[ Alex WebKnacKer ] Хакинг и антихакинг - защита и нападение. Книги удк 004. 056. 5Alex WebKnacKer
 Скачать 42.38 Mb.
|
Ну да ладно, исключим последний случай - там все ясно. Спрашивается, что следует искать в первую очередь хакеру, несведущему в секретах фирмы, чтобы быстро получить требуемый результат? В общем, это зависит от цели, но самое ценное для хакера - это пароли доступа, поскольку пароль, по определению, это информация, дающая право доступа к другой информации. Для этого хакеры прибегают к (от английского слова «Hoover» - сосать, высасывать, например, пылесосом), а проще говоря, поиску по папкам и файлам компьютера с помощью специальных программ. Хуверингом называется поиск в системе Windows файлов с лакомыми данными - паролями, номерами кредитных карточек, адресами электронной почты и т.д. с помощью поисковых средств Windows, например, проводника Windows, или специальных утилит, среди которых выделим утилиту FINDSTR системы Windows 2000/XP. Применение подобной методики может дать замечательные ре- зультаты, поскольку, как пишет известный автор книг [3,4] и од- новременно глава компании Fondstone Inc., просто удивительно, как много людей хранит свои пароли доступа к чему угодно, даже к финансовым ресурсам - в открытых для всеобщего доступа текстовых файлах. При компьютеров компаний с целью выявления уязвимости в системах защиты автор находил такие файлы чуть ли не в каждом втором компьютере. Так что есть смысл вместо утомительного обхода всех закоулков вой системы компьютера просто запустить процедуру поиска, которая найдет все файлы, содержащие такие слова, как «па- роль», «password», «login» «credit card» и так далее. Поскольку со средствами поиска проводника Windows знакомы, вероятно, все, рассмотрим возможности утилиты FINDSTR, которая обладает весьма обшир- ными возможностями поиска по указанной строке поиска, на порядок превос- ходя проводника Windows. утилитой FINDSTR Утилита FINDSTR запускается из командной строки с множеством параметров, отображаемых на экране с помощью FINDSTR /?. Ниже приведен об- щий синтаксис команды FINDSTR. FINDSTR [/Е] [/L] [/R] [/N] [IP] [строки] Попытаемся разобраться в этих параметрах. Ввод команды FNDSTR /? отобра- жает справку о наборе параметров, представленных в следующей таблице: 80 Быстро и легко. Хакинг и Параметр /В /Е /L /R /S /N /О /Р /А: цвет Строка Назначение Искать образец только в начале строк. Искать образец только в конце строк. Поиск строк дословно. Поиск строк как регулярных выражений. Поиск файлов в текущей папке и всех ее подпапках. Определяет, что поиск будет вестись без учета ре- гистра. Печатает строки, которые совпадают точно. Печатает строки, не содержащие совпадений с искомыми. Печатает номер строки, в которой найдено совпа- дение, и ее содержимое Печатает только имя файла, в которой найдено совпадение Печатает найденные строки через пустую строку. Пропускает строки, содержащие непечатаемые символы Две цифры - атрибуты цвета. Читает список файлов из заданного файла Использует заданную строку как искомую фразу поиска. Получение строк из заданного файла. Поиск в списке папок (имена папок разделяются точкой с запятой). Искомый текст. Задает имя файла или файлов. Кратко опишем работу с утилитой FINDSTR. Вот пример команды для поиска текстовых файлов со строкой password в текущей папке и всех ее подпапках: "password" *.txt Если нужно произвести поиск по нескольким строкам, например, или по строке пароль или password, то следует ввести такую команду: ГЛАВА 6. Реализация цели вторжения 81 FINDSTR /S "password пароль" *.txt Будут найдены файлы, содержащие или слово пароль, или слово password. Но если вы захотите найти файлы, содержащие словосочетание мои пароли, то следует ввести такую команду: пароли" *.txt Таким образом, параметр /С: позволяет искать словосочетания. Программа FINDSTR обладает многими другими возможностями, которые хорошо описаны в справке по системе Windows, так что не будем повторяться. Эта, или ей подоб- ная обязательно должна входить в арсенал инструментов уважающе- го себя хакера [3]. 