[ Alex WebKnacKer ] Хакинг и антихакинг - защита и нападение. Книги удк 004. 056. 5Alex WebKnacKer

90 Быстро и легко.
и
Теперь новоиспеченный пользователь NewUser может без проблем входить в компьютер, в том числе удаленно, и заниматься там своими делами без помех.
А если создать несколько таких учетных записей, то по мере их выявления хакер может создавать все новых и новых пользователей, делая попытки защитить компьютер практически невыполнимыми.
утилит
Однако создание собственной учетной записи - дело опасное, поскольку сис- темный администратор имеет все возможности немедленно выявить свежеиспе- ченного пользователя компьютера. Тогда можно воспользоваться другой воз- можностью Windows - поместить в папку автозагрузки Startup внутри папки
Document and Settings (Документы и настройки) файлов программ, автомати- чески загружающихся при входе в систему пользователя. Причем программы из папки Startup, находящейся в папке All users, будут запускаться для всех поль- зователей системы.
Хакер устанавливает в папку автозагрузки свою программу, которую он может назвать совершенно безобидным именем, под которым она и будет скрытно ис- полняться. В число хакерских утилит могут входить троянские кони, клавиатур- ные шпионы утилиты удаленного управления. Троянские кони и средства удаленного управления мы обсудим, соответственно, в Главах 14 и 15
этой книги, где рассматриваются сетевые аспекты хакинга. В этой же главе мы опишем работу с очень популярным кейлоггером IKS (Invisible KeyLogger
Stealth - Невидимый клавиатурный шпион), демо-версию которого можно загру- зить с сайта http://www.amecisco.com.
шпионы
Клавиатурные шпионы - это программы, регистрирующие нажатия клавиш на компьютере. Принцип их действия прост - все нажатия на клавиши перехваты- ваются программой, и полученные данные записываются в отдельный файл, ко- торый далее может быть отослан по сети на компьютер взломщика.
Клавиатурный шпион IKS можно назвать весьма популярной программой - по утверждению авторов на сайте http://www.amecisco.com, кейлоггер Invisible
KeyLogger 97 вошел под номером 8 в список 10 изделий, которые способны
«напугать вас до смерти». Текущая версия кейлоггера функционирует на системах Windows NT/2000/XP, внедряясь в ядро системы, что позволяет программе перехватывать все нажатия клавиш, включая
Поэтому IKS позволяет даже перехватывать нажатия клавиш при входной регистрации в системе Windows NT/2000/XP. Таким образом, программа IKS
действует подобно драйверу клавиатуры, перехватывая все нажатые клавиши и записывая их в журнальный файл.

ГЛАВА 6. Реализация цели вторжения
91
Установка программы IKS не вызывает трудностей. После запуска загруженного с
Web-сайта файла отображается диалог, представленный на Рис. 6.11.
Si IKS
Windows
Installation
D
|
Install | D
j
It's you use Standard this first time in using IKS. Just the defaults and click on "Install Now" button. Or you can click on "Read to get with the concept of IKS first.
During a standard
0 program will be created;
will placed in the
An icon to the log file viewer be placed on the desktop. No file renaming features) will
Directory;
Files\iks need have rights on this system tor it to install successfully.
If you want to in future, just run this program (iksinstall.exe) again, click on the tab, then "Uninstall to uninstall the standard
Рис.
Инсталляция
проста
Щелчок на кнопке Install Now (Установить сейчас) устанавливает демо-версию кейлоггера. Полная версия IKS допускает замену имен установочных файлов произвольными именами для сокрытия работы программы. Единственным фай- лом, необходимым кейлоггеру IKS для работы, является файл iks.sys, который может быть переименован с це- лью сокрытия его от пользовате- лей. Все нажатые пользователем клавиши записываются в тексто- вый и двоичный файл, просмат- риваемый с помощью программы
dataview.exe, окно которой пред- ставлен на Рис.
(Б
-
IKS
Щелчок на кнопке Go! (Вперед)
открывает файл журнала, храня- щий все нажатые клавиши. С по- мощью диалога на Рис.
мож- но настроить работу кейлоггера так, что будут отфильтровывать- ся все нажатые функциональные клавиши на клавиатуре, а также очищаться содержимое журнала.
0 Fitter
Arrow Keys
D Filter Out and Alt Keys
П
Out F1 to
Keys
Other Function Keys
© Use Notepad
О
to Text Only
П
D Clear Binary Log Upon Exit
Clear Text Log Upon Exit
Import Binary Log From:
Browse...
Save
Log To:
I Browse...
Go!
Диалог управления регистрацией
клавиш и хранением журнальных файлов

