[ Pobierz całość w formacie PDF ]
.2.Po wykonaniu powyższych poleceń należy zresetować system.3.Po ponownym uruchomieniu można odszukać backdoora na dysku lokalnymi usunąć go do kosza jeśli system skasuje go, to oznacza pozbycie siętrojana.W przeciwnym wypadku pojawia się informacja o tym, że podanyplik jest używany przez system Windows.Trzeba więc znowu wrócić dopierwszego kroku i zlokalizować trojana (przywracając skasowany plik i plikirejestru z uprzednio stworzonego katalogu zapasowego).BOWL 1.0Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912 b) i po-mocniczego służącego do konfiguracji o nazwie config.exe (15 360 b).Konfiguracjapolega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl ) i zain-stalowaniu go w systemie.Komunikacja z serwerem odbywa się poprzez programsłużący do łączenia się z terminalem (np.Telnet).C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 131132 Hakerzy.Należy zatem wybrać w menu Połącz opcję System Zdalny i wpisać w Nazwie Ho-sta adres IP atakowanego komputera, a w Porcie wartość 1981.Po nawiązaniułączności trzeba natomiast wpisać skonfigurowane wcześniej hasło.Po tym zabieguw oknie telnetowym hakera powinien pokazać się serwer Bowla, który podaje kon-figurację systemu ofiary.W przypadku błędnego hasła połączenie zostaje zerwane.Komendy wydawane są na wzór MS-DOS.Dostępne polecenia to:f& beep generowanie sygnału dzwiękowego;f& cat wyświetlenie zawartości plików;f& cd/chdir przechodzenie pomiędzy katalogami;f& clear wyczyszczenie ekranu;f& cmd[v] uruchomienie niewidzialnego dla ofiary command.com (MS-DOS);f& cmdr uruchomienie programu i wypisanie rezultatu po jego zakończeniu(przerwanie klawisz ESC);f& del/rm usunięcie jednego lub kilku plików;f& die zabicie sesji serwera (usunięcie z pamięci);f& dir/ls wyświetlenie istniejących katalogów;f& errormsg wyświetlenie komunikatu o błędzie;f& exec[v] uruchomienie programu niewidzialnego dla ofiary [widzialny];f& freeze zawieszenie systemu ofiary;f& get ściągnięcie pliku z komputera ofiary (włamywacz zwykle uruchamiaprzeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku);f& graphoff wyłączenie trybu graficznego;f& kill zabicie aktywnego procesu;132 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.docRozdział 2.f& Hakowanie systemu 133f& md/mkdir utworzenie katalogu;f& passwd wypisanie hasła: MS Internet Mail, Netscape Navigator orazzasobów sieciowych;f& ps lista aktywnych procesów (nazwa procesu | numer procesu | ścieżkadostępu programu);f& quit zamknięcie klienta;f& rd/rmdir usunięcie pustych katalogów;f& shutdown resetowanie komputera ofiary;f& swapmouse zamiana klawiszy myszki;f& telnet łączenie się Telnetu z innym hostem;f& vied prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)Sosób usunięcia z systemu:Bowl nie jest wykrywany przez programy antywirusowe.Należy usunąć go ręcznie ,a w tym celu trzeba wykonać kolejno poniższe polecenia:f& Usunąć z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/currentversion/runservices wpis: networkpopup.f& Zresetować system;f& Usunąć plik C:/WINDOWS/netpopup.exe;f& Sprawdzić, czy na dysku nie ma pliku bowl.exe.ACID SHIVERC:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 133134 Hakerzy.AS to narzędzie służące nie tylko do przejmowania kontroli nad czyimś kompute-rem, ale również do generowania konia trojańskiego, który może zostać urucho-miony na komputerze ofiary.Pakiet składa się z dwóch części: aplikacji konfigura-cyjnej (domyślnie nazywa się ona ACiD Setup.exe i ma 14 336 b) oraz serwera(domyślnie: AciDShivers.exe 186 368 b).Za pomocą pierwszej z nich włamy-wacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer orazserwer SMTP (służący do przesyłania poczty) i adres e-mailowy włamywacza.Aplikacja ma ikonę łudząco przypominającą programy instalacyjne Microsoftu.Backdoor wyróżnia się na tle innych, gdyż aplikacja ta próbuje w każdej sesjiWindows połączyć się ze skonfigurowanym przez włamywacza serwerem poczto-wym i wysłać na podany przez niego adres informację o posiadanym przez ofiaręnumerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmieniasię za każdym razem).Nie przyda się więc w sieci lokalnej nie posiadającej wła-snego serwera pocztowego.Na dodatek AS to projekt otwarty, który udostępnianyjest wraz z kodem zródłowym i każdy użytkownik programista czy haker mo-że dodać coś od siebie.AS wykrywany jest przez większość markowych progra-mów antywirusowych.Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx.Główne komendy to:f& HELP pomoc;f& BEEP generowanie dzwięku;f& BOUNCE przekierunkowanie połączenia na dany host i port;f& CAT wyświetlanie zawartości pliku;f& CD zmiana katalogu;f& CLS czyszczenie ekranu;f& CMD uruchomienie komendy;f& COPY kopiowanie plik1 na plik2;f& DATE pokazanie daty;f& DEL skasowanie pliku;f& DESK zmiana na domyślny katalogu z zawartością pulpitu;f& DIE wyłączenie AS;f& DIR wyświetlenie listy katalogów;f& DRIVE podanie informacji o napędzie;f& DRIVES wyświetlenie zawartości dysków, RAM-dysków, CD-ROM-ów;f& ENV wyświetlenie zmiennych systemowych DOS-a;f& GET ściągnięcie z serwera wskazanego pliku;134 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.docRozdział 2.f& Hakowanie systemu 135f& HIDE ukrycie aplikacji o danym (identyfikatorze) widocznejw menedżerze programów (lista aplikacji pokazująca się po wciśnięciukombinacji: CTRL+ALT+DEL);f& INFO ujawnienie informacji o komputerze ofiary i użytkowniku;f& KILL zabicie aktywnego procesu;f& LABEL zmiana etykiety dysku;f& LS działanie podobne do DIR;f& MKDIR zakładanie katalogów;f& NAME zmiana nazwy komputera ofiary;f& PORT zmiana portu AS;f& PS lista aktywnych procesów;f& RMDIR przenoszenie katalogów wraz z podkatalogami i plikami;f& S wysyłanie kombinacji klawiszy do aktywnej aplikacji;f& SH działanie podobne jak opisane wyżej i ujawnienie rezultatów;f& SHOWS pokazanie aplikacji;f& SHUTDOWN resetowanie serwera;f& TIME pokazanie czasu;f& VERSION pokazanie numeru wersji AS.Sposób usunięcia z systemu:AS jest wykrywany przez markowe programy antywirusowe
[ Pobierz całość w formacie PDF ]