6 утилитой BinText Утилита BinText из комплекта инструментов компании Inc. (http://www.foundstone.com) позволяет находить текстовую ин- формацию там, где ее искать не принято - в исполняемых файлах, файлах DLL, архивах и так далее. На Рис. 6.1 представлен диалог программы BinText, содер- жащий три вкладки - Search (Поиск), Filter (Фильтр) и Help (Справка). Чтобы просмотреть файл в программе BinText, выполните такие шаги: Search | Filter Help File to scan | j Browse fio 0 Advanced Time : Text size: bytes pos Л И Л A Л A A A A A 00004E. U [ Mem pos | ID 000023... 0 000024... 0 000026... 0 00002700 0 00002730 0 00002744 0 00002768 0 000036... 0 00003700 0 00004E... 0 00004E... 0 00004801 0 00004880 0 00004SOO 0 I Administrator Normaldot Microsoft Word 9.0 this is big secret Root E — Ready ANSI: 46 Rsrc: 0 Рис. Главный диалог программы BinText может отображать очень интересную информацию > Щелкните на кнопке Browse (Просмотр) и с помощью открывшегося стан- дартного диалога выбора файлов найдите нужный файл. 82 Быстро и легко. и > Щелкните на кнопке Go! (Исполнить). В диалоге BinText 3.00 отобразится содержимое файла. Установка флажка Advanced view (Расширенное отображение) приводит к по- строчному отображению содержимого файла (Рис. В диалоге на Рис. 6.1 в колонке File pos (Позиция в файле) ции строки в файле. Колонка Mem pos (Позиция в памяти) отмечает место в па- мяти компьютера, отводимое для ресурсов исполняемых фалов Windows. Колонка ID содержит идентификатор, указывающий на тип отображаемого ресурса. Значе- ние 0 указывает на то, что строка не относится к ресурсам исполняемых файлов. Исследование файлов с помощью BinText подчас приводит к весьма интересным результатам, поскольку все файлы Windows хранят множество полезной инфор- мации, скрытой от Например, на Рис. 6.1 отображен текстовый файл Test.doc, сохраненный с использованием парольной защиты MS Word. Хо- тя мы и не можем его прочесть без дешифрования, но с глубоким удовлетворе- нием находим название организации, в которой этот документ был подготовлен - Sword, к делам которой мы проявляем повышенный интерес. Ну а что, если какой-то сообразительный пользователь защитит свои поместив все секретные файлы в архив, защищенный паролем? Ну что же, и тут не все потеряно. Защиту архивов можно взломать, и мы еще опишем приме- няемую с этой целью программу в следующем разделе. Однако вначале неплохо бы узнать, что в этом самом архиве хранится, чтобы не тратить время попусту. На Рис. 6.2 представлен диалог программы BinText, отображающий содержимое ар- хивного файла, созданного программой WinRAR с применением парольной защиты. BinText 3 00 Search | [ Help to scan | | Browse | Go Advanced Time 0 Text bytes (0 File pos | [ ID | Text | Л 000000... 000000... Л 000002... Л 000002... 000002... A 000004... 000004... 4000004... 000004... 000004... 000004... 00000561 3 testdoc ) 3 3 3 ncNJ3 D )g>RR 3 3 S-{n 000006... 0 4000007... 000007... 0 OOOOOA... 0 3 4 OOOOOA... OOOOOA... 0 0 Ready ANSI: 39 || Uni: 0 Rsrc: 0 || Find | | Save | 6.2. В верху диалога отображается имя архивированного файла ГЛАВА 6. Реализация цели вторжения 83 Как видим, в самом верху диалога отображается название файла, сохраненного в архиве - Test.doc. Это произошло потому, что при создании архива не был ус- тановлен флажок Encrypt file names (Шифровать имена файлов), как показано Рис. 6.3. with password password for Q Show password 0 Encrypt file names Рис. 6.