Моя визитка Урок 1. Хакинг Урок 2. Антихакинг Урок 3. Инструменты хакинга Урок 4. Защита Windows 2000/XP Урок 5. Проникновение в систему Урок 6. Реализация цели вторжения Урок 7. Сокрытие следов Урок 8. Хакинг браузеров Web Урок 9. Хакинг почтовых клиентов Урок 10. Деструкция почтового клиента Урок 11. Хакинг Web-сайтов Урок 12. Атаки DoS Урок 13. Хакинг компьютеров Windows 2000/XP Урок 14. Хакинг средств удаленного управления Урок 15. Хакинг брандмауэров Урок 16. Перехват сетевых данных Урок 17. Хакинг коммутируемого доступа Приложение А Приложение В Приложение С Приложение D Приложение E |
Реализация цели вторжения Доступ к даннымХуверинг Взлом доступа к файлам и папкам Пароли за строкой «******» Создание потайных ходов Добавление учетных записей Автозагрузка утилит Клавиатурные шпионы Запуск утилит планировщиком заданий Скрытие одного процесса за другим Заключение После получения доступа к компьютеру и выявления пароля учетной записи с достаточно высокими привилегиями перед хакером открываются широкие перспективы по реализации цели вторжения. В зависимости от наклонностей хакер может исказить файлы данных, ознакомиться с содержимым различных документов, раскрыть пароли доступа к информационным ресурсам - почте, кошельку, к провайдеру Интернета. То, что это возможно, вы могли убедиться в предыдущей главе при обсуждении программы Pwltool. Если хакеру не безразлично свое будущее, он позаботится о создании потайных ходов во взломанную систему, через которые он сможет периодически навещать свою жертву для пополнения своих ресурсов, ознакомления с результатами деятельности пользователя и тому подобного (см. урок 1 с обсуждением целей ха-кинга). Хакер может также 'установить в систему клавиатурного шпиона, который будет периодически сообщать хозяину обо всех действиях пользователя. Все это, несомненно, и есть то, что составляет цель серьезного хакера, поскольку те бессмысленные, деструктивные действия, которыми увлекаются типы наподобие доктора Добрянского, скорее относятся к теме компьютерного хулиганства. Для реализации всех этих целей существуют весьма эффективные инструменты и технологии, часть которых мы опишем в этой главе - взлом шифрованных документов, установку потайных ходов и клавиатурных шпионов. Для антихакера эти инструменты и технологии также имеют значение, поскольку позволяют восстанавливать утерянные пароли или использовать клавиатурные шпионы в роли компьютерных полицейских, докладывающих о попытках несанкционированной деятельности на компьютере. Так что приступим к знакомству с инструментами хакинга и начнем с простейшей задачи: допустим, перед вами стоит взломанный компьютер. Спрашивается, как узнать, где и что там лежит полезного для хакера, потратившего столько усилий для проникновения в компьютер? Доступ к данным В самом деле жесткие диски компьютеров, особенно работающих в многопользовательском режиме - это просто лабиринт папок, подпапок, файлов и установленных программ. Найти в них что-то полезное сразу не получится, если только не знать точно, где и что лежит - а такими знаниями обладают, как правила, хозяева компьютера. Заметим, что, как показывает статистика, эти-то хозяева, как правило, чаще всего и занимаются хакингом служебных компьютеров [2]. Ну да ладно, исключим последний случай - там все ясно. Спрашивается, что следует искать в первую очередь хакеру, несведущему в секретах фирмы, чтобы быстро получить требуемый результат? В общем, это зависит от цели, но самое ценное для хакера - это пароли доступа, поскольку пароль, по определению, это информация, дающая право доступа к другой информации. Для этого хакеры тгибегают к «хуверингу» (от английского слова «Hoover» - сосать, высасывать, •^пример, пылесосом), а проще говоря, поиску по папкам и файлам компьютера . помощью специальных программ. Хуверинг Хуверингом называется поиск в системе Windows файлов с лакомыми данными паролями, номерами кредитных карточек, адресами электронной почты и т.д. с помощью поисковых средств Windows, например, проводника Windows, или специальных утилит, среди которых выделим утилиту FINDSTR системы Л indows 2000/XP. Применение подобной методики может дать замечательные результаты, поскольку, просто удивительно, как много людей хранит свои пароли доступа к чему угодно, даже к финансовым ресурсам - в открытых для всеобщего доступа текстовых файлах. При обследовании компьютеров компаний с целью выявления уязвимости в системах защиты автор находил такие файлы чуть ли не в каждом втором компьютере. Так что есть смысл вместо утомительного обхода всех закоулков файловой системы компьютера просто запустить процедуру поиска, которая найдет все файлы, содержащие такие слова, как «пароль», «password», «login» «credit card» и так далее. Поскольку со средствами поиска проводника Windows знакомы, вероятно, всё, рассмотрим возможности утилиты FINDSTR, которая обладает весьма обширными возможностями поиска по указанной строке поиска, на порядок превосходя проводника Windows. Поиск файлов утилитой FINDSTR Утилита FINDSTR запускается из командной строки с множеством параметров, отображаемых на экране с помощью команды FINDSTR /?. Ниже приведен общий синтаксис команды FINDSTR. FINDSTR [/В] [/Е] [/L] [/R] [/S] [/I] [/X] [/V] [/N] [/М] [/О] [/Р] [/Р:файл] [/С:строка] [/G:файл] [/D:список_папок] [/А:цвет] [строки] [[диск:][путь]имя_файла[...]] Попытаемся разобраться в этих параметрах. Ввод команды FNDSTR /? отображает справку о наборе параметров, представленных в следующей таблице:
Кратко опишем работу с утилитой FINDSTR. Вот пример команды для поиска текстовых файлов со строкой password в текущей папке и всех ее подпапках: FINDSTR /S "password" *.txt Рис. 1. Поиск текстовых файлов по стоке password Если нужно произвести поиск по нескольким строкам, например, или по строке пароль или password, то следует ввести такую команду: FINDSTR/S "password пароль" *.txt Рис. 2. Поиск текстовых файлов по нескольким строкам пароль или passwordБудут найдены файлы, содержащие или слово пароль, или слово password. Но если вы захотите найти файлы, содержащие словосочетание мои пароли, то следует ввести такую команду: FINDSTR/S/C:"мои пароли" *.txt Таким образом, параметр /С: позволяет искать словосочетания. Программа FINDSTR обладает многими другими возможностями, которые хорошо описаны в справке по системе Windows, так что не будем повторяться. Эта, или ей подобная программа, обязательно должна входить в арсенал инструментов уважающего себя хакера. Поиск строк в файлах утилитой BinText Утилита BinText из комплекта инструментов foundstone_tools компании Foundstone Inc. (http://www.foundstone.com) позволяет находить текстовую информацию там, где ее искать не принято - в исполняемых файлах, файлах DLL, архивах и так далее. На Рис. 3 представлен диалог программы BinText, содержащий три вкладки - Search (Поиск), Filter (Фильтр) и Help (Справка). Чтобы просмотреть файл в программе BinText, выполните такие шаги:
• Щелкните на кнопке Browse (Просмотр) и с помощью открывшегося стандартного диалога выбора файлов найдите SAM базу в своей папке Файлы по безопасности. • Щелкните на кнопке Go! (Исполнить). В диалоге BinText 3.00 отобразится содержимое файла. Установка флажка Advanced view (Расширенное отображение) приводит к построчному отображению содержимого файла (Рис. 1). В диалоге на Рис. 1 в колонке File pos (Позиция в файле) отображаются позиции строки в файле. Колонка Mem pos (Позиция в памяти) отмечает место в памяти компьютера, отводимое для ресурсов исполняемых фалов Windows. Колонка ID содержит идентификатор, указывающий на тип отображаемого ресурса. Значение 0 указывает на то, что строка не относится к ресурсам исполняемых файлов. Исследование файлов с помощью BinText подчас приводит к весьма интересным результатам, поскольку все файлы Windows хранят множество полезной информации, скрытой от пользователей. Ну а что, если какой-то сообразительный пользователь защитит свои секреты, поместив все секретные файлы в архив, защищенный паролем? Ну что же, и тут не все потеряно. Защиту архивов .rar можно взломать, и мы еще опишем применяемую с этой целью программу в следующем разделе. Однако вначале неплохо бы узнать, что в этом самом архиве хранится, чтобы не тратить время попусту. На Рис. 4 представлен диалог программы BinText, отображающий содержимое архивного файла, созданного программой WinRAR с применением парольной защиты.
