Mint írtam ck védi a számítógépet a gondatlan a felhasználó tevékenységét
Nem titok, hogy sok felhasználó annyira távol informatikai, amelyek lehetővé teszik számukra, hogy egy ilyen bonyolult eszköz, például egy számítógép, tele van. De hogyan kell megszervezni, hogy korlátozza a hozzáférést a számítógéphez? Miután viszont a számítógép most lehet bárki, aki legalább 10% kezében nőnek a válláról. Szerencsére, van egy egész osztály programok segít korlátozni a felhasználók hozzáférését a különböző komponenseit az operációs rendszer: az egyszerű tiltás játszik Solitaire vagy Aknakereső, egy teljes Windows zár.
Hogyan kap fertőzött?
Azonban nem minden felhasználó elfogadja, hogy az önkéntes zár rendszer (szeretnék összpontosítani a figyelmet arra a tényre, hogy ebben a cikkben nem vesszük figyelembe létrehozását rosszindulatú szoftverek). Oly gyakran ilyen szoftvert szállítani az autó formájában a vírus. Ways, hogy megfertőzi az áldozat nagyon. Közülük a legnépszerűbb a következők:
1. HIBÁK böngészőt. Nem titok, hogy az egyik cél a modern vírusírók - a felhasználó böngészőjének. Hasznos web-szolgáltatások tizenkettő egy tucat, és a felhasználók természetesen használja őket. Sok, a böngésző - a leggyakrabban használt programokat, ami bezárja nagyon lassan (I, így nem zárja).
Nem kell menni egy jósnő, hogy megtalálja a választ arra a kérdésre, hogy „amelyen keresztül ajtón a legjobb, hogy betörjön a felhasználó rendszerét?”. Van már világos: sérülékenységeit legnépszerűbb böngésző. Ahhoz, hogy ezt a módszert, akkor nem kell külön intelligencia. Elég posherstiv a biztonsággal területek találni (ha van ilyen) megfelelő sploit és szépen díszítjük, hogy megfeleljen az Ön igényeinek. Gyors, egyszerű és ingyenes.
3. Felhasználói naivitás. Amikor elkezdtem készíteni ezt a cikket, a kedvéért a kísérlet indult az OS egy virtuális gépet, és megpróbált járni a „kérdéses” oldalakon. Ne hidd el, de sikerült felvenni háromszor Winlocker, elfogadja a „legújabb verzióját” flash-lejátszó és a „speciális” codec. Őszintén szólva, én egy kicsit sokkolt, mert azt hittem, hogy ezek a módszerek nem gördülnek.
Mi lesz kódolni?
Már hosszú ideje gondolkodnak a nyelvet, amelyen írni a cikkben szereplő példák, és úgy döntött, hogy felidézzük a jól bevált Delphi. „Szóval van egyforma exe'shnik kap egy megabyte!” Vágott vissza Önnek. Része az igazság, de a probléma megoldjuk még a projekt koncepció fázisban. Minden kód kap egy tiszta API. Ennek megfelelően, az állatok a lefordított formában súlya kevesebb lesz, mint 100 KB. Csak egy pár tucat kilót dobtuk miatt manipuláció archiváló bájtkódot az előkészített bináris.
Az alapja minden Winlocker'a
Az alapítvány minden Winlocker'a - alakú, feszített szinte a teljes képernyőt. Ez nem csak egy nagy formában, és egy ablak, amely a többi közül, és nem engedelmeskednek semmilyen parancsot. Nem összeomlása vagy méretének megváltoztatásához, vagy még inkább a teljes program folyamatot. Első pillantásra úgy tűnhet, hogy a vírusírók is találta know-how-t, de a valóságban az egész sokkal könnyebb. Tény, hogy ez a normális ablakot, amely úgy állítja be a kijelző stílus „az egész.” Ablak viselkedjen, mint egy partizán, és nem reagál a felhasználó kéri, a fejlesztők némileg módosítani az üzenetet feldolgozási eljárás kívülről.
Módosítása csökken a banális kezelés WM_SYSCOMMAND üzenetét. Hogy pontosabbak legyünk, az egyetlen kell bejelenteni egy ellenőrzést üzenet WM_SYSCOMMAND kapott üzenet feldolgozási eljárás. A vicces az, hogy a feldolgozás az üzenet sohasem kódot írni - az űrlapot, és így nem fog válaszolni, hogy a külső környezet eseményeket.