З. Флажок имен файлов должен установлен! Так что теперь нам понятно, что в архиве - файл Test.doc и, быть может, он стоит затрат времени на дешифрование? Программа BinText дает возможность искать различные строки в открытом файле путем их ввода в поле внизу диалога (см. Рис. 6.2) и щелчка на кнопке Find (Найти). Чтобы облегчить этот поиск, вкладка Filter (Фильтр) предоставляет обширный набор параметров, задающих режим поиска строки (Рис. 6.4). Г BinText I Filter I Help 0 Space 0 a 0 / 0 0 (apostrophe) 0 [ 0 ( E ] 0) 0: 01 0< D" 0 + (underscore) 0 (comma) 0 > (backtick) П Include 0} 0 (tilde) П П D Q aeiou 0 - (minus) 0 ? 0 0 . (period) 0 © 0 { characters too | Restore STAGE String text length [ Q strings with [ 1 or more repeated characters - П MUST contain these 6.4. Набор параметров для задания режима поиска Вкладка Filter (Фильтр) диалога на Рис. 6.4 содержит три области, которые по- зволяют установить три группы параметров для управления режимом поиска. 84 Быстро и легко. и Антихакинг • В области Stage 1 - Characters included in the definition of a string (Шаг 1 - Символы, включенные в определение строки) следует с помощью флажков указать, какие символы могут входить в искомую строку. • В области Stage 2 - String size (Шаг 2 - Размер строки) следует указать ми- нимальный и максимальный размер искомой строки. • В области Stage 3 - Essentials (Шаг 3 - Основа) следует установить флажок MUST contain these (Должна содержать это) и в ставшем доступным поле указать искомую строку. Настройкой фильтра можно выделить различные компоненты файла и попы- таться раздобыть полезную информацию, или хотя бы понять, насколько инте- ресен для хакера данный файл. Это тем более важно, что один из приемов со- крытия файлов заключается в присвоении файлу имени, не соответствующего со- держимому, например, файлу документа MS Office - имени с расширением .ехе. В дополнение к программе BinText имеются и другие инструменты хуверин- га, к примеру, входящие в состав инструментов W2RK утилит srvinfo.exe для отображения общих ресурсов и запущенных служб сервера, и regdmp.exe, позволяющих исследовать содержимое системного реестра Windows 2000/XP. Особенный интерес представляет раздел реестра HKEY_LOCALMACHUNE\ где хранятся ненадежно шифрованные пароли служб Windows, пароли последних десяти пользователей Windows и другая полезная информация [4]. Для извлечения этих данных можно использо- вать широко известную утилиту Isadump2.exe (http://razor.bindview.com), одна- ко ее применение требует административных привилегий и углубленных знаний по диспетчеру LSA системы Windows, поскольку отчет о своей работе утилита предоставляет в весьма запутанной форме. Итак, вы долго исследовали файлы и папки компьютера и нашли что-то полез- ное. Но что делать, если это «что-то» - шифрованный документ MS Office или защищенный паролем архив W i n R A R ? Тогда можно попробовать взломать их защиту, для чего существуют специальные программы. Взлом доступа k файлам и Число инструментов для взлома паролей доступа к информационным ресурсам Windows весьма значительно, поэтому здесь мы опишем только некоторые, за- воевавшие определенную популярность в хакерских кругах. Мы обсудим пакет инструментов взлома документов MS Office компании Элкомсофт (http://www.elcomsoft.com), который так и называется - OfficePassword 3.5. По- сле этого мы продвинемся чуть дальше и покажем, как можно выловить пароли доступа к различным ресурсам, скрытые за строкой звездочек Эту за- дачу прекрасно решает завоевавшая широкую популярность утилита Revelation от компании SnadBoy (http://www.snadboy.com). ГЛАВА 6. Реализация цели вторжения 85 Если у вас возникнет желание продвинуться в этом направлении и познакомиться с другими инструментами, то мы советуем обра- тить внимание на такую утилиту взлома паролей архивных файлов, как AZPR компании или к набору утилит Passware Kit, предоставляемых на сайте http://www.lostpassword.com. Послед- ние утилиты обеспечивают взлом самых разнообразных ресурсов Windows - сообщений электронной почты, архивов, докумен- тов, кошельков Window - но уступают ice Password по гибкости настройки процесса взлома. 