается
bat файл, то же самое касается exe,com,hta,pif



  [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"

  [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"

  [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"


  [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"


Немного об ICQ...


  [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]

  "Path"="test.exe"

  "Startup"="c:\\test"

  "Parameters"=""

  "Enable"="Yes"


 В этом месте указываются ВСЕ
приложения которые запускаются когда ICQ чувствует соединение с Интернетом...



[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\


  Как пример скрытия настоящего
расширения файла:


[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]

@="Scrap object" "NeverShowExt"=""

  В win 98 есть такая опция "Не показывать расширение для зарегистрированных
типов файлов",как показывает опыт, эта опция достаточно опасна,поэтому
рекомендую отключить ее... Хорошо,теперь мы видим все настоящие расширения,txt
это txt,exe это exe etc... -следующий шаг,создаем файл new.txt.shs,хм... файл
почему то имеет расширение txt,хотя мы явно указали shs..

 Вот за скрытие shs-расширения и отвечает этот ключик...Более того, если
просмотреть свойства этого файла, то он все равно будет называтся
new.txt,впечатление конечно портит иконка,но я думаю что это не очень большая
проблема...


 autorun.inf   Теперь вспомним
о старой, но до сих пор непофиксенной баге- а именно autorun.inf. Хехе,
действительно очень старая дырка. Напомню ее суть, кто забыл (или не знал ;)
Большинство встречалось с тем что если засунуть сидюк, то он сам запускается и
так далее.. Ответственнен за это небольшой файл autorun.inf содержащий
следующее:


[autorun]

OPEN=AUTORUN.EXE

Запускается файлик находящийся на CD,то есть autirun.exe... Понятно что
переправить строку с autorun.exe на troyan.exe не составит труда.. Предположим
что хакер имеет доступ к какому либо диску(не флопповод), он просто закидывает
туда авторан,троянчика и ждет, пока кто-нибудь (желательно админ),не зайдет на
этот диск....


Autoexec.bat


no comments ;)


Win.ini


  [windows]

 &nbspload=troyan.exe

 &nbsprun=troyan.exe


 System.ini


Shell=Explorer.exe file.exe


 c:\windows\winstart.bat


Обычный бат-файл...зато всегда запускается


 c:\windows\wininit.ini


Да,запускается АБСОЛЮТНО не видимо для пользователя,запускаятся ОДИН раз и
стирается..Используется этот файл для установки различными setup'ами

: (content of wininit.ini)

[Rename]

NUL=c:\windows\picture.exe

Nul -равносильно стиранию файла...Еще раз говорю,для пользователя запуск
приложения АБСОЛЮТНО незаметен...

Теперь вспомним о дырках которые были найдены сравнительно недавно-


 Explorer.exe


  Было обнаружено, что NT/2k почему то начинают искать explorer.exe в корне
диска, то есть если злоумышленник имеет доступ к корню, он просто кладет туда
трояна, который называется explorer.exe


 


 Похожая проблема имеется и в win95/98

Правда теперь файл будет называтся win.comПо всей видимости осталось еще с 3.11.


 folder.htt


Довольно часто,просматривая содержимое папок в Windows,вы обращали свое внимание
на файлы типа folder.htt

Так вот,этот файл может содержать директивы т.н. active script'инга.Хм, скажет
читатель,ну и что из этого?

Итак,суть дыры

Сначала локально:-

Вы под Win98 используете разграничение по пользователям,и соответсвенно у
кого-то права меньше чем у Вас, что он делает? Он меняет файл folder.htt в какой
либо директории на свой. Потом при заходе в директорию (если у Вас в опции Вид
стоит "Показывать содержимое директории как Web")в котором лежит чужой
folder.htt запускаются директивы прописанные в нем же и! ...выполнение любой
команды с привилегиями зашедшего... Под Win2000 ситуация абсолютно похожая...   
Болгарин Georgie Guninski написал небольшой эксплойт,который запускает файл
a.bat c надписью:

"Written by Georgie Guninski"

Хорошо, скажем так, сейчас достаточно редко используется Win98 в качестве
мультипользовательского компьютера, и это вселяет некоторую надежду,но тут
вкрадывается следующая мысль , а именно:


Удаленная атака


Что мешает атакующему закинуть
подобные файлы в любой расшаренный ресурс на компьютер Вашей секретарши? (Стоит
напомнить что "Просмотр в виде Web " стоит по дефолту...А Ваша фирма занимается
онлайновыми транзакциями?стоит подумать...



fix:::

Хм...в принципе все это фиксится просто-достаточно просто произвести небольшие
изменения,а именно отключить просмотр в виде Web Page в меню Вид.