A vírus kell betölteni az operációs rendszert. Számos módja van annak érdekében, hogy a program indításakor. Ezek két csoportra oszthatók: egyszerű és fejlett. A fejlett nincs elég hely a papír, ezért az csak egyszerű, használatán alapul az adatbázis. Tehát a registry számos automatikus részből áll:
Melyik a javasolt indítási helyre kell választani az Ön alkotásait? Nincs pontos válasz, de ez nem ajánlott, hogy mindent bármelyike javasolt lehetőségek. Hol jobb, hogy egy kombináció, amely előírható egyszerre több helyen. Példa bejegyzéseket indítási WinAPI adott második süllyesztés.
És akkor blokkolja és blokkolja nekem!
Feladatkezelő
Kivétel nélkül vinlokery, hogy láttam, blokkolt a dob a Task Manager. Nos, nem fogjuk tartani velük. Ez a funkció alkalmazását DisableTaskMgr kulcs létrehozása (type dword) az 1-es értéket ugyanabban az ágazatban, ahol DisableRegistryTools.
Programok hozzáadása vagy eltávolítása
Különösen agyas, a felhasználók a applet „Programok telepítése és törlése” a rendszer esetében a fertőzés próbál telepíteni anti-vírus szoftver. Ez könnyen megállítani, ha létrehoz egy kulcs értéke 1 NoAddRemovePrograms (type dword) ugyanazon a részén, ahol DisableRegistryTools.
Blokkolja a hozzáférést a meghajtók
Ahhoz, hogy teljesen elrontani a hangulatot a felhasználó, akkor blokkolja a hozzáférést a lemezek jelen a rendszerben. Hagyja, hogy a felhasználó nem is próbálja futtatni víruskereső szoftvert a botjával! Tudjuk, hogy ez a trükk létrehozásával NoViewOnDrive kulcs (DWORD) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer. Az értéket a gomb jelzi a bitmaszkként a blokkolt hajtás. Például az lenne, hogy a C meghajtó 4. Ha azt szeretnénk, hogy blokkolja az egynél több lemezen, akkor tegye le a maszkokat. Például, az érték 12 illeszkedik reteszelő lemezeket C (4) és D (8).
A chip №1: bárhol szórakozás együtt
Fertőzött számítógép-felhasználók a szegények? Ne felejtsük el, hogy vigyázzon a barátait! Ne feledd, minél szélesebb az a vírust, annál nagyobb eséllyel a pénz. Megtelepedő az ellenség gép, akkor nem kell időt pazarolni hiába, és hogy megpróbálja megtalálni egy új lábát. Hogyan kell csinálni? Az egyik legegyszerűbb és leghatékonyabb módja - a felügyeleti és a fertőzés a flash meghajtók. Mivel a felhasználók mindig flash meghajtók, a vírus könnyen vándorolnak egyik rendszerből a másikba. Határozzuk meg, hogy a kapcsolat könnyen kibír. Elég kódot írni, amely kezeli az eseményt WM_DEVICECHANGE.
A kód a harmadik tie szoktam állandók és struktúrák, amelyek megnevezése nem a modulokat, hogy jön a Delphi. Úgy kell leírni magad. Vettem az összes információt az MSDN, de nem lehet fürödni, és csak veszem a forráskódot a DVD-n.
A chip №2: A bérletek a miénk lesz!
Például: 127.0.0.1 www.odnoclassniki.ru
Tekintsük szerkeszti a hosts fájlt nem, akkor jobb, ha megnézzük, hogyan kell használni Delphi hogy emelje fel a WEB-szerver. Ha Ön rendszeres olvasója a magazin, meg kell navigálni a Winsock API. Egy időben a kategóriában Coding megcsúszott cikkeket írt mindenféle ügyfelek (FTP, proxy, IRC, stb) csak api-funkciókat. Azt javasoljuk, hogy vegye fel, és olvassa el a jó kötőanyagot sabzhevoy téma (olaj olaj - a szerk.) ..
A chip №3: Ecstasy felhasználó
Evil-programozók, hogy ösztönözze a felhasználót, hogy válnunk a nehezen megkeresett prémium SMS-t? Másképp. Például titkosítása fontos fájlokat neki. Milyen fájlokat kell keresni? A legjobb, ha azok, amelyek hatással lehetnek a munkahely / iskola az áldozat, például dokumentumok (doc, xls, mdb, ppt, txt), képek (JPEG, PNG, BMP), a forráskód (php, pas, c, h, cpp , DPR, py, stb). Ha az áldozat írt értekezés, vagy valamilyen átfogó jelentés, hogy holnap veszi, akkor a támadó minden esélye megvan, hogy pénzjutalmat.