3.5 Пакет инструментов OfficePassword 3.5 выглядит весьма впечатляюще и состоит из целого набора инструментов взлома доступа к документам Lotus Organizer, MS Project, MS Backup, Symantec Act, Schedule+, MS Money, Quicken, докумен- там MS Office - Excel, Word, Access, Outlook, к архивам ZIP и даже к модулям VBA, встроенным в документы MS Office. Программы OfficePassword 3.5 снабжены удобным графическим интерфейсом и весь- ма эффективными средствами настройки процедур взлома. Давайте убедимся в этом на примере взлома доступа к документу Word с очень заманчивым названием password.doc, который должен содержать пароли - а иначе зачем его так называть? Password Enter password to open file II OK Cancel 6.5. Диалог ввода пароля доступа к Word Итак, выполнив поиск по файловой сис- теме Windows, вы натолкнулись на файл password.doc, который при попытке от- крытия отображает диалог с предложени- ем ввести пароль (Рис. 6.5). Вводить пароли наугад - дело беспер- спективное, так что мы устанавливаем пакет программ OfficePassword 3.5 и вы- полняем такие шаги: Выберите команду меню Пуск * Про- граммы * OfficePassword (Start Pro- grams OfficePassword). Отобразится диалог программ OfficePassword (см. Рис. 6.6). > Щелкните на кнопке Select document отобразившегося стандартного диалога мого документа MS Office. I File Tools Options Help document You can also files onto this window. (c) Vitas Register to upgrade a version! | Puc. 6.6. Главный диалог OfficePassword очень прост (Выберите документ) и с помощью Windows выберите файл 86 Быстро и легко. Хакинг и Чтобы повторить описываемую здесь пошаговую процедуру, следу- ет предварительно создать файл документа Word с парольной за- щитой. Как это сделать, можно прочитать в справке программы MS Word или в любом из многочисленных руководств. Учтите, что программы позволяет взламывать па- роли длиной не более 3-х символов. Далее последовательно отобразятся два диалога с предупреждениями об ограни- чении демо-версии программы только тремя символами пароля, а также о воз- можной длительности процесса взлома пароля. > Оба раза щелкните на кнопке ОК, и на экране появится диалог Select recovery mode (Выберите режим восстановления), представленный на Рис. 6.7. recovery mode Document path: : 8.0+ Internal version: language : Russian Encryption Strong : 537 © OfficePassword selects most suitable rec lot of time (up to several months in case of a long could be recovered within 48 hours. Use re О settings to optimize search for specific case. (Th О Guaranteed recovery Success is guaranteed! please read the doc I Click here more options. may take a ord). 80% all passwords covery otherwise. s option is for advanced users only.) Additional fee may apply. Cancel | Display help info | Next» Взламывать можно несколькими методами > В диалоге Select recovery mode (Выберите режим восстановления) можно выбрать такие режимы взлома пароля: • Automatic (Автоматический режим), который наиболее прост для примене- ния, поскольку требует только щелчка на кнопке Next (Далее), после чего за- пустится процедура, использующая наиболее широко используемые возмож- ности взлома пароля. • User-defined (Пользовательский режим), позволяющий вручную настроить процедуру поиска пароля. Этот режим рекомендуется только для подготов- ленных пользователей. ГЛАВА 6. Реализация цели вторжения 87 • Guaranteed recovery (Гарантированное восстановление), которое, по утвер- ждению авторов, способно восстановить любой пароль, независимо от его длины. Создатели программы рекомендуют начать восстановление с автоматического режима, и только в случае, когда после 24-28 часов работы пароль не будет взломан, переходить к режиму га- рантированного восстановления. Пользовательский режим вос- становления обязательно следует применить, если пароль со- держит символы, не входящие в алфавит английского языка. > После выбора режима