IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

Nie tylko wirusy. Hacking,

cracking, bezpieczestwo
Internetu. Wydanie II
Autor: Andrzej Dudek
ISBN: 83-7361-288-2
Format: B5, stron: 352

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Powszechnie znanym zagroeniem dla internautw s wirusy. Jednak to nie wszystko

uytkownikom sieci zagraaj hakerzy, programy szpiegujce i inne puapki,
o ktrych istnieniu wielu ludzi nawet nie wie. Niebezpieczestwo wynikajce
z korzystania z sieci mona znacznie ograniczy, wiedzc, na czym polega jego natura.
Nie od dzi wiadomo, e jednym z najskuteczniejszych sposobw na rnych
napastnikw jest stosowanie ich wasnej broni. Naley wic pozna metody ich
dziaania i podj odpowiednie kroki zapobiegawcze.
Ksika Nie tylko wirusy. Hacking, cracking, bezpieczestwo Internetu. Wydanie II
przedstawia niemal wszystkie niebezpieczestwa czyhajce na internautw.
Opisuje rodzaje wirusw i sposoby ich dziaania oraz techniki i narzdzia, jakimi
posuguj si hakerzy. Zawiera omwienie tych elementw systemw operacyjnych,
ktre s najbardziej podatne na ataki, oraz informacje, jak im zapobiec.
Wirusy polimorficzne i makrowirusy
Sabe punkty systemw Windows
Wamania do systemw Linux
Sposoby maskowania obecnoci hakera w systemie
Rodzaje atakw hakerskich

Jeli chcesz wiedzie, jak obroni si przed sieciowymi

puapkami, przeczytaj t ksik

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Spis treci
Od Wydawcy...................................................................................... 9
Przedmowa do wydania drugiego ...................................................... 11

Cz I

Wirusy ...........................................................................13
Zamiast wstpu............................................................................... 15

Rozdzia 1. Wirusy polimorficzne ........................................................................ 17

MtE Mutation Engine................................................................................................. 20
TPE TridenT Polymorphic Engine ............................................................................. 22
VCS-TPE przykad wirusa polimorficznego korzystajcego
z TridenT Polymorphic Engine..................................................................................... 23
Inne znane generatory polimorficzne .............................................................................. 33
Jak to dziaa? ................................................................................................................... 34

Rozdzia 2. Automatyczne narzdzia do tworzenia wirusw ................................. 47

Virus Construction Set VCS....................................................................................... 48
Instant Virus Production Kit IVP ............................................................................... 48
Virus Creation 2000 VC2000 ..................................................................................... 51
Virus Creation Laboratory VCL...................................................................................... 53

Rozdzia 3. Makrowirusy.................................................................................... 61
Wirusy VBS .................................................................................................................... 67

Rozdzia 4. Robaki internetowe.......................................................................... 71

Love Letter ...................................................................................................................... 71
MyDoom ......................................................................................................................... 73
Poczta........................................................................................................................ 73
Zaczniki.................................................................................................................. 76
Instalacja w systemie................................................................................................. 80
Inne sztuczki ............................................................................................................. 81

Rozdzia 5. Narzdzia......................................................................................... 83
AUTOMATED TOOLS.................................................................................................. 83
DOCUMENT MACRO VIRUSES ................................................................................. 83
ENGINES........................................................................................................................ 84
ROZSYACZ ................................................................................................................. 84

Nie tylko wirusy. Hacking, cracking, bezpieczestwo Internetu

SOURCE ......................................................................................................................... 84
VCS-PE........................................................................................................................... 85
VCS-TPE ........................................................................................................................ 85
VIRUS ZINES ................................................................................................................ 85

Cz II

Pecet i MS Windows ......................................................87

Rozdzia 6. Haso zabezpieczajce SETUP komputera ......................................... 89

Rozdzia 7. Pliki PWL ........................................................................................ 97
Rozdzia 8. Microsoft Windows NT/2000 ......................................................... 101
amanie hase................................................................................................................ 101
Odczytywanie zawartoci partycji NTFS z poziomu DOS-a......................................... 104
Jak moe si skoczy pozostawienie uytkownikom zbyt duych uprawnie? ........... 105
Polecenie NET............................................................................................................... 106
NULL SESSION ........................................................................................................... 111
Samodzielne wykorzystanie NULL SESSION.............................................................. 114