Most beszéljünk a műszaki megvalósítás ezt a dolgot. Fájlok keresése történik a funkciók FindFirs () és FindNext () re SysUtils modult. Könnyű velük együtt dolgozni, de az egyszerűség ezen gyorsétterem negatívan befolyásolja az alak a kérelmet. Mivel hízni nem használ nekünk, akkor használja több élelmi termékek: FindFirstFile () és FindNextFile (). Munka egy kicsit nehezebb velük (lásd. Fájlkereső példa a lemezen), de a szépség követel áldozatokat.
A fájlok titkosítása ezzel Delphi is elég egyszerű. Minden attól függ, a kiválasztott titkosítási eljárás. Egyszerűen használja a kész modulok, amelyek egy érmét egy tucat torry.net és más helyszíneken. Például, rábukkantam egy jó lehetőség az egyik Delphi fejlesztők. Ez a modul a következő tulajdonságokkal rendelkezik:
// File Encryption
működnek FileEncrypt (infile, kifájl: String;
Kulcs: TWordTriple): logikai;
// Fájl dekódolása
működnek FileDecrypt (infile, kifájl: String;
Kulcs: TWordTriple): logikai;
// titkosítása szöveg
funkció TextEncrypt (const s: string;
Kulcs: TWordTriple): string;
// szöveg átíró
funkció TextDecrypt (const s: string;
Kulcs: TWordTriple): string;
// titkosítása „memória”
működnek MemoryEncrypt (Src: Pointer; SrcSize:
Cardinal;
Cél: Pointer; TargetSize: Cardinal;
Kulcs: TWordTriple): logikai;
// magyarázata „memória”
működnek MemoryDecrypt (Src: Pointer;
SrcSize: Cardinal; Cél: Pointer;
TargetSize: Cardinal; Kulcs: TWordTriple): logikai;
A teljes szöveg ezeket a funkciókat, valamint példákat azok használatáról talál a mi hajt.
A chip №4: szaporodnak!
Egyszer valaki másnak a rendszernek meg kell próbálnia, hogy maradjon meg a lehető legtovább. Azt nem tudom megmondani, oly módon, hogy végre egy száz százalék. Az első (és legegyszerűbb végrehajtás), hogy eszembe jutott, hogy építeni winlocker mini-Joyner. Az algoritmus a következő: ha aktiválva az áldozat, a fő program fertőzi meg a leggyakrabban használt programokat. Sőt, a vírus nekik nem kell piggybacked. Mivel a parazita jár egy kis „ártalmatlan” programm. Fő funkciója, hogy végre ellenőrzést futásra vírus folyamatot. Ha nem, akkor van szükség, hogy megindítja a letöltés a „vírus” az internet és annak további végrehajtását. hozzon létre egy asztalos nem nehéz a pont a programozás. Ezen túlmenően, egy pár évvel ezelőtt (lásd. Cikk „fun együtt” a # 104), akkor e téma az oldalak lapunknak.
A chip №5: játszani bújócska egy maximális
- Adja meg a fájl nevét a vírus jelentéktelen. Bár ez egy primitív szabály, hanem megfigyelni nagyon kívánatos.
- Vedd el a vírust a futó programok listáját. Ezt úgy lehet elérni, hogy megértsük lehallgatás API funkciókat. Már írtam a lehallgatást API sokszor. Feltétlenül olvassa el ezeket a cikkeket!
- Több módszert használnak indításkor.
A chip №6: megölni az elején
Ne légy lusta, és levelet eljárást kötelező folyamat befejeződött. Ez biztosan segít megvédeni gyermekét a gonosz antivírus, hogy a felhasználó megpróbálja futtatni. Ideális esetben általában szervezni a lehallgatás használt funkciók az alkalmazások indításához, és nem teszi lehetővé számukra, hogy működik rendesen.
munka teljes
Saját készítésű web-szerver
Korlátozza alkalmazás elindítása
Segítségével az adatbázis, hogy meghatározza az aktuális listát a jóváhagyott futtatni a programokat. Ha ez a lista van megadva, akkor a felhasználó nem lesz képes alkalmazások futtatására, amelyek nincsenek ott. A listát a jóváhagyott kérelmek van beállítva, hogy indítson ide: HKEY_CURRENT_USER \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ RistrictRun. Azáltal, ez a szakasz gombok (REG_SZ típus) minden engedélyezett program, akkor kell menni egy szinttel feljebb, és adjunk hozzá egy paramétert RestrictRun type dword az 1 értéket.