92
Быстро и легко. Хакинг и Антихакинг
Как мы уже говорили, кейлоггер IKS функционирует как низкоуровневый драй- вер, что скрывает его присутствие в системе. Однако файл iks.sys этого кейлог- гера записывается в каталог а в системном реестре появляется регистрационная запись (эта запись выделена в диалоге ре- дактора системного реестра Regedt32 на Рис.
Я Registry Editor -
LOCAL MACHINE on Local Machine]
Registry
Tree View Security Options Window Help
—
IAS
ICQ
_
Type :
: 0x1
Inetlnfo
Рис. 6.13. В системном реестре Windows появилась
С помощью таких записей в системном реестре все установленные в системе идентифицируются без всяких проблем (например, это с успехом делает программа The Cleaner, особенно полезная для поиска троянских коней).
Чтобы преодолеть такой недостаток кейлоггера IKS, на вкладке Stealth Install
(Скрытая установка) инсталляционного диалога (Рис.
можно изменить имя устанавливаемого драйвера на какое-нибудь безобидное, типа calc.sys, чтобы запутать систему защиты (собственно, отсутствие этой возможности - основное отличие демо-версии от полной).
Некоторым недостатком IKS является отсутствие поддержки средств передачи накопленных данных по сети. Этого недостатка лишен кейлоггер 007 Stealth
Monitor, который умеет отслеживать посещения пользователем Web-сайтов, вве- денные пароли, запущенные программы, время обращения к файлам и другие действия пользователя. Однако эта программа плохо маскирует свою работу - ее процесс виден в диспетчере задач Windows, хотя хакер может заменить название процесса каким-то другим, например, notepad.exe.
утилит
заданий
Наконец, последний метод создания потайных ходов - это запуск хакерских утилит планировщиком задний Windows. Установив в планировщике заданий запуск утилит в определенное время, хакер сможет удаленно связываться с ними для выполнения различных операций, например, удаленного управления ком- пьютером с помощью предварительно установленного троянского коня, или программ удаленного управления компьютером. Как работают утилиты удален- ного хакинга компьютера, мы расскажем в Главах 14 и 15.

ГЛАВА 6. Реализация
93
одного процесса за другим
ЕСЛИ хакер оставит в папке автозагрузки хакерскую программу, перед ним встает задача скрытия ее исполнения. Этого можно достичь с помощью небольшой, но очень популярной программы elitewrap.exe которая позволяет запаковывать не- сколько исполняемых файлов в единый исполняемый файл. Запуск этого файла приводит к автоматической распаковке и запуску всех упакованных файлов,
причем по желанию отдельные файлы могут исполняться в скрытом режиме.
В последнем случае в диалоге диспетчера задач Windows будет отображаться процесс с именем, указанным при упаковке файлов программой elitewrap.exe, a скрытые файлы будут невидимы, т.е. будут прятаться за процессом с именем,
указанным при упаковке программ.
Интерфейс программы прост и удобен. Вот как можно, например, поместить в один пакет файл программы калькулятора calc.exe и файл NBSvr.exe програм- мы-сервера
eLiTeWrap 1.04 - (С) Tom
tom@holodeck.f9.co.uk
Stub size: 7712 bytes
Enter name of output file: explorer.exe
Perform CRC-32 checking?
Operations: 1 - Pack only
2 - Pack and execute, visible, asynchronously
3 - Pack and execute, hidden, asynchronously
4 - Pack and execute, visible, synchronously
5 - Pack and execute, hidden, synchronously
6 - Execute only, visible, asynchronously
7 - Execute only, hidden, asynchronously
8 - Execute only, visible, synchronously
9 - Execute
hidden, synchronously
Enter package
calc.exe
Enter operation: 2
Enter command line:
Enter package file #2: nbsvr.exe

Быстро и легко. Хакинг и Антихакинг
Enter operation: 3
Enter command line: nbsvr
Enter package file #3:
All done :)
В результате будет создан файл с безобидным именем explorer.exe. При после- дующей загрузке Windows 2000 автоматически запустится программа explorer.exe, которая распакует и запустит программы калькулятора calc.exe и сервера NetBus. Далее, за то время, пока пользователь будет разглядывать кно- почки калькулятора и гадать, что все это означает, хакер свяжется с сервером
NetBus и сможет выполнить свою работу.
Имейте в виду, что программа
создает исполняе-
мые файлы, которые идентифицируются как вирусы, поэтому
использование такого трюка элементарно вычисляется пользо-
вателем, не пренебрегающим мерами антивирусной защиты.
Также препятствием к использованию программы EliteWrap мо-
жет быть тот прискорбный факт, что созданные с ее помощью
исполняемые файлы могут подвешивать операционную систему
компьютера.
Таким образом, если хакер получит локальный доступ к компьютеру, он сможет сделать с ним все что угодно - выкачать все конфиденциальные данные, создать себе потайной ход, сделав компьютер своим сетевым рабом, или просто исказив и разрушив компьютерную информацию. В общем, как справедливо указано в
[3], против хакера, получившего локальный доступ к компьютеру, не устоит ни- какая защита - рано или поздно она будет взломана. Так что лучшее средство защиты - ограничение физического доступа к компьютеру и запуск средств па- рольной защиты даже при кратковременных отлучках.
Средства хакинга локального компьютера вполне пригодны и для антихакера.
Кому из нас не приходилось терять или забывать пароли доступа к собственным ресурсам? И если этот ресурс жизненно важен, можно попробовать взломать его защиту, тем более, какие-то намеки на содержимое парольной строки у вас в го- лове могут и сохраниться. Далее,
весьма полезны для скрытого от- слеживания доступа к своему компьютеру. Можно установить на свой компью- тер кейлоггер, который будет скрытно отслеживать попытки вторжения в ваш компьютер, пока вы отсутствуете. Такой инструмент самообороны прекрасно дополнит систему защиты парольной заставки, которая, как вы видели, легко может быть взломана.

