Август - Xakep Online

взломРазработка граббера, замаскированного под антивирус, в MicrosoftVisual Studio 6.0Достаточно многие флешки оснащены индикатором, препятствующимнезаметному сливу данныхидет не о мелких ошибках реализации, а о глобальных конструктивныхпросчетах. Начнем с того, что многие грабберы ныкают свои процессы отдиспетчера задач и других утилит подобного типа, перехватывая ряд системныхфункций и не вполне корректно их обрабатывая. Все это приводитк многочисленным конфликтам и сбоям операционной системы. Зачемпрятать процессы на своей собственной машине — мне непонятно. Еслиграббер устанавливается сознательно (а это как раз и есть та ситуация, окоторой мы говорим), он может ныкаться как угодно — я все равно знаю,что он есть. Посторонним же пользователям список процессов на моемкомпьютере ровным счетом ни о чем не говорит, да и не позволю я имковыряться в недрах моей машины!Но это все — ладно! Прячут процессы — ну и хрен с ними! В конце концов,это никому не мешает (то есть еще как мешает: антивирусы ругаются так,что уши вянут, и приходится отключать кучу проактивных технологий иэвристических анализаторов, рискуя подцепить заразу).Хуже всего, что некоторые (самые простые) грабберы начинают стягиватьданные сразу же после установки флешки и / или лазерного диска. Еслифлешка оснащена индикатором, то при обращении к ней он начинаетзловеще мигать, а лазерные диски не только мигают, но еще и шумят,вызывая у жертвы вполне очевидные подозрения, и незадачливый хакертут же получает по башке (так что все тяжелые предметы лучше заблаговременноубрать за пределы видимости).Грабберы классом выше отслеживают момент первого обращения ксъемному носителю и стягивают данные только во время «легальных»операций чтения / записи. Очевидным минусом этой технологии становитсярезко возросшая сложность реализации, требующая перехватасистемных функций, который в Висте и 64‐битных версиях XP не то чтобысовсем невозможен, но существенно затруднен. Опять‐таки антивирусы,глюки и прочие никому не нужные вещи. До сих пор мне не встречалсяни один добротный перехватчик, корректно работающий на многопроцессорныхмашинах (включая NT и многоядерные процессоры, которых скаждым днем становится все больше и больше).Недостаток второй и самый главный — емкость флешки (CD/ DVD-дисков),как правило, намного больше размера легально копируемых файлов, иутянуть их содержимое просто так не получится. Времени уйдет целаякуча. Даже если флешка не оснащена индикатором, будет мигать индикаторжесткого диска. А куда еще складывать такое количество награбленныхданных? Не в память же! Хотя, вообще‐то, можно и в память, толькопамяти должно быть много. Но сложности на этом не заканчиваются. Припопытке отключения USB-устройства штатными средствами Windows,та просто откажется демонтировать флешку, пока с ней работает хотя быодна программа. Следовательно, граббер должен отслеживать отключениеUSB-устройств, прекращая грабеж в аварийном режиме. Короче,весьма нехилый проект у нас получается. Реализовать его очень сложно.Отладить — еще сложнее, а утащить информацию, не вызывая подозренийу ее владельца, — вообще невозможно.По этому поводу говорят, что если нельзя, но очень сильно хочется, товсе‐таки можно! И сейчас я поделюсь рецептом программы, которуюможно состряпать за пару вечеров и которая работает на любой, абсолютнолюбой, операционной системе: на 9x, NT, W2K, XP, Висте и даже наLinux / BSD, поддерживает все типы сменных носителей и не вызываетконфликтов. А самое главное — распознать факт грабежа не сможет дажепродвинутый пользователь. А грабить, скажу я тебе, мы будем его подчистую:от первого до последнего байта, включая данные, принадлежащиеудаленным файлам.Основные идеи и концепции (не путать с контрацепцией)Из канонов разведки известно, что лучше всех ныкается тот, кто непрячась играет в открытую. Применительно к нашей ситуации — непытайся скрыть факт грабежа данных, а сделай его явным. И это нешутка. Труднее всего обнаружить то, что находится у нас под глазами.Берем флеш (или CD / DVD), вставляем. Тут же всплывает «антивирус»,имитирующий проверку файлов, а в действительности сливающий ихна жесткий диск в какую‐нибудь глубоко вложенную папку — такую,которая гарантированно не попадется жертве на глаза. Необходимостьотслеживать обращения к съемным устройствам тут же отпадает. Мыи без всякой маскировки так замаскировались, что у жертвы и тениподозрений не возникает!Поскольку обычные антивирусы так себя не ведут, то от копированияих интерфейса лучше воздержаться, иначе можно быстро погореть.Пусть это будет что‐то совершенно никому не известное. Например,суперкрутой антивирус под названием Selena Enterprise Edition. Чистотеоретически жертва может попросить нас прервать проверку флешки(CD/ DVD), но тут ее легко обломать встречным вопросом: «С какого этотакого перепугу мы должны чего‐то прерывать? Уж не вируса, ты, милыйчеловек, занести нам хочешь?»xàêåð 08 / 104 / 07055