számítógép-kezelési
Sok rossz esetben lesz képes a felhasználó, ha ő hozzáfér fut pillanat „Számítógép-kezelés”. Tiltsa le teljesen a pillanat a rendszerleíró adatbázis nem kell, de távolítsa el a kapcsolatot indítani, a helyi menüben a „Sajátgép” shortcut - egy szelet tortát. Csak azt, hogy hozzon létre egy DWORD NoManageMyComputerVerb típusú paraméter értéke 1 HKCU részén \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer.
Vágjuk le szolgálat
Beállításszerkesztővel funkciókat gond nélkül kikapcsolhatja a szükségtelen szolgáltatásokat a felhasználó (pl antivírus szoftver). Teljes szolgáltatások listáját a rendszerre telepített található bankfiókban HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services. Ha ki akarja kapcsolni a szolgáltatást szerkesztés Start kulcs értékét. Például, hogy telepíteni a szolgáltatást „Indítás típusa” a „Manual”, meg kell adnia egy kulcsot Start 3. Ha azt szeretnénk, hogy a szoftver feszíteni egy ellenséges rendszer hosszabb, azt tanácsolom, hogy tartsa a saját adatbázis létrehozása antivírus szolgáltatások. Vagyis azt, hogy világosan meg kell határozniuk a szolgáltatások antivírus és változtatnak indítási típusát.
És még mi van szükségünk?
Monitor kibír
var
disk: DWORD;
kezdődik
esetében Msg.WParam a
DBT_DEVICEARRIVAL: // Ha egy USB flash meghajtó
ha (PDEV_BROADCAST_HDR (Msg.LParam) ^
.dbch_devicetype = DBT_DEVTYP_VOLUME), majd
kezdődik
// Próbálja beazonosítani a meghajtó betűjelét
disk: = PDEV_BROADAST_VOLUME (Msg.LParam "") ^
.dbcv_unitmask;
// Ne a rosszindulatú kód
végén;
DBT_DEVICEREMOVECOMPLETE: // Ha a botot eltávolítjuk
ha (PDEV_BROADCAST_HDR (Msg.LParam) ^
.dbch_devicetype = DBT_DEVTYP_VOLUME), majd
kezdődik
// USB flash meghajtó, szerelés
végén;
Unobscured ablak WINDOWS API
wc.cbSize: = sizeof (WC);
wc.style:=cs_hredraw vagy cs_vredraw;
wc.lpfnWndProc: = @ WindowProc;
wc.cbClsExtra: = 0;
wc.cbWndExtra: = 0;
wc.hInstance: = HINSTANCE;
wc.hIcon: = LoadIcon (0, idi_application);
wc.hCursor: = LoadCursor (0, idc_arrow);
wc.hbrBackground: = COLOR_BTNFACE + 1;
wc.lpszMenuName: = nil;
wc.lpszClassName: = 'win_main';
RegisterClassEx (wc);
leftPos: = 20;
topPos: = 0;
windowWidth: = Screen.Width;
WindowHeight: = Screen.Height;
MainWnd: = CreateWindowEx (
0
„Win_main”
„Test”
ws_overlappedwindow,
leftPos,
topPos,
windowWidth,
windowHeight,
0
0
HINSTANCE,
nulla
);
SetWindowLong (MainWnd, GWL_HWNDPARENT,
GetDesktopWindow);
SetWindowPos (MainWnd, HWND_TOPMOST,
0, 0, 0, 0, SWP_NOMOVE vagy SWP_NOSIZE);
ShowWindow (MainWnd, CmdShow);
Míg GetMessage (mesg, 0,0,0) do
kezdődik
TranslateMessage (MESG);
DispatchMessage (MESG);
végén;
WinAPI együttműködni a regisztrációs
var
Kulcs: HKEY;
kezdődik
// Itt helyettesítheti az egyik módja
indításkor.
RegOpenKey (HKEY_LOCAL_MACHINE,
PChar ( ''), Key);
RegSetValueEx (Key, PChar (paramstr (0)),
0, REG_SZ,
pchar (paramstr (0)),
lstrlen (pchar (paramstr (0))) + 1);
RegCloseKey (Key);
végén;
Itt található az ezt a cikket egy ismerősének: