programare nuanțări troieni

Unele caracteristici în troienii de programare Când scrieți orice tip de programe de troieni trebuie să ia în considerare anumite principii generale, care sunt comune tuturor acestor programe. Desigur, la ușa din spate are propriile sale nuanțe, în Logger sale cheie, dar există câteva caracteristici comune care trebuie luate în considerare la proiectarea și atunci când caută troian pe computer.

Notă: sunt luate în considerare aici numai sistemele MS Windows.

Prima dată troian lansează utilizatorul, dar ar fi o nebunie să credem că el va face de fiecare dată. Iată principalele locuri din sistemul de operare Windows, în cazul în care sistemul rulează programul în timpul pornirii sale: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunservicesOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices plus aceleași secțiuni pentru chei HKEY_LOCAL_MACHINE și HKEY_USERS.
Plus folderul „Autorun“ (utilizator totale si curent) - ei bine, este foarte deșănțat, pentru că acesta este locul ideal pentru toate pentru a vedea. Cu toate că, în cazuri extreme, atunci când există o decompresie fișier în acest director, urmat de o instalație „normală“ (desigur, după logare din nou / reset), această metodă devine destul de interesant.
Încă win.ini arhaice și System.ini, dar acest lucru este pentru Win9x.

În acest caz, numele fișierului poate fi de dorit pentru a alege modul în care plauzibil, nu este necesar să se atragă atenția numelui sau trojan.exe vzlom.dll.

O altă notă: Dacă numele de proces: winlogon.exe, csrss.exe sau alt „sistem“, mijlocul regulat pentru Windows (adica „Task Manager“) nu va fi în măsură să finalizeze acest proces. Și dacă acest program va verifica în mod frecvent prezența lor în locuri de pornire și înregistrați-vă acolo (în cazul în care nu există nici o înregistrare corespunzătoare), pentru utilizatorul mediu va fi destul de greu pentru a elimina (deși „Procesul NT Viewer“ fara probleme opri acest proces). Faptul că fișierul troian în timp ce se execută, nu-l ștergeți. Un autostart va fi garantată o verificare periodică a cheilor de registry. Din punctul de vedere al utilizatorului mediu - un cerc vicios.

internat.exe - string parmetr având o valoare de "internat.exe",
DiskProtect - string parmetr având o valoare de "protect.dll rundll32.exe, punctul de intrare".

Prima linie - doar la început, programul numit „internet.exe“
A doua linie - un exemplu de pornire DLL-bibliotecă, folosind instrumente standard pentru Windows - programul „Rundll32“. Specifică numele dll-bibliotecă, și „punctul de intrare“ - o procedură în bibliotecă toyanskoy, care are sintaxa:

void CALLBACK punctul de intrare (
HWND hwnd, // mâner la fereastra proprietarului
HINSTANCE hinst, // exemplu mâner pentru DLL
LPTSTR lpCmdLine, // șir DLL va analiza
int nCmdShow // spectacol de stat
);
Această metodă poate fi mai preferabil să se mai întâi din cauza „mister“ pentru utilizatorul mediu.

Dar este de locuri bine-cunoscute, există câteva mai degrabă „exotice“ modalități de a asigura auto-aplicare, dar unele dintre ele trebuie să se asigure un nivel suficient de ridicat de privilegii.

cheie de registry
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLL

- acolo este scris o listă de biblioteci care sunt încărcate în momentul pornirii. Programul - un atacator ar putea adăuga cu ușurință la contul dvs. în cazul în care utilizatorul îl execută, are suficiente privilegii.

Puteți edita, de asemenea, tabelul de importat la orice fișier dat, astfel încât acesta a lansat troian dll-bibliotecă de fiecare dată când este rulat. Dar este nevoie de unele cunoștințe de programare, și există riscul ca programul este deja în execuție și scrie date noi la dosar pur și simplu nu funcționează.

Din fericire, majoritatea utilizatorilor să se conecteze la folosind un cont cu privilegii administrative, un atacator care facilitează munca.

O ultimă notă din această secțiune: să fie verificate, astfel încât să nu infecta o mașină deja infectat. Din moment ce acest lucru poate duce la detectarea rapidă a troian sau chiar sisteme inoperabil / programe individuale. De exemplu, prezența în secțiunea registru mai mulți parametri cu aceeași valoare nu poate trezi suspiciuni.

Dar cum a crea un flux într-un alt proces?

Adăugarea unei intrări în HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLL - aceste biblioteci sunt încărcate în toate procesele care rulează sistemul. În fiecare dintre care este funcția DllMain (a se vedea. „Editați secțiunile țintă fișier de import“).
Dar este periculos suficient, deoarece erorile de programare poate duce la un accident de sistem.

O metodă de „încorporare“ a codului ca un flux într-un alt proces ajută la problema traficului travestiți în programul de trafic altcuiva.
Într-adevăr, aproape nimeni nu pune în interdicție de trafic firewall-ul de pe „Explorer“ sau „IE“. Toyanskie Unele programe au o bază de date cu numele principal software anti-troian, un firewall și încercarea de a preveni, fie funcționarea normală a acestora, sau să se facă listele de „aprobat“, „de încredere“ programe.

Principalul lucru - nu atrage prea multă atenție deloc sau până în momentul decisiv - cum ar fi, înainte de atacul asupra server-ului companiei Microsoft sau distruge toate datele utilizatorului.