Надыбал я ее на своем любимом винте... Прошу любить и жаловать. ОЧЕНЬ ЖДУ КОММЕНТОВ!
Статья не дает конкретных рекомендаций и данных, дабы не каждый мог воспользоваться описанными вещщами.

Цель статьи показать на что можно извратиться в обычных форточках, ведь многие даже и не предполагают о подобных методах извращщения, хотя все довольно просто и обычно. Применение же подобных вещщей очень сильно увеличивает обнаружение и удаление трояноподобия из системы.

Начнем обзор с небольшого экускурса по программке GlassControl 3.1, ее способ самоустановки довольно необычен, за что он и получил свою популярность.

Как все происходит ?

GC3 прописывает себя в реестре на автозапуск из сети, даже если виря нет в системе, то он будет само устанавливаться именно из за ссылки в реестре.
И вторая - главная фишка в подмене одного системного файла, который грузиться по умолчанию. Происходит даже не его подмена, а подмена ссылки на него при запуске системы, после чего GC3 сам его загружает.

Этот медод как оказалось - очень эффективен.

Создание скрытого диска - оказалась большой дырой при удаленном обнаружении пораженных компьютеров в сети. Создаетсяя диск Z$ с полным доступом. Как известно в сети можно найти все скрытые шары, но для этого надо пользоваться собственным ПО, система не позволит узнать это, только если не тыкать пальцем в небо.

Как создать скрытый диск так чтобы он не сканировался любым ПО ?

Выходов немного.
1) Один из них - создание динамическо-открываемого диска,2) второй - создание скрытого системного ресурса.

1-Диск открывается на один сеанс работы по сигналу, опять же программа дожна распознать такой сигнал, и откыть доступ на один сеанс. Во время этого сеанса иск могут увидеть, но в остальное время - нет(большинство времени) Это создает некоторые проблеммы, нужно время - и это самое важное.

2-Создается шара под именем printer$ или другая. Известно что эта шара обычно отдает в доступ путь %windir%\system , поэтому шансы на то что ее будут проверять именно на этот путь - малы, НО они есть 8(

можно обьединить оба способа и прибавить к нему установка пароля на доступ к ресурсу, получиться вполне Steath 8)

Чертова рука при отдавании ресурса в доступ на иконке ресурса..

Что делать если народ научился опознавать что их диск отдан в сеть ? Если они это определяют по синей дурацкой руке, то проблемма решается просто, Мелкософт предусматрела такую возможность, когда создается шара, в ее флагах прописывается что-то типа 192 - на R/W или 191 на ReadOnly , однако если у вас выдан в сеть принтак или стоит удаленка, то папка с виндой не держиться ручищщей .. и флаг поэтому у них другой : 302 на запись и 301 на чтение. Младшие 2 бита отвечают за тип доступа, а пятый(или 11 8-\) за видимость значка.Вот и все, просто когда выдаешь ресурс, то флаг должен быть типа 302.
Ну а если народ прочухивает дело по реестру, то тут уж помоч могут только трояны, ключ CURRENT_USER не выдаст шару, если в ней прописать ее, опробовано!
Но есть еще один способ.. он довольно прямой и наглый, но сработает.. нужно просто стереть программу REGEDIT, либо на время ее запуска подсовывать заранее скопированный реестр.

К вопросу о $

Как-то я ковырял систему, уж очень мне нравиться искать в ней скрытости и вшитости. Заинтересовал меня ADMIN$ и обнаружил нехилую дыру..

Нехилая $ дыра

Что позволяет дыра ?

Дыра позволяет кому угодно получить полный доступ ко всем жестким дискам жертвы,когда системой управляет кто-либо из сети.

Какие же это чертовы условия ?

Стоит галка - удаленное управление
на данном сеансе кто-либо использовал Удаленку
Расскажи как мне захачить кого-нибудь?

Для этого у него дожны быть соблюдены вышеуказанные условия. Если все так, то просто набирай в окне "ВЫПОЛНИТЬ": \\computer\c$
вот тебе и его полный диск, можешь попробовать \\computer\d$ и так далее. Если на машине несколько жестких дисков, то все они будут доступны в текущщем сеансе работы жертвы.

или можно написать ХАК на BAT языке..

сначала ищешь комп, проверяешь его на наличие ADMIN$, пытаешь подобрать пароль - неполучается, тогда запускаешь HACK.BAT
-----------------------------

:again
copy TROJAN.EXE "\\VICTIM\C$\Windows\Главное меню\Программы\Автозагрузка\"
goto again

-----------------cut here----
Запускаешь такую мысль и просто напросто ждешь.. может уйти много времени, можешь спровоцировать если знаешь кого ввести пароль для управления. Если сработает, то после перезагрузки жертвы запуститься ваша программа TROJAN.EXE, чего и требовалось сделать.

Почему так происходит ?

Система очень простая: Когда кто-либо берет удаленное управление, то после набора пароля, якобы ЕМУ становиться доступен весь диск жертвы, ведь он набрал пароль!, но MicroSoft не предусмотрела аудентификацию, поэтому машина жертвы не может понять кто к ней ломиться на винт и пускает всех. При этом возникает оочень интересный эффект: В реестре этих ШАР нету, но они открыты под именами дисков плюс знак "$"

Как система устанавливает Удаленное Управление ?

Тут система полностью деревянная даже в 98SE. Были созданы снимки системы до и после установки, В реестре добавляется 6 ключей у ADMIN$. В принципе это ничто иное как скрытая шара, единственная фишка в названии. Удаленные системы опираются именно на название, если оное обнаружено, то удаленка - ЕСТЬ! 8(
Таким образом ничего хорошего это не значит.А если вы вручную создали ADMIN$, то установка через панель просто изменит параметры.

ПсевдоRealTime Trojan

Эта тема - решает проблемму обнаружения тряна в системе. Реально в памяти нихрена не загружено, поэтому смотреть список текщих задач и драйверов - безполезно. При всем этом наша прога будет максимально приближена к обычному болтанию в памяти.

Каким образом прога узнает обращение к ней, если она даже не запущена ?

Вся фичка в установке некоторых параметров в реестре. Итак выходом из ситуации будет частый запуск нашей проги. Для этого устанавливаем перенаправление какого-либо события на запуск нашей проги. Один из вариантов - изменение действия значков на рабочем столе. Другой,попрощще способ - подмена программ типа WinAmp, которые частенько запускаются.
ВОт и получается что мы не болтаемся в системе, но довольно часто получаем управление.

Хинт не в тему: Иногда может пригодиться такая фича: Режим сортировки "UNSORTED" или "Не Сортировать" 8) показывает файлы в том порядке в котором они были записаны. т.е. самый последний - в самом конце.