взлома пароля щелкните на кнопке Next (Далее). На экране появится диалог, отображающий процесс взлома, после чего на экране отобразится полученный результат (Рис. 6.8). Password found: (without quotes] The been copied onto the clipboard Would like to open the document now? Yes No 6.8. Пароль успешно взломан! Остальные инструменты OfficePassword 3.5 работают аналогичным образом, позволяя эффективно задачу доступа к различным документам, защи- щенным паролем. Единственная проблема время, требуемое для Если пароль достаточно длинен и сложен, то его взлом может потребовать не- имоверно больших ресурсов - а основной постулат криптографии гласит, что усилия на взлом документа должны соответствовать его ценности. Поэтому перед тем, как запускать на всю катушку процедуру взлома, стоит по- пробовать еще одну возможность - выявления паролей, скрытых за строкой звездочек. за ******, Все, кто когда-либо работал с приложениями, требующими ввода пароля для доступа к определенным ресурсам, (например, при создании удаленного соеди- нения с сервером Интернета), должно быть знают, что очень часто в строке вво- да пароля отображается строчка звездочек типа Иногда эти звездочки просто закрывают отображение содержимого в поле, хотя сама информация, от- носящаяся к полю ввода, уже содержится в памяти компьютера. Это - недоста- ток программирования, поскольку имеются средства, позволяющие увидеть то, что скрыто за строкой звездочек. Таким образом, вместо длительного взлома паролей хакер получает их без всякого затруднения. 88 и легко. Хакинг и Антихакинг Хотя ценность таких инструментов ныне значительно уменьшилась, поскольку разработчики программ не сидят сложа руки и научились скрывать пароли по- настоящему, все же с помощью программ определения паролей за строкой звез- дочек можно достичь немалого успеха. Например, можно получить такую инте- ресную вещь, как пароль доступа к серверу трояна NetBus для последующего использования (ценность такого приобретения вы еще поймете, когда прочитаете Главу 14). На Рис. 6.9 представлен пример применения с этой целью известной утилиты Revelation от компании SnadBoy (http://www.snadboy.com) к строке па- роля доступа к серверу NetBus в диалоге настройки соединения клиента NetBus. Change -Host Cursor Drag reveal password | Check Update About Text of Window Under +' (if available) I Copy to clipboard Revelation active. Reposition Revelation out of the +' When put in Tray Length of available 3 Always on top Hide instructions How to Left click and drag (while holding down the left mouse the V 2) As drag the cursor over different fields on various windows, the in the field under the will be displayed in the Text of box. 3) Release the left mouse button when you have revealed the text you desire. NOTE - the field contains text hidden by asterisks (or some character), the actual text will be shown. In some cases the may actually be asterisks. NOTE - Not all of the fields that the passes have text that can be revealed. Check the status light for availability of text. = text available of in Status area) Bright = no text available OK Cancel 6.9. доступа к серверу NetBus хоста в нашем распоряжении! Утилита Revelation действует следующим образом. Хакер перетаскивает мышью изображение прицела поля ('Кружок+'Курсор) в диалоге SnadBoy's Revelation на строку для ввода пароля (этот прицел на Рис. 6.9 виден на поле Password После этого в диалоге программы Revelation, в строке Test of Window Under Circles and Cursor (if available) (Проверка поля под «кружком и курсором» (если отображается пароль (если он там имеется). Как видно из Рис. 6.9, мы восстановили пароль 007 и теперь получили доступ к серверу NetBus хоста Sword-2000, который используется хозяином взломанного компьютера в его целях (а мы будем использовать в своих целях). Тем самым хакер избежал взлома доступа к средствам удаленного управления |