Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
Od Wydawcy...................................................................................... 9
Przedmowa do wydania drugiego ...................................................... 11
Cz I
Wirusy ...........................................................................13
Zamiast wstpu............................................................................... 15
Rozdzia 3. Makrowirusy.................................................................................... 61
Wirusy VBS .................................................................................................................... 67
Rozdzia 5. Narzdzia......................................................................................... 83
AUTOMATED TOOLS.................................................................................................. 83
DOCUMENT MACRO VIRUSES ................................................................................. 83
ENGINES........................................................................................................................ 84
ROZSYACZ ................................................................................................................. 84
Cz II
Spis treci
7
Tylne drzwi, czyli wejcia awaryjne .......................................................................... 158
amanie hase ......................................................................................................... 158
Plik .rhosts............................................................................................................... 158
Dodatkowy uytkownik .......................................................................................... 158
Dodatkowy program typu SUID ............................................................................. 158
Dodatkowa usuga w /etc/services........................................................................... 159
Dodatkowa pozycja w /etc/aliases........................................................................... 160
Zmiana kodu rdowego programu ....................................................................... 161
Biblioteki................................................................................................................. 163
Kernel...................................................................................................................... 163
Sumy kontrolne plikw ........................................................................................... 163
Crontab.................................................................................................................... 166
/dev/kmem z moliwoci zapisu i odczytu ............................................................ 167
Dodatkowy modu................................................................................................... 167
Rootkit .................................................................................................................... 168
Sami piszemy prosty modu LKM................................................................................. 168
Sniffing.......................................................................................................................... 171
SSH/OPENSSH ...................................................................................................... 175
IP-Spoofing ................................................................................................................... 175
Sami piszemy sniffera ................................................................................................... 177
Powtrka z podstawwki ........................................................................................ 177
Model odniesienia OSI/ISO .................................................................................... 177
Narzdzia ................................................................................................................ 192
Dodatki .......................................................................................277
Dodatek A Stan prawny, czyli co wolno, a czego nie wolno robi...................... 279
Dodatek B Krtka ciga z Linuksa ................................................................. 283
Symbole......................................................................................................................... 283
Atrybuty pliku ............................................................................................................... 284
Polecenia ....................................................................................................................... 284
Zmienne systemowe ...................................................................................................... 286
Pliki ............................................................................................................................... 286
Urzdzenia..................................................................................................................... 287
Rozdzia 3.
Makrowirusy
Jeli korzystasz z poczty elektronicznej lub przegldasz grupy dyskusyjne, to pewnie
zdarzyo Ci si kiedy usysze o przesyce, ktra po otwarciu powoduje skasowanie
wszystkich danych na twardym dysku lub wykonuje inne nieprzyjemne rzeczy. Wanie
takie pogoski o licie z tytuem GOODTIMES kryy masowo jaki czas temu w sieci
America On-Line. Stao si to pocztkiem dyskusji na temat: czy komputer mona zarazi wirusem przez same przeczytanie dokumentu? Po dokadnym przeanalizowaniu
wszystkich za i przeciw oraz po sprawdzeniu dziesitek przykadw wszystkie Wielkie
Autorytety doszy do wniosku, e poza sytuacjami zdegenerowanymi (ko trojaski
w postaci podmienionego sterownika ANSI, le skonfigurowany program do odczytu
poczty) zaraanie poprzez przeczytanie pliku nie jest moliwe. Po czym znana skdind
firma M. wypucia na rynek now wersj pakietu Office z rozbudowanym systemem
makropolece i jak grzyby po deszczu zaczy powstawa wirusy przenoszone w dokumentach, ktre ochrzczono wspln nazw DMV (Document Macro Virus