Программа BinText дает возможность искать различные строки в открытом файле путем их ввода в поле внизу диалога (см. Рис. 4) и щелчка на кнопке Find (Найти). Чтобы облегчить этот поиск, вкладка Filter (Фильтр) предоставляет обширный набор параметров, задающих режим поиска строки (Рис. 5).
Вкладка Filter (Фильтр) диалога на Рис. 5 содержит три области, которые позволяют установить три группы параметров для управления режимом поиска. • В области Stage 1 - Characters included in the definition of a string (Шаг 1 - Символы, включенные в определение строки) следует с помощью флажков указать, какие символы могут входить в искомую строку. • В области Stage 2 - String size (Шаг 2 - Размер строки) следует указать минимальный и максимальный размер искомой строки. • В области Stage 3 - Essentials (Шаг 3 - Основа) следует установить флажок MUST contain these (Должна содержать это) и в ставшем доступным поле указать искомую строку. Настройкой фильтра можно выделить различные компоненты файла и попытаться раздобыть полезную информацию, или хотя бы понять, насколько интересен для хакера данный файл. Это тем более важно, что один из приемов сокрытия файлов заключается в присвоении файлу имени, не соответствующего содержимому, например, файлу документа MS Office - имени с расширением .ехе. В дополнение к программе BinText имеются и другие инструменты хуверинга, к примеру, входящие в состав инструментов W2RK утилит srvinfo.exe для отображения общих ресурсов и запущенных служб сервера, и regdmp.exe позволяющих исследовать содержимое системного реестра Windows 2000/XP. Особенный интерес представляет раздел реестра HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS, где хранятся ненадежно шифрованные пароли служб Windows, кэшированные пароли последних десяти пользователей Windows и другая полезная информация. Для извлечения этих данных можно использовать широко известную утилиту lsadump2.exe (http://razor.bindview.com), однако ее применение требует административных привилегий и углубленных знаний по диспетчеру LSA системы Windows, поскольку отчет о своей работе утилита lsadump2.exe предоставляет в весьма запутанной форме. Итак, вы долго исследовали файлы и папки компьютера и нашли что-то полезное. Но что делать, если это «что-то» - шифрованный документ MS Office или защищенный паролем архив WinRAR? Тогда можно попробовать взломать их защиту, для чего существуют специальные программы. Взлом доступа к файлам и папкам Число инструментов для взлома паролей доступа к информационным ресурсам Windows весьма значительно, поэтому здесь мы опишем только некоторые, завоевавшие определенную популярность в хакерских кругах. Мы обсудим пакет инструментов взлома документов MS Office компании Элкомсофт (http://www.elcomsoft.com), который так и называется - OfficePassword 3.5. После этого мы продвинемся чуть дальше и покажем, как можно выловить пароли доступа к различным ресурсам, скрытые за строкой звездочек «*******». Эту задачу прекрасно решает завоевавшая широкую популярность утилита Revelation от компании SnadBoy (http://www.snadboy.com). Если у вас возникнет желание продвинуться в этом направлении и познакомиться с другими инструментами, то мы советуем обратить внимание на такую утилиту взлома паролей архивных файлов, как AZPR компании Элкомсофт, или к набору утилит Passware Kit, предоставляемых на сайте http://www.lostpassword.com. Последние утилиты обеспечивают взлом самых разнообразных ресурсов Windows - сообщений электронной почты, ICQ, архивов, документов, кошельков Window - но уступают OfficePassword по гибкости настройки процесса взлома. Пакет OfficePassword 3.5 Пакет инструментов OfficePassword 3.5 выглядит весьма впечатляюще и состоит из целого набора инструментов взлома доступа к документам Lotus Organizer, MS Project, MS Backup, Symantec Act, Schedule+, MS Money, Quicken, документам MS Office - Excel, Word, Access, Outlook, к архивам ZIP и даже к модулям VBA, встроенным в документы MS Office. Программы OfficePassword 3.5 снабжены удобным графическим интерфейсом и весьма эффективными средствами настройки процедур взлома. Давайте убедимся в этом на примере взлома доступа к документу Word с очень заманчивым названием password.doc, который должен содержать пароли - а иначе зачем его так называть? Итак, выполнив поиск по файловой системе Windows, вы натолкнулись на файл password.doc, который при попытке открытия отображает диалог с предложением ввести пароль (Рис. 6).
Вводить пароли наугад - дело бесперспективное, так что мы устанавливаем пакет программ OfficePassword 3.5 и выполняем такие шаги: • Выберите команду меню Пуск * Программы * OfficePassword (Start * Programs * OfficePassword). Отобразится диалог программ OfficePassword (см. Рис. 7). Рис. 7. Главный диалог OfficePassword очень прост • Щелкните на кнопке Open (Выберите документ) и с помощью отобразившегося стандартного диалога Windows выберите файл взламываемого документа MS Office. Чтобы повторить описываемую здесь пошаговую процедуру, следует предварительно создать файл документа Word с парольной защитой. Как это сделать, можно прочитать в справке программы MS Word или в любом из многочисленных руководств. Учтите, что демо-версия программы OfficePassword позволяет взламывать пароли длиной не более 3-х символов. Далее последовательно отобразятся два диалога с предупреждениями об ограничении демо-версии программы только тремя символами пароля, а также о возможной длительности процесса взлома пароля. • Оба раза щелкните на кнопке ОК, и на экране появится диалог Select recovery mode (Выберите режим восстановления). • В диалоге Select recovery mode (Выберите режим восстановления) можно выбрать такие режимы взлома пароля: • Automatic (Автоматический режим), который наиболее прост для применения, поскольку требует только щелчка на кнопке Next (Далее), после чего запустится процедура, использующая наиболее широко используемые возможности взлома пароля. • User-defined (Пользовательский режим), позволяющий вручную настроить процедуру поиска пароля. Этот режим рекомендуется только для подготовленных пользователей. • Guaranteed recovery (Гарантированное восстановление), которое, по утверждению авторов, способно восстановить любой пароль, независимо от его длины. Создатели программы рекомендуют начать восстановление с автоматического режима, и только в случае, когда после 24-28 часов работы пароль не будет взломан, переходить к режиму гарантированного восстановления. Пользовательский режим восстановления обязательно следует применить, если пароль содержит символы, не входящие в алфавит английского языка. • После выбора режима взлома пароля щелкните на кнопке Next (Далее). На экране появится диалог, отображающий процесс взлома, после чего на экране отобразится полученный результат. Остальные инструменты OfficePassword 3.5 работают аналогичным образом, позволяя эффективно решать задачу доступа к различным документам, защищенным паролем. Единственная проблема - это время, требуемое для взлома. Если пароль достаточно длинен и сложен, то его взлом может потребовать неимоверно больших ресурсов - а основной постулат криптографии гласит, что усилия на взлом документа должны соответствовать его ценности. Поэтому перед тем, как запускать на всю катушку процедуру взлома, стоит попробовать еще одну возможность - выявления паролей, скрытых за строкой звездочек. Пароли за cтpoкой «******» Все, кто когда-либо работал с приложениями, требующими ввода пароля для доступа к определенным ресурсам, (например, при создании удаленного соединения с сервером Интернета), должно быть знают, что очень часто в строке ввод пароля отображается строчка звездочек типа «******». Иногда эти звездочки просто закрывают отображение содержимого в поле, хотя сама информация, относящаяся к полю ввода, уже содержится в памяти компьютера. Это - недостаток программирования, поскольку имеются средства, позволяющие увидеть то, что скрыто за строкой звездочек. Таким образом, вместо длительного взлома паролей хакер получает их без всякого затруднения. Хотя ценность таких инструментов ныне значительно уменьшилась, поскольку разработчики программ не сидят сложа руки и научились скрывать пароли по- настоящему, все же с помощью программ определения паролей за строкой звездочек можно достичь немалого успеха. Например, можно получить такую интересную вещь, как пароль доступа к серверу трояна NetBus для последующего использования (ценность такого приобретения вы еще поймете, когда прочитае урок 14). Приведем пример применения известной утилиты Revelation от компании SnadBoy (http://www.snadboy.com) к строке пароля имени поставщика услуг Интернета. Утилита Revelation действует следующим образом. • Откройте диалоговое окно Сетевое окружение • Нажмите на ссылку Отобразить сетевые подключения (Рис. 8)
• Нажмите на ссылку Создание нового подключения (Рис. 9).
