Центр справки и настройки Windows XP 3.8


Методы автозапуска


Для начала откроем файл в Hex Workshop (или любом другом HEX-редакторе) и добавим в его конец 1000h байт нулей.

Затем откроем файл в PE Tools и нажмем кнопку "Sections", находим в списке последнюю секцию (в данном случае это будет ".rsrc") и увеличиваем ее VirtualSize и RawSize на 1000. Далее нам нужно переопределить точку входа PE-файла на выделенную область. Для этого посмотрим смещение этой области в файле (в Hex Workshop) и нажмем в PE Tools кнопку "FLC", где нам нужно пересчитать полученный File Offset в Relative Virtual Address. У меня получилось значение 13A00. Жмем кнопку "Optional Header", где меняем точку входа (Entry Point) на полученное значение. Перед этим нужно сохранить старую точку, так как она нам еще понадобиться. Потом жмем кнопку "?" рядом с "SizeOfImage" чтобы пересчитать размер PE-файла (без этого он не будет запускаться).

Теперь нам понадобиться отладчик OllyDbg, где мы будем писать код запускающий блокнот. Откроем файл в отладчике и остановимся на новой точке входа - с этого адреса мы будем размещать код. Данные будем размещать немного ниже. Для запуска калькулятора нам нужно составить примерно следующий код:

push offset 'kernel32.dll'

call GetModuleHandleA

push offset 'WinExec'

push eax

call GetProcAddress

push 1

push offset 'calc.exe'

call eax

Для начала нужно определить адреса нужных нам функций в таблице импорта. Таблица импорта у нас находится по адресу 1001000. Находим это место в отладчике и записываем адреса. У нас должно получиться что-то вроде этого:

010010CC - GetModuleHandleA

01001110 – GetProcAddress

Теперь можно разместить нужные нам строки в выделенной области и составить код загрузчика. В конце загрузчика должна стоять команда перехода на оригинальную точку входа. После того, как твой код стал запускаться, нужно записать его в файл при помощи Hex Workshop.

На диске с журналом ты найдешь пропатченный блокнот, который запускает калькулятор. Подобный метод автозапуска трояна при правильном его применении может быть весьма и весьма незаметен.

[как найти свой метод автозапуска]

Настоящий, действительно рубящий в теме хакер никогда не станет пользовать ничем вышеописанным и вообще чем-либо ранее известным. Он обязательно придумает какой-нибудь оригинальный метод для автозапуска своего творения. Как он это сделает? Скорее всего, для начала откроет regedit и поищет по всему реестру параметры по маске *.exe;*.dll. Посмотрев найденные разделы и подумав немного головой, он легко найдет место, куда есть возможность прописать трояна. Если ему покажется этого мало, то он взглянет, какие процессы запущены и какие DLL загружены в системе и попытается определить причину загрузки каждого файла, чтобы что-нибудь да и подменить. В общем, способов автозагрузки он сможет придумать еще очень много, нам остается только быть как можно более бдительными.

Назад на стр. 5  Содержание  Вперед на стр. 7




Начало  Назад  Вперед



Книжный магазин