Cz III Internet .......................................................................119

Rozdzia 9. Prehistoria..................................................................................... 121
Hasa.............................................................................................................................. 121
Smuga cienia ................................................................................................................. 123
Finger ...................................................................................................................... 125
Katalogi zawierajce kopie zapasowe ........................................................................... 126
Shadow na Linuksie (z dostpem fizycznym do komputera) ........................................ 127
NIS/NIS+/YP ................................................................................................................ 129
Crack ............................................................................................................................. 130
Przykad uycia ....................................................................................................... 134
John the Ripper ............................................................................................................. 136
Tryb prosty.............................................................................................................. 137
Tryb sownikowy .................................................................................................... 137
Tryb inkrementacji .................................................................................................. 138
Tryb zewntrzny...................................................................................................... 139
Sami piszemy crackera .................................................................................................. 142
Jak si zabezpieczy? .................................................................................................... 144
Stosowanie pliku shadow ........................................................................................ 144
Zasada ograniczonego zaufania............................................................................... 146
Waciwa polityka................................................................................................... 146
RLogin .......................................................................................................................... 147
Katalogi typu World Exportable.................................................................................... 148
Narzdzia....................................................................................................................... 150
SimpleCrack............................................................................................................ 150

Rozdzia 10. Historia ......................................................................................... 151

Maskowanie obecnoci hakera w systemie.................................................................... 151
Kilka zasad bezpiecznej pracy ............................................................................. 151
Dzienniki zdarze (logi).......................................................................................... 154
Inne typy dziennikw zdarze................................................................................. 157

Spis treci

7
Tylne drzwi, czyli wejcia awaryjne .......................................................................... 158
amanie hase ......................................................................................................... 158
Plik .rhosts............................................................................................................... 158
Dodatkowy uytkownik .......................................................................................... 158
Dodatkowy program typu SUID ............................................................................. 158
Dodatkowa usuga w /etc/services........................................................................... 159
Dodatkowa pozycja w /etc/aliases........................................................................... 160
Zmiana kodu rdowego programu ....................................................................... 161
Biblioteki................................................................................................................. 163
Kernel...................................................................................................................... 163
Sumy kontrolne plikw ........................................................................................... 163
Crontab.................................................................................................................... 166
/dev/kmem z moliwoci zapisu i odczytu ............................................................ 167
Dodatkowy modu................................................................................................... 167
Rootkit .................................................................................................................... 168
Sami piszemy prosty modu LKM................................................................................. 168
Sniffing.......................................................................................................................... 171
SSH/OPENSSH ...................................................................................................... 175
IP-Spoofing ................................................................................................................... 175
Sami piszemy sniffera ................................................................................................... 177
Powtrka z podstawwki ........................................................................................ 177
Model odniesienia OSI/ISO .................................................................................... 177
Narzdzia ................................................................................................................ 192

Rozdzia 11. Wczoraj ......................................................................................... 193

Skanery.......................................................................................................................... 193
ISS SafeSuite .......................................................................................................... 193
Nessus ..................................................................................................................... 197
NASL ...................................................................................................................... 198
Odmiany skanowania portw.................................................................................. 203
Nmap scanner by Fyodor ........................................................................................ 205
Z drugiej strony....................................................................................................... 209
Netcat ...................................................................................................................... 210
Ataki typu buffer overflow ............................................................................................ 212
Ataki nadpisujce zmienne systemowe ................................................................... 226
Ataki zdalne ............................................................................................................ 227
Inne typy atakw buffer overflow ........................................................................... 231
Metody obrony........................................................................................................ 232
Inne typy atakw ........................................................................................................... 234
Formatted String ..................................................................................................... 234
Cross-Site Scripting i HTML Injection ................................................................... 236
Ataki z wykorzystaniem zmiennych systemowych ................................................. 239
Ataki z wykorzystaniem dowiza symbolicznych (race conditions) ..................... 240
Ataki typu DOS....................................................................................................... 241
Sami piszemy shellcode ................................................................................................ 241
Linux....................................................................................................................... 242
MS Windows........................................................................................................... 250