  Продолжим хит-парад

 Как-то AntioX и diGriz долго обсуждали возможность такую- так как по дефолту в
win включена "Не показывать расширения для зарегистрированных типов файлов", то
весьма просто изменить иконку бинария на иконку желтого цвета-то есть папки,
назвать файл 1 или a (чтобы файл/директория появлялись в самом начале
директории) и ждать пока пользователь нажмет на эту лже-папку...Решение
интересное, я с таким не сталкивался...
(К сожалению,
сорсов нет,так как автор пропал куда-то,программа просто открывает дефотовые
admin share то есть C$ d$ etc,если администратор предварительно убил это в
реестре,написать такую программу достаточно просто...Поэтому-либо пользуйтесь,
либо пишите сами ;)Кстати,используется только под НТ.


 И наконец-Автозагрузка

&nbspC:\windows\start menu\programs\startup-как известно,здесь можно указать
указать,какие программы надо запускать вместе с системой.Сюда можно запихнуть
что угодно,просто трояна,создать lnk файл на него или reg файл, который сам
добавится к определенной ветке реестра.Фантазия безгранична 8)

Опубликовал Kest October 26 2008 13:13:54 · 0 Комментариев · 7955 Прочтений · Для печати

• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •


Комментарии
Нет комментариев.
Добавить комментарий
Имя:



smiley smiley smiley smiley smiley smiley smiley smiley smiley
Запретить смайлики в комментариях

Введите проверочный код:* =
Рейтинги
Рейтинг доступен только для пользователей.

Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.

Нет данных для оценки.
Гость
Имя

Пароль



Вы не зарегистрированны?
Нажмите здесь для регистрации.

Забыли пароль?
Запросите новый здесь.
Поделиться ссылкой
Фолловь меня в Твиттере! • Смотрите канал о путешествияхКак приготовить мидии в тайланде?
Загрузки
Новые загрузки
iChat v.7.0 Final...
iComm v.6.1 - выв...
Visual Studio 200...
CodeGear RAD Stud...
Шаблон для новост...

Случайные загрузки
Заставка. Изображ...
Аватары в комме...
Программирование ...
БД студентов
Мод "register.php...
База для Allsubmi...
JBlabel3D
Интерактивный инт...
Работа с матрицами
Библия для програ...
SMLPack v1.0
Srinilist
Алгоритм DES шифр...
RAS
Редактор анимаций
Calendar
Rotolabel
Blib [Исходник на...
Ics
EMS QuickExport S...

Топ загрузок
Приложение Клие... 100793
Delphi 7 Enterp... 98016
Converter AMR<-... 20298
GPSS World Stud... 17059
Borland C++Buil... 14239
Borland Delphi ... 10373
Turbo Pascal fo... 7390
Калькулятор [Ис... 6080
Visual Studio 2... 5228
Microsoft SQL S... 3674
Случайные статьи
Сериализация. Выво...
Игровые автоматы н...
Стандартные подпро...
Метод цепочек
АН или ESP
Классификация по п...
Наш метод для onTouch
Создание 3х массив...
Специальный маршалинг
Демонстрация работ...
Определение вторич...
Использование иден...
Поиск и редактиров...
Оформление гиперсс...
Циклические связан...
• Если вы не хотит...
Работа с ячейками
Указатели на функц...
Комментарии
Создание компонент...
Протокол РоЕР внут...
Единственность и и...
Оказывается, в Инт...
JET casino
Коммуникация
Статистика



Друзья сайта
Программы, игры


Полезно
В какую объединенную сеть входит классовая сеть? Суммирование маршрутов Занимают ли таблицы память маршрутизатора?