• Откроется диалоговое Мастер новых подключений (Рис. 10).
Этот мастер помогает: • Подключить Интернет • Подключить частную сеть • Установить малую сеть или сеть малого офиса • Нажмите Next (Далее). Мастер предложит выбрать тип сетевого подключения (Рис. 11). Рис. 11. Мастер предлогает выбрать тип сетевого подключения
• Оставьте Подключить к Интернету и нажмите Next (Далее). Сдесь Мастер готовится к настройке подключения к Интернету (Рис. 12).
• Выберите Установить подключение вручную и нажмите Next (Далее). Сдесь Мастер предложит выбрать каким образом подключиться к Интернету (Рис. 13). Рис. 13. Предложение Мастера выбрать подключение к Интернету
• Оставьте Через обычный модем и нажмите Next (Далее). В этом диалогом окне Мастер предлагает ввести имя поставщика услуг (Рис. 14). Рис. 14. Предложение Мастера ввести имя поставщика услуг
• Введите любое имя. В данном случае не имеет значение какое вы введете имя. Нажмите Next (Далее). Мастер предложит вам ввести телефонный ISP номер (Рис. 15). Рис. 15. Предложение Мастера ввести телефонный ISP номер
• Введите любой номер. В данном случае не имеет значение какой вы введете номер. Нажмите Next (Далее). В этом диалоговом окне Мастер предлагает вам ввести имя учетной записи и пароль для учетной записи Интернета (Рис. 16). Рис. 16. Предложение Мастера ввести имя учетной записи и пароль
• Введите любое имя и любой пароль. • Выберите команду меню Пуск * Программы * SnadBoy's Revelation v2 * Revelation (Start * Programms * SnadBoy's Revelation v2 * Revelation). Отобразится диалоговое окно программы SnadBoy's Revelation (Рис. 17). Рис. 17. Диалоговое окно программы SnadBoy's Revelation
• Перетащите мышью изображение прицела из поля 'Circled+'Cursor ('Кружок+'Курсор) в диалоге SnadBoy's Revelation на строку для ввода пароля. После этого в диалоге программы Revelation, в строке Test of Window Under 'Circled+'Cursor (if available) (Проверка поля под «кружком и курсором» (если доступно)) отобразится пароль (Рис. 18). Рис. 18. Мы восстановили пароль 007
Создание потайных ходов Посидев какое-то время за чужим компьютером, и кое-что успев, а кое-что и не успев сделать, хакер должен уносить ноги, поскольку хозяин вот-вот вернется. Однако перед уходом ему требуется сделать две вещи: устранить следы своего пребывания на компьютере и обеспечить себе возможность повторного проникновения. Первая задача настолько важна, что мы отвели ей урок 7. Сейчас же концентрируемся на второй задаче - создании потайных ходов во взломанный компьютер, позволяющих хакеру повторно навещать свою жертву, в том числе удаленно, решая свои проблемы за чужой счет и без всяких хлопот. Причем, однажды добравшись до компьютера, хакер должен сделать так, чтобы даже в случае обнаружения одного из потайных ходов можно было немедленно создать новый. На сленге такие ходы так и называют - «бэкдор», от английского слова «backdoor» - черный ход, и для его создания можно прибегнуть к ухищрениям, кратко описываемым в последующих разделах. Добавление учетных записей Добавив перед выходом из компьютера учетную запись с высокими привилегиями, хакер сможет в дальнейшем входит в систему, в том числе удаленно и, при необходимости, создавать себе новые потайные ходы. Такая процедура делается двумя командами MS-DOS: NET USER <имя пользователя> <пароль> /ADD, создающей новую учетную запись с указанным именем и паролем, и NET LOCALGROUP <имя группы> <имя пользователя> /ADD, добавляющая созданную учетную запись в указанную локальную группу. На Рис. 19 представлен результат исполнения этих команд.