Rozdzia 12. Dzi............................................................................................... 275

Zawarto CD-ROM-u .................................................................................................. 275

Nie tylko wirusy. Hacking, cracking, bezpieczestwo Internetu

Dodatki .......................................................................................277
Dodatek A Stan prawny, czyli co wolno, a czego nie wolno robi...................... 279
Dodatek B Krtka ciga z Linuksa ................................................................. 283
Symbole......................................................................................................................... 283
Atrybuty pliku ............................................................................................................... 284
Polecenia ....................................................................................................................... 284
Zmienne systemowe ...................................................................................................... 286
Pliki ............................................................................................................................... 286
Urzdzenia..................................................................................................................... 287

Dodatek C Funkcje systemowe Linuksa przewodnik..................................... 289

Numery funkcji ............................................................................................................. 289
Definicje typw (alfabetycznie) .................................................................................... 294
Definicje struktur (alfabetycznie) .................................................................................. 297
Argumenty funkcji systemowych i pliki,
w ktrych znajduj si kody rdowe funkcji............................................................ 305

Dodatek D Bezpieczestwo sieci Novell........................................................... 313

Dostp do serwera ......................................................................................................... 314
Metoda na bezczelnego........................................................................................ 314
Moduy BURGLAR.NLM i SETPWD.NLM.......................................................... 318
Szukanie konta .............................................................................................................. 320
Podgldanie administratora ........................................................................................... 320
Zdalny dostp do serwera.............................................................................................. 322
Zgadywanie hase (3.xx) ............................................................................................... 324
Praca na dowolnym koncie (3.xx) ................................................................................. 328
Maskowanie konta wamywacza w systemie ................................................................ 329
Podsumowanie .............................................................................................................. 330

rda ........................................................................................... 333

Skorowidz ..................................................................................... 335

Rozdzia 3.

Makrowirusy
Jeli korzystasz z poczty elektronicznej lub przegldasz grupy dyskusyjne, to pewnie
zdarzyo Ci si kiedy usysze o przesyce, ktra po otwarciu powoduje skasowanie
wszystkich danych na twardym dysku lub wykonuje inne nieprzyjemne rzeczy. Wanie
takie pogoski o licie z tytuem GOODTIMES kryy masowo jaki czas temu w sieci
America On-Line. Stao si to pocztkiem dyskusji na temat: czy komputer mona zarazi wirusem przez same przeczytanie dokumentu? Po dokadnym przeanalizowaniu
wszystkich za i przeciw oraz po sprawdzeniu dziesitek przykadw wszystkie Wielkie
Autorytety doszy do wniosku, e poza sytuacjami zdegenerowanymi (ko trojaski
w postaci podmienionego sterownika ANSI, le skonfigurowany program do odczytu
poczty) zaraanie poprzez przeczytanie pliku nie jest moliwe. Po czym znana skdind
firma M. wypucia na rynek now wersj pakietu Office z rozbudowanym systemem
makropolece i jak grzyby po deszczu zaczy powstawa wirusy przenoszone w dokumentach, ktre ochrzczono wspln nazw DMV (Document Macro Virus tak nazywa si pierwszy z serii).
Spowodowao to pocztkowo panik porwnywaln prawie z pamitnym Michaem
Anioem. Jednak blisze przyjrzenie si strukturze tego typu wirusw pozwolio stwierdzi, e s to stworki prymitywne i zarwno ich napisanie, jak i obrona przed nimi s
jeszcze prostsze ni w przypadku tradycyjnych wirusw.
Sprawdzia si tu znana zasada, e im wiksz elastyczno ma mie dany system, tym
bardziej jest naraony na infekcje. Furtk do systemu dla wirusw w tym przypadku
bya moliwo modyfikowania zestawu makropolece szablonw Worda oraz fakt, e
makropolecenia o pewnych nazwach wykonuj si zawsze w okrelonych sytuacjach.
I tak:
Nazwa makra