Г Л А В А 7 .
Сокрытие следов - важнейший этап работы хакера, поскольку, выявив признаки несанкционированной деятельности хакера, антихакер сразу же предпримет меры защиты. Все это соответствует реальному миру, где преступники, присту- пая к «работе», надевают перчатки и маски, вешают фиктивные номера на авто- мобили, ну и так далее - все вы, наверное, хоть раз, да смотрели гангстерские фильмы. Действуя в виртуальном мире, всякие разные «кул если они хоть чего-то стоят, также должны предусмотреть, причем со всем тщанием, спо- собы сокрытия следов своей деятельности.
Вообще говоря, тема сокрытия своей деятельности в виртуальном мире - весьма актуальна и многогранна. В Главе 1 уже приводился тот печальный факт, что около 50% всех попыток удаленного взлома компьютерных систем выполняется с домашних компьютеров, подключенных к серверам Интернета через теле- фонные линии - причем серверы Интернета, все как один, снабжены устройст- вами АОН.
Стоит ли тут удивляться многочисленным сообщениям о поимке «страшного преступника», который, запустив программу автоподбора паролей входной регистрации на сервере провайдера Интернета, считает себя полностью неуязвимым. Причем такая уверенность основана на смехотворном, хотя и пси- хологически понятном факторе,- ведь хакер сидит в своей квартире за закры- той дверью, где его «никто не видит», в то время как программа подбирает от- мычки к входной двери чужого дома. Результаты такого «хакинга» иногда по- казывают в телевизионных новостях, под рубрикой «криминальная хроника»
(что и неудивительно).
Так что автор настоятельно предлагает всем любителям обсуждаемого жанра самым внимательным образом почитать эту главу, прежде чем решиться на ка- кие-либо действия (никак не поощряемые автором).
Автор в
раз предупреждает читателей
ответст-
венности за все деяния в виртуальных просторах Интернета,
которые могут быть выполнены с помощью описанных в этой
книге программ и методов. Учтите, что книга написана с един-
ственной целью - научить вас противостоять хакерским нападе-
ниям, что, безусловно, требует знания хакерских технологий. За
прямое применение описанных в книге технологий и их последст-
вия автор ответственности не несет.

96 Быстро и легко. Хакинг и Антихакинг
Два acnekma задачи
Вообще говоря, каждый человек, работающий с компьютером, должен самым внимательным образом отнестись к проблеме сохранения своей конфиденциаль- ности. Дело в том, что вся хранящаяся в вашем компьютере, домашнем или ра- бочем, информация - это отражение вашей деятельности в виртуальном мире
Интернета. И раскрытие этой информации приводит к нарушению того, что анг- личане называют privacy - конфиденциальность личной жизни. Работая на ком- пьютере, вы неизбежно оставляет за собой следы в виртуальном компьютерном мире, следы, которые, если не предпринять особых мер, запросто позволяют идентифицировать вашу личность в реальном, физическом пространстве, что не всегда полезно и очень часто приводит к неприятностям.
Что касается обычных пользователей, то им автор рекомендует почитать книгу
[10], где красочно описаны случаи из жизни (правда, «за бугром») разного рода личностей, которые по разным причинам - беспечности, неопытности и тому подобным недостаткам - забыли о защите этой самой privacy. Такие люди, как правило, пребывают в полной уверенности, что виртуальный мир Интернета,
или, как сейчас говорят, киберпространство - это нечто потустороннее, никак не связанное с их жизнью в реальном мире. Но не о них сейчас речь.
Речь сейчас идет о том, как должен вести себя человек, который, путешествуя по виртуальному компьютерному миру, любит перелезать через всякие там разные шлагбаумы и заборы с табличкой «проход закрыт», и гулять по запретной тер- ритории киберпространства. Ясно, что при таких путешествиях следует придер- живаться особых правил личной безопасности и конфиденциальности. Эта за- дача имеет два аспекта.
Во-первых, это локальная
Следует иметь в виду, что все эти штучки в виртуальном компьютерном мире оставляют следы и в вашем ком- пьютере, что может стать источником больших проблем. Вы сами подчас можете увидеть на экранах телевизоров, как вслед за очередным, пойманным по горячим следам, «кул хацкером» несут системный блок его компьютера - ясно,
что не на продажу.
Во-вторых, это
безопасность. При прогулках в киберпространстве хакеру следует оставлять как можно меньше следов хотя бы на закрытых для постороннего входа территориях. Следует ясно понимать, что любые ваши дей- ствия в Интернете отслеживаются Web-серверами и фиксируются в журнальных файлах как сервера провайдера Интернета, так и посещенных вами Web- серверов, и выявить по этим записям ваше местоположение в реальном мире - сущие пустяки.
Так что есть смысл рассмотреть, где могут скрываться источники угроз для лич- ностей, занимающихся всякими штучками и проделками в киберпространстве,

