Árnyalatok trójaiak programozás

előzőa következő

Egyes funkciók programozási trójaiak írásakor bármilyen típusú trójai programok figyelembe kell venni bizonyos általános elvek, amelyek közösek az összes ilyen programhoz. Természetesen a hátsó ajtónál saját árnyalatok, saját Key Logger, de van néhány közös jellemzője, hogy figyelembe kell venni a tervezés során, amikor keresi a trójai a számítógépen.

Megjegyzés: csak MS Windows rendszerek esetén itt.

Az első alkalommal a trójai elindul a felhasználó, de ostobaság lenne azt hinni, hogy ő fogja csinálni minden alkalommal. Itt a fő helyen a Windows rendszer, ahol a rendszer fut a program során induláskor: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices Plus azonos szakaszok HKEY_LOCAL_MACHINE és HKEY_USERS kulcsokat.
Plusz a „Autorun” mappát (a teljes és aktuális felhasználó) - nos, ez nagyon pimasz, mert ez az a hely, hogy mindenki láthassa. Bár, szélsőséges esetben, ha van egy fájl kicsomagolás ebben a könyvtárban, majd egy „normális” telepítése (persze a bejelentkezés után megint / reset) ez a módszer lesz elég érdekes.
Még archaikus win.ini és system.ini, de ez a Win9x.

Ebben az esetben a fájlnév kívánatos lehet választani, hogy hihető, hogy nem szükséges felhívni a figyelmet a név vagy trojan.exe vzlom.dll.

Egy másik megjegyzés: Ha a folyamat neve: winlogon.exe, Csrss.exe vagy egyéb „rendszer”, a rendszeres eszköz a Windows (jelentése: „Task Manager”) nem lesz képes befejezni ezt a folyamatot. És ha ez a program rendszeresen ellenőrzi a jelenlétüket helyen üzembe helyezés és regisztrálja magát ott (ha nincs megfelelő rekordot), az átlagos felhasználó nehéz lesz elég ahhoz, hogy távolítsa el (bár az „NT Process Viewer” gond nélkül megállítani ezt a folyamatot). Az a tény, hogy a trójai fájl futása, ne törölje. A autostart garantálni kell a rendszeres ellenőrzést a rendszerleíró kulcsokat. Szemszögéből az átlagos felhasználó - egy ördögi kör.

Internat.exe - parmetr karakterlánc, amelynek értéke „Internat.exe”
DiskProtect - parmetr karakterlánc, amelynek értéke "rundll32.exe protect.dll, BelépésiPont".

Az első sor - most induló, a program az úgynevezett „internet.exe”
A második sor - egy példa a startup DLL-könyvtár, standard Windows-eszközök - "rundll32" program. Nevét adja meg a dll-könyvtár, és a „belépési pont” - egy eljárás toyanskoy könyvtár, amely a szintaxis:

void CALLBACK BelépésiPont (
HWND hwnd, // kezelni a tulajdonos ablakhoz
HINSTANCE hinst, // fokon kezelni a DLL
LPTSTR lpCmdLine, // karakterláncot a DLL elemezni
int nCmdShow // mutatják állam
);
Ez a módszer előnyösebb lehet először miatt „rejtély” az átlagos felhasználó számára.

De ez jól ismert helyeken, van néhány meglehetősen „egzotikus” módon, hogy biztosítsák a saját alkalmazás, de néhány közülük kell adnia magát kellően magas szintű jogosultságokat.

registry kulcs
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLLs kulcsokat

- van írva könyvtárak listáját betöltött bootoláskor. Program - a támadó könnyen hozzá a fiókjához, ha a felhasználó futtatja, van-e elegendő jogosultsággal.

Ön is szerkesztheti az importált táblázatot egy adott fájlt, hogy elindította a trójai dll-könyvtár minden egyes alkalommal, amikor fut. De ez igényel némi programozási ismeretekkel, és fennáll annak a veszélye, hogy a program már fut, és írni az új adatokat a fájlt, csak nem működik.

Szerencsére, a felhasználók többsége lépjen be adminisztrátori jogosultsággal rendelkező fiókra, a támadó, amely megkönnyíti a munkát.

Egy utolsó megjegyzés ebben a szakaszban: ellenőrizni kell, hogy ne megfertőzni egy már fertőzött gépen. Mivel ez ahhoz vezethet, hogy gyors kimutatására trójai, vagy akár működésképtelen rendszerek / egyéni programokat. Például, a jelenléte a nyilvántartásba részén több paraméter azonos értéke nem felkelti a gyanút.

De hogyan lehet létrehozni egy patak másik folyamat?

  • Bejegyzés hozzáadása a HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLLs kulcsokat - ezek a könyvtárak vannak betöltve az összes folyamatot, hogy a rendszer működtetéséhez. Az amelyek mindegyike DllMain funkcióval (lásd. „Edit szakaszok célozni fájl import”).
    De ez elég veszélyes, mivel a programozási hibák vezethet a rendszer összeomlik.

    A módszer a „beágyazott” a kód, mint a patak másik folyamat segíti a probléma a forgalmi álcázva valaki más közlekedési programot.
    Valóban, szinte senki sem hozza a tűzfal forgalmi tilalom „Explorer” vagy „IE”. Toyanskie Egyes programok egy adatbázist a nevét a fő anti-trójai program, a tűzfal és a kísérlet, hogy vagy megakadályozza a normális működését, vagy hogy maguk a listákat „jóváhagyott”, „megbízható” programok.

    A legfontosabb dolog - nem vonzza a túl sok figyelmet egyáltalán, vagy amíg a döntő pillanatban - mint például a támadás előtt a vállalati szerver Microsoft vagy megsemmisíti az összes felhasználói adatot.

    • előzőa következő