Uruchamia si podczas:

AutoExec

Rozpoczcia pracy z Wordem

AutoNew

Tworzenia nowego dokumentu

AutoOpen

Otwierania dokumentu

AutoClose

Zamykania dokumentu

AutoExit

Koczenia pracy z Wordem

Cz I Wirusy

62

Mechanizm tworzenia wirusa jest wic bardzo prosty:

1. Tworzysz nowe makro o nazwie takiej jak jedna z powyszych (niektre

wirusy podpinaj si rwnie pod inne czsto wykonywane polecenia, takie

jak Zapisz nie uruchamiaj si wtedy automatycznie, ale w momencie,
kiedy uytkownik skorzysta z tego polecenia).
2. Wpisujesz do niego kod wirusa.
3. Jako zawarto dokumentu wpisujesz np. tre acuszka w. Antoniego.
4. Zapisujesz plik jako Word Template, ale z nazw *.DOC eby nie

wzbudza podejrze.
5. Przesyasz (lub zanosisz na dyskietce) dokument do przyszej ofiary

z dopiskiem przeczytaj to koniecznie.

Kod wirusa skada si z takich oto czci:
1. Sprawdzenie, czy wirusa nie ma ju w NORMAL.DOT.
2. Jeli nie ma, to wirus kopiuje si do tego szablonu.
3. Sprawdzenie, czy makro jest obecne w aktywnym dokumencie. Jeli nie jest,

to wirus zmienia jego typ, zapisujc go jako szablon Worda. Zachowuje jednak
rozszerzenie DOC, aby nie wzbudza podejrze.
4. Powielenie si wirusa do nowo utworzonego szablonu.
5. Przy odpowiednich warunkach (np. 13-tego w pitek) uaktywnia si powodujc:

Skasowanie dysku C.

Zmian nazw istniejcych plikw.

Przekopiowanie danych z dysku twardego zaraonego komputera na jaki inny.

Wysanie co ciekawszych plikw (np. arkuszy Excela z tajnymi transakcjami

firmy) pod wskazany adres e-mail.

Zaoenie hasa na plikach w zaraonym komputerze.

No dobra, dosy straszenia. Po prostu pisze komunikat %CVEJ/G+H;QW%CP

i to wszystko.
Napisanie wirusa na podstawie powyszego schematu nie powinno wic sprawia
wikszego kopotu. Jak wida poniej, listing kodu zajmuje niewiele miejsca i nie ma
w sobie jakich skomplikowanych funkcji:

 
 


 !"#


$%##$#&#

$'
($#

)#&
$*###


#
$

$#

#*"+,"#-

&

.




$##$'
##

Rozdzia 3. Makrowirusy

&%%#

/
##%#

*.!(#

'
##(

#
#"$!'(###!

#0##$#!.

#( &#!#(#0'#

##
#.&&#
&$%#


!

"0
$#
#

"1%
$#2/"3

'!
#"#%


$#$#.#4
56 7/7!

4
56 7/.##

-
#$$($#

-


8#

. 
09:.9;;<

===============================================
6024
#>?@ 
#@
AB@C#(0
@.#>.9+

6$3.#
0%%##

*##%
?/D,E
$?,

6$3.2/*##


0)#*#(.


&&
4*F,%
G?9
4*
>D.,E?@2/@%
AB@2/&#
7
2C 7@.#>.9+
$?9
4*
4*

)0#(0#&

>?"#
>DEH@I2/@

#2/
#
.

$#7
2C 7
4*$JF9%
/$>.@K0I2/@
AB@1#*'
7
2C 7$#
2/
# @.#>.9+

63

Cz I Wirusy

64

&
&

.#


)$#(&


$"


#2/&0


.$##

#*.#%0#&


0.0
'#0 '