ГЛАВА 7. Сокрытие следов 97
затрагивающими интересы других людей (кстати, эти сведения не будут лиш- ними и для всех прочих пользователей компьютеров).
безопасность
Итак, предположим, что вы с помощью своего верного друга-компьютера натво- рили делишек, за что и пострадали, и теперь ваш системный блок - в руках раз- ного рода следопытов. Ну и что же они там могут такого увидеть, в этом вашем системном блоке? Да почти все, что надо, чтобы сделать вашу участь просто при- скорбной на ближайшие несколько лет. На винчестере компьютера можно найти:
• Наборы программ, которые вы использовали для своей деятельности.
• Историю путешествий в Интернете, рассказанную вашим Web-браузером.
• Вашу переписку по электронной почте, в том числе давным-давно удаленную из почтовых ящиков.
• Различные файлы данных, которые вы извлекли из чужих компьютеров без спроса у хозяев.
• Множество документов в корзине Windows, которые вы удалили программой
Проводник (Explorer) и решили, что все концы спрятаны в воду.
• Информацию о недавно открытых документах, хранимая в файле подкачки
Windows.
• Информацию в файле резервной копии системы, а также в файлах резервных копий документов MS Office.
Так что ваш компьютер, по сути, преподносит всем, кому угодно на блюдечке с голубой каемочкой всю информацию о вас и вашей деятельности. Откуда же поступает эта информация? Давайте вначале рассмотрим каналы утечки конфи- денциальной информации, предваряя обсуждение мер по их перекрытию.
u
Одним из каналов утечки информации о вашей деятельности на компьютере яв- ляются гибкие и жесткие диски. Суть дела в том, что гибкие и жесткие диски хранят гораздо больше данных, чем это можно увидеть в окне программы Про- водник (Explorer) при их о чем очень часто забывают владельцы дис- ков. Следует твердо что удаление файлов на диске командой Удалить
(Delete) проводника Windows ничего, фактически, не удаляет. Все такие файлы попадают в корзину Windows и, кроме того, на дисках могут остаться их времен- ные копии, создаваемые, например, приложениями MS Office. Чтобы увидеть это воочию, включите режим отображения скрытых файлов, установив переключа- тель Показывать скрытые папки и файлы (Show hidden files and folders) в диалоге Свойства папки (Folder Options) проводника Windows. Этот диалог от- крывается командой Сервис * Свойства папки (Tools Folder Options) (Рис.

98
Быстро и легко. Хакинг и
Общие | Вид | Типы
{ Автономные
-Представление все папки в одинаковом виде.
у текущей папки Сброс для всех папок
Дополнительные
0 Отображать папку "Мои документы" на стопе
Отображать сжатые и папки другим цветом
Помнить параметры каждой папки
И Скрывать системные файлы
П Скрывать для типов файлов |
Скрытые файлы и папки
О Не показывать скрытые файлы и папки
Управление и папок
0 Показывать и обрабатывать пару как единый файл
О Показывать обе части и обрабатывать их отдельно
О Показывать обе части, но обрабатывать их единый файл
Восстановить
Применить
Рис. 7.1.
режима отображения скрытых файлов
После выполнения такой операции удалите какой-либо файл приложения Word командой Удалить (Delete) проводника Windows и посмотрите, что осталось в содержащей его папке. Пример представлен на Рис. 7.2, на котором отображена папка со следами, оставшимися при подготовке секретного документа Word,
файл которого в процессе подготовки много раз модифицировался, сохранялся,
восстанавливался после зависания приложения и так далее.
Файл Правка Вид Избранное
Папки
Рабочий стол
Результаты поиска
Мои документы
PGP
Security
Database
рисунки
Мой
3,5
Локальный диск
(3
Локальный диск
(Свободно на
КБ
рисунки
7.2. Папка со скрытыми файлами, оставшимися
после удаления основного файла документа