[ Pobierz całość w formacie PDF ]
.2.Po wykonaniu powyższych poleceń należy zresetować system.3.Po ponownym uruchomieniu można odszukać backdoora na dysku lokalnymi usunąć go do kosza  jeśli system skasuje go, to oznacza pozbycie siętrojana.W przeciwnym wypadku pojawia się informacja o tym, że  podanyplik jest używany przez system Windows.Trzeba więc znowu wrócić dopierwszego kroku i zlokalizować trojana (przywracając skasowany plik i plikirejestru z uprzednio stworzonego katalogu zapasowego).BOWL 1.0Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912 b) i po-mocniczego służącego do konfiguracji o nazwie config.exe (15 360 b).Konfiguracjapolega na ustawieniu hasła serwera (domyślnym hasłem jest  allnewbowl ) i zain-stalowaniu go w systemie.Komunikacja z serwerem odbywa się poprzez programsłużący do łączenia się z terminalem (np.Telnet).C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 131 132 Hakerzy.Należy zatem wybrać w menu Połącz opcję System Zdalny i wpisać w Nazwie Ho-sta adres IP atakowanego komputera, a w Porcie wartość 1981.Po nawiązaniułączności trzeba natomiast wpisać skonfigurowane wcześniej hasło.Po tym zabieguw oknie telnetowym hakera powinien pokazać się serwer Bowla, który podaje kon-figurację systemu ofiary.W przypadku błędnego hasła połączenie zostaje zerwane.Komendy wydawane są na wzór MS-DOS.Dostępne polecenia to:f& beep  generowanie sygnału dzwiękowego;f& cat  wyświetlenie zawartości plików;f& cd/chdir  przechodzenie pomiędzy katalogami;f& clear  wyczyszczenie ekranu;f& cmd[v]  uruchomienie niewidzialnego dla ofiary command.com (MS-DOS);f& cmdr  uruchomienie programu i wypisanie rezultatu po jego zakończeniu(przerwanie  klawisz ESC);f& del/rm  usunięcie jednego lub kilku plików;f& die   zabicie sesji serwera (usunięcie z pamięci);f& dir/ls  wyświetlenie istniejących katalogów;f& errormsg  wyświetlenie komunikatu o błędzie;f& exec[v]  uruchomienie programu niewidzialnego dla ofiary [widzialny];f& freeze  zawieszenie systemu ofiary;f& get  ściągnięcie pliku z komputera ofiary (włamywacz zwykle uruchamiaprzeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku);f& graphoff  wyłączenie trybu graficznego;f& kill   zabicie aktywnego procesu;132 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc Rozdział 2.f& Hakowanie systemu 133f& md/mkdir  utworzenie katalogu;f& passwd  wypisanie hasła: MS Internet Mail, Netscape Navigator orazzasobów sieciowych;f& ps  lista aktywnych procesów (nazwa procesu | numer procesu | ścieżkadostępu programu);f& quit  zamknięcie klienta;f& rd/rmdir  usunięcie pustych katalogów;f& shutdown  resetowanie komputera ofiary;f& swapmouse  zamiana klawiszy myszki;f& telnet  łączenie się Telnetu z innym hostem;f& vied  prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)Sosób usunięcia z systemu:Bowl nie jest wykrywany przez programy antywirusowe.Należy usunąć go  ręcznie ,a w tym celu trzeba wykonać kolejno poniższe polecenia:f& Usunąć z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/currentversion/runservices wpis: networkpopup.f& Zresetować system;f& Usunąć plik C:/WINDOWS/netpopup.exe;f& Sprawdzić, czy na dysku nie ma pliku bowl.exe.ACID SHIVERC:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 133 134 Hakerzy.AS to narzędzie służące nie tylko do przejmowania kontroli nad czyimś kompute-rem, ale również do generowania konia trojańskiego, który może zostać urucho-miony na komputerze ofiary.Pakiet składa się z dwóch części: aplikacji konfigura-cyjnej (domyślnie nazywa się ona ACiD Setup.exe i ma 14 336 b) oraz serwera(domyślnie: AciDShivers.exe  186 368 b).Za pomocą pierwszej z nich włamy-wacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer orazserwer SMTP (służący do przesyłania poczty) i adres e-mailowy włamywacza.Aplikacja ma ikonę łudząco przypominającą programy instalacyjne Microsoftu.Backdoor wyróżnia się na tle innych, gdyż aplikacja ta  próbuje w każdej sesjiWindows połączyć się ze skonfigurowanym przez włamywacza serwerem poczto-wym i wysłać na podany przez niego adres informację o posiadanym przez ofiaręnumerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmieniasię za każdym razem).Nie przyda się więc w sieci lokalnej nie posiadającej wła-snego serwera pocztowego.Na dodatek AS to projekt otwarty, który udostępnianyjest wraz z kodem zródłowym i każdy użytkownik  programista czy haker  mo-że dodać coś od siebie.AS wykrywany jest przez większość markowych progra-mów antywirusowych.Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx.Główne komendy to:f& HELP  pomoc;f& BEEP  generowanie dzwięku;f& BOUNCE  przekierunkowanie połączenia na dany host i port;f& CAT  wyświetlanie zawartości pliku;f& CD  zmiana katalogu;f& CLS  czyszczenie ekranu;f& CMD  uruchomienie komendy;f& COPY  kopiowanie  plik1 na plik2;f& DATE  pokazanie daty;f& DEL  skasowanie pliku;f& DESK  zmiana na domyślny katalogu z zawartością pulpitu;f& DIE  wyłączenie AS;f& DIR  wyświetlenie listy katalogów;f& DRIVE  podanie informacji o napędzie;f& DRIVES  wyświetlenie zawartości dysków, RAM-dysków, CD-ROM-ów;f& ENV  wyświetlenie zmiennych systemowych DOS-a;f& GET  ściągnięcie z serwera wskazanego pliku;134 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc Rozdział 2.f& Hakowanie systemu 135f& HIDE  ukrycie aplikacji o danym (identyfikatorze) widocznejw menedżerze programów (lista aplikacji pokazująca się po wciśnięciukombinacji: CTRL+ALT+DEL);f& INFO  ujawnienie informacji o komputerze ofiary i użytkowniku;f& KILL   zabicie aktywnego procesu;f& LABEL  zmiana etykiety dysku;f& LS  działanie podobne do DIR;f& MKDIR  zakładanie katalogów;f& NAME  zmiana nazwy komputera ofiary;f& PORT  zmiana portu AS;f& PS  lista aktywnych procesów;f& RMDIR  przenoszenie katalogów wraz z podkatalogami i plikami;f& S  wysyłanie kombinacji klawiszy do aktywnej aplikacji;f& SH  działanie podobne jak opisane wyżej i ujawnienie rezultatów;f& SHOWS  pokazanie aplikacji;f& SHUTDOWN  resetowanie serwera;f& TIME  pokazanie czasu;f& VERSION  pokazanie numeru wersji AS.Sposób usunięcia z systemu:AS jest wykrywany przez markowe programy antywirusowe [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • swpc.opx.pl
  •