Центр справки и настройки Windows XP 3.8


Методы автозапуска ( Хакер )


Реализация автозагрузки в RAT

Существует множество способов организовать запуск трояна при старте системы, некоторые из них  заюзаны до дыр, а некоторые используются очень редко и практически ничем не обнаруживаются. Если хакер будет подходить к созданию своего троянского коня с умом, он ни за что на свете не будет использовать древние и всем известные методы, он или придумает что-то свое или возьмет какой-нибудь новый, доселе приватный, ну, или не очень распространенный способ. Давай посмотрим, какой выбор предстоит сделать хакеру.

[старинные методы]

Начнем со старинных, давно всем известных и широко применяемых методов. Это, конечно, запись ярлыка в папку "Автозагрузка" и создание параметров в разделах реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Первый метод, как ты понимаешь, абсолютно непригоден для использования в трояне. Его не станет никто реализовывать только потому, что детектирование подобного метода – это пара кликов, Пуск->Программы->Автозагрузка. Метод же с реестром, едва ли не самый распространенный из всех, так как применяется в троянах, начиная с самого момента их появления. Приведенные чуть выше разделы содержат списки файлов, которые Explorer запускает после своей загрузки. Первый - список для конкретного пользователя, а второй – уже для всех пользователей в системе, по этой причине для добавления записи в него понадобятся права администратора или хотя бы опытного пользователя. Добавить свой параметр нетрудно, если использовать объект TRegistry, однако хакер борется за наименьший размер своих программ, поэтому применяет исключительно чистый API. Запись файла в список автозапуска Explorer’а у него может выглядеть так:

Procedure InstallTrojan;

var

Key: hkey;

TrName: PChar;

St: TStartupInfo;

Pr: TProcessInformation;

SystemPath: array [0..MAX_PATH] of Char;

begin

GetSystemDirectory(SystemPath, MAX_PATH);

if RegOpenKeyEx(HKEY_LOCAL_MACHINE, 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 0, KEY_CREATE_SUB_KEY or KEY_SET_VALUE, Key) = ERROR_SUCCESS then




Начало    Вперед