Теперь новоиспеченный пользователь NewUser может без проблем входит в компьютер, в том числе удаленно, и заниматься там своими делами без помех. А если создать несколько таких учетных записей, то по мере их выявления хакер может создавать все новых и новых пользователей, делая попытки защитить компьютер практически невыполнимыми. Автозагрузка утилит Однако создание собственной учетной записи - дело опасное, поскольку сис- темный администратор имеет все возможности немедленно выявить свежеиспеченного пользователя компьютера. Тогда можно воспользоваться другой возможностью Windows - поместить в папку автозагрузки Startup внутри папки Document and Settings (Документы и настройки) файлов программ, автоматически загружающихся при входе в систему пользователя. Причем программы папки Startup, находящейся в папке All users, будут запускаться для всех пользователей системы. Хакер устанавливает в папку автозагрузки свою программу, которую он может назвать совершенно безобидным именем, под которым она и будет скрытно исполняться. В число хакерских утилит могут входить троянские кони, клавиатурные шпионы (кейлоггеры), утилиты удаленного управления. Троянские кони и средства удаленного управления мы обсудим, соответственно, в уроках 14 и 15 этой книги, где рассматриваются сетевые аспекты хакинга. В этом же уроке мы опишем работу с очень популярным кейлоггером IKS (Invisible KeyLogger Stealth - Невидимый клавиатурный шпион), демо-версию которого можно загрузить с сайта http://www.amecisco.com. Клавиатурные шпионы Клавиатурные шпионы - это программы, регистрирующие нажатия клавиш на компьютере. Принцип их действия прост - все нажатия на клавиши перехватываются программой, и полученные данные записываются в отдельный файл, который далее может быть отослан по сети на компьютер взломщика. Клавиатурный шпион IKS можно назвать весьма популярной программой - по утверждению авторов на сайте http://www.amecisco.com, кейлоггер Invisit - KeyLogger 97 вошел под номером 8 в список 10 изделий, которые способны «напугать вас до смерти». Текущая версия кейлоггера функционирует на системах Windows NT/2000/XP, внедряясь в ядро системы, что позволяет программе перехватывать все нажатия клавиш, включая Ctrl+Alt+Delete. Поэтому IKS позволяет даже перехватывать нажатия клавиш при входной регистрации в системе Windows NT/2000/XP. Таким образом, программа IKS действует подобно драйверу клавиатуры, перехватывая все нажатые клавиши записывая их в журнальный файл. Установка программы IKS не вызывает трудностей. После запуска загруженного с Web-сайта файла iks2k20d.exe отображается диалог, представленный на Рис. 20. Рис. 20. Инсталляция кейлоггера IKS весьма проста
Щелчок на кнопке Install Now (Установить сейчас) устанавливает демо-версию кейлоггера. Полная версия IKS допускает замену имен установочных файлов произвольными именами для сокрытия работы программы. Единственным файлом, необходимым кейлоггеру IKS для работы, является файл iks.sys, который может быть переименован с целью сокрытия его от пользователей. Все нажатые пользователем клавиши записываются в текстовый и двоичный файл, просматриваемый с помощью программы dataview.exe, окно которой представлен на Рис. 21.
Щелчок на кнопке Go! (Вперед) открывает файл журнала, хранящий все нажатые клавиши. С помощью диалога на Рис. 22 можно настроить работу кейлоггера так, что будут отфильтровываться все нажатые функциональные клавиши на клавиатуре, а также очищаться содержимое журнала. Как мы уже говорили, кейлоггер IKS функционирует как низкоуровневый драйвер, что скрывает его присутствие в системе. Однако файл iks.sys этого кейлоггера записывается в каталог корень системы/system32/drivers, а в системном реестре появляется регистрационная запись (эта запись выделена в диалоге редактора системного реестра Regedt32 на Рис. 22).