6$3.2/&
#

"
$$#0&$ .0

2/
&# 

#
$?,
4*/D9EJF,%
AB@2/
#&

#@.
#>.9+
$?9
4*

1$#0#&
0
4*$?,%
G#6L2G
?9
AB@1$#(0#&
0@.#>.
9+

4$##
2/0

7
2C 7
/$@K0I2/@.>
AB@1#*'
0#&
$#

2/# @.#>.9+
4*
4*

)$###(
#7
2C 7

$#&D
&0 

$#-#.#/0

/$G#0#
# &%0%!E
AB@#$#'#(#
D0M'M00(MME@.#>.9+
60

W Wordzie 97 zmieniono jzyk makropolece i mona w nim pisa programy tylko

w jzyku Visual Basic for Applications. Dlatego powyszy kod nie mgby w nim by
wykonywany. Mechanizm i zasady pozostaj jednak bez zmian jedynie za te same
czynnoci odpowiadaj inne funkcje. Ponadto nowoci w stosunku do wersji poprzednich jest fakt, e programy pakietu Office 97 uprzedzaj o moliwoci istnienia makrowirusw i standardowo proponuj wyczenie makroinstrukcji nowo otwieranego dokumentu. Jest to jedyne zabezpieczenie programy pakietu Office 97 nie zawieraj
w sobie skanera znanych wirusw i bardziej zaawansowanych narzdzi ochrony, oferowanych przez specjalistyczne pakiety antywirusowe.

Rozdzia 3. Makrowirusy

65

W momencie pisania pierwszego wydania tej ksiki jedynym znanym mi wirusem

Worda 97 by NightShade97. Od tego czasu powstao ich bardzo wiele, wszystkie jednak
dziaaj wedug tego samego schematu. Poniej znajduje si kod wirusa NightShade97.
2#0AN
?@#%6%@
602/DE
2#02/AN #$#?@#%6%@
7K#%6%

)0# 0#%'
2$$##65$#?G
2$$## #$2?2
"A# #02,
7$##)#?G
62#L ?2#L 

6K0 ?

$
 
4?G
K04?G

6$#.
&#*
G4?92#L 
A)A/
$/
4*2#L 
A)A/
$D4E
?
@#%6%@%
 
4?
4*
B

6$#.7
2C 7&#*
G?9

$A)A/
$/
4*

$A)A/
$DE
?
@#%6%@%
K04?
4*
B

#
#&.$#

0#3
4* 
4?G%
2$$##7#/$
6I?

$G
.
 ##I?2#L 
G
.

I?@#%6%@.
70I?7#70)4

2#L 6L2
G#
I?2#L 
.
G#G
I?G

$
4*


$#00.#

#0'&

Cz I Wirusy

66
4*K04?G%
2$$##7#/$
6I?2#L 
G
.
 ##I?

$G
.

I?@#%6%@.
70I?7#70)4

7$#6L
)
$?G
4*

C##
##
###
4*" DDEE?4D
DEO:H9E%
2###0?
"#%2#A
4?
42
B?@";:#%6%0)PAAQ@
R#?@2#I@
6%
"#%
4*

9S=0(D#$#MMMME


##
%'
4*" DDEE?+2 DDEE?9S%
4*2#L R)?G%
2#L )?@#%6%@
4*
4*
2$$## #$2?22
#%6%I
60

Prba otworzenia zainfekowanego dokumentu powoduje pojawienie si komunikatu:

Pozwolenie na wczenie makr powoduje infekcj. Objawia si to midzy innym pojawieniem si makra AutoClose.

Rozdzia 3. Makrowirusy

67

Co jaki czas przy zamykaniu okien wirus si nam przedstawia w taki sposb:

Wirusy VBS
Microsoft i inni producenci oprogramowania biurowego poradzili sobie do szybko z wirusami DMV, blokujc lub ograniczajc dziaanie makropolece i jzyka Visual Basic for
Applications. Jak to jednak bywa w naturze, puste miejsce zostao szybko wypenione
przez jeszcze szybciej rozprzestrzeniajce si makrowirusy, wykorzystujce internet i jzyk
VBS domylny jzyk skryptowy sytemu Windows.
VBS zosta kiedy nazwany rajem dla twrcw wirusw. Jest w tym troch prawdy, ten
nastpca przestarzaych, zwizanych jeszcze z DOS-em plikw *.bat mia by wygodnym narzdziem, automatyzujcym czynnoci administracyjne systemu Windows.
Narzdzie jest faktycznie do wygodne (cho ju widz grymas skrzywienia na twarzy
wszystkich wychowanych na C lub C++), jednak jak to zwykle bywa, wygoda bardzo
rzadko idzie w parze z bezpieczestwem a twrcy tego jzyka pozostawili momentami
zbyt du swobod programistom.
Aby napisa wirusa w jzyku VBS, nie trzeba zna zbytnio systemu Windows. Nie ma
potrzeby posiadania dokadniejszej wiedzy na temat dziaania wirusw a nawet nie
trzeba koniecznie umie programowa w tym jzyku. Moe tylko trzeba wiedzie, co
znaczy
, a co .

Cz I Wirusy

68

O ile od pomysu na wirusa tradycyjnego:

Zainfekuj boot-sektor

Sprawd, czy s przejte odpowiednie przerwania, a jeli nie, to je przechwy

Zastosuj techniki stealth do zamaskowania swojej obecnoci w systemie

Doklej nastpn wersj wirusa (najlepiej zmutowan) do pliku *.exe

Uaktywnij si, jeli zaistniej odpowiednie warunki

do jego realizacji musiao upyn wiele godzin mudnego kodowania, a kady z podpunktw odpowiada kilkudziesiciu czy kilkuset instrukcjom asemblera, o tyle pomys
na wirusa VBS:

Pobierz nazw folderu systemowego Windows do zmiennej

Pobierz nazw wykonywanego skryptu do zmiennej

Przekopiuj plik do folderu systemowego

Utwrz obiekt aplikacji Outlook

Utwrz obiekt Messaging Application Programming Interface (systemu

dostpu do poczty elektronicznej przez programistw z tworzonych aplikacji)

Dla wszystkich list w ksice adresowej i dla wszystkich pozycji na licie:

utwrz now wiadomo e-mail

ustaw adresata nowej wiadomoci na nazw z ksiki adresowej

ustaw temat wiadomoci

ustaw tre wiadomoci

dodaj jako zacznik plik wirusa z folderu systemowego Windows

wylij wiadomo poprzez program Outlook

Wyczy zmienne i zakocz skrypt

nie wymaga praktycznie adnego nakadu pracy programistycznej, a kada z pozycji

schematu dziaania wirusa odpowiada prawie w stosunku 1:1 konkretnej instrukcji VBS.
Otrzymany efekt to wirus rozsyajcy swoje kopie pod wszystkie adresy e-mail znajdujce si w ksice adresowej Outlooka.
7

B
#*
0BD@ #T0.#
716UV2/1@WL0#W@)
#(#
#(#(#%#%
%@WL0#W@ #((
XXX@.L0E?L0%
60#?/70D@6#$#G#6
70@E
6?0#K6$#GD,E
6$#?0#KG#D"6#$6#$G
E
$#/$DW@Y
L0@E
?"6#$/70D@72$$##@E

$#?K
6$D@2)4@E
*?9
$#2C#/
?
$#2C#DE

Rozdzia 3. Makrowirusy

69

*$?92#/

?2#D$E
$?/4
D,E
$
#$#2DE
$60?@#
'@
$A?L0#W@/ .''##
'5%

'#.#%' @

$2%
2DW@YL0@E
$6
B
B
6?%#
6
$#?%#

0B@6T'
'#@WL0#W@ #((XXX@

Trzeba przyzna, e w konkursie na najmniej skomplikowanego i najprostszego do napisania wirusa w dowolnym jzyku programowania ten miaby najwiksze szanse na
wygran. Jest w peni funkcjonalnym, samoreplikujcym si tworem, wymaga jedynie
otwarcia przez adresata zacznika do dalszego rozprzestrzeniania si (co wicej, programy pocztowe w systemie Windows miay kilka dziur pozwalajcych na uruchomienie
kodu VBS w trakcie czytania wiadomoci e-mail nawet bez koniecznoci otwierania
zacznikw).

Typowym i chyba najbardziej popularnym przedstawicielem wirusw VBS by wirus

I Love You, dokadniej opisany w rozdziale 4.