С помощью таких записей в системном реестре все установленные в системе кейлоггеры идентифицируются без всяких проблем (например, это с успехом делает программа The Cleaner, особенно полезная для поиска троянских коней). Чтобы преодолеть такой недостаток кейлоггера IKS, на вкладке Stealth Inste (Скрытая установка) инсталляционного диалога (Рис. 21) можно изменить имя устанавливаемого драйвера на какое-нибудь безобидное, типа calc.sys, чтобы запутать систему защиты (собственно, отсутствие этой возможности - основное отличие демо-версии от полной). Некоторым недостатком IKS является отсутствие поддержки средств передачи накопленных данных по сети. Этого недостатка лишен кейлоггер 007 Stealth Monitor, который умеет отслеживать посещения пользователем Web-сайтов, введенные пароли, запущенные программы, время обращения к файлам и другие действия пользователя. Однако эта программа плохо маскирует свою работу - её процесс виден в диспетчере задач Windows, хотя хакер может заменить название процесса каким-то другим, например, notepad.exe. Запуск утилит планировщиком заданий Наконец, последний метод создания потайных ходов - это запуск хакерских утилит планировщиком задний Windows. Установив в планировщике заданий запуск утилит в определенное время, хакер сможет удаленно связываться с ним для выполнения различных операций, например, удаленного управления компьютером с помощью предварительно установленного троянского коня, или программ удаленного управления компьютером. Как работают утилиты удаленного хакинга компьютера, мы расскажем в уроках 14 и 15. Скрытие одного процесса за другим Если хакер оставит в папке автозагрузки хакерскую программу, перед ним встает задача скрытия ее исполнения. Этого можно достичь с помощью небольшой, но очень популярной программы elitewrap.exe (http://www.holodeck.f9.co.uk/elitewrap), которая позволяет запаковывать несколько исполняемых файлов в единый исполняемый файл. Запуск этого файла приводит к автоматической распаковке и запуску всех упакованных файлов, причем по желанию отдельные файлы могут исполняться в скрытом режиме. В последнем случае в диалоге диспетчера задач Windows будет отображаться процесс с именем, указанным при упаковке файлов программой elitewrap.exe, a скрытые файлы будут невидимы, т.е. будут прятаться за процессом с именем, указанным при упаковке программ. Интерфейс программы прост и удобен. Вот как можно, например, поместить в один пакет файл программы калькулятора calc.exe и файл NBSvr.exe программы-сервера троянского коня NetBus. В результате будет создан файл с безобидным именем explorer.exe. При последующей загрузке Windows 2000 автоматически запустится программа explorer.exe, которая распакует и запустит программы калькулятора calc.exe сервера NetBus. Далее, за то время, пока пользователь будет разглядывать кнопочки калькулятора и гадать, что все это означает, хакер свяжется с сервером NetBus и сможет выполнить свою работу. Имейте в виду, что программа elitewrap.exe создает исполняемые файлы, которые идентифицируются как вирусы, поэтому использование такого трюка элементарно вычисляется пользователем, не пренебрегающим мерами антивирусной защиты. Также препятствием к использованию программы Elite Wrap может быть тот прискорбный факт, что созданные с ее помощью исполняемые файлы могут подвешивать операционную систему компьютера. Заключение Таким образом, если хакер получит локальный доступ к компьютеру, он сможет сделать с ним все что угодно - выкачать все конфиденциальные данные, создать себе потайной ход, сделав компьютер своим сетевым рабом, или просто исказив и разрушив компьютерную информацию. В общем, как справедливо указано в книге "Секреты хакеров. Безопасность сетей - готовые решения, 2-е изд." , против хакера, получившего локальный доступ к компьютеру, не устоит н; какая защита - рано или поздно она будет взломана. Так что лучшее средстн защиты - ограничение физического доступа к компьютеру и запуск средств п; рольной защиты даже при кратковременных отлучках. Средства хакинга локального компьютера вполне пригодны и для антихакера. Кому из нас не приходилось терять или забывать пароли доступа к собственным ресурсам? И если этот ресурс жизненно важен, можно попробовать взломать его защиту, тем более, какие-то намеки на содержимое парольной строки у вас в голове могут и сохраниться. Далее, кейлоггеры весьма полезны для скрытого отслеживания доступа к своему компьютеру. Можно установить на свой компьютер кейлоггер, который будет скрытно отслеживать попытки вторжения в ваш компьютер, пока вы отсутствуете. Такой инструмент самообороны прекрасно дополнит систему защиты парольной заставки, которая, как вы видели, легко может быть взломана. |
||||||||||||||||||||||||||||||||||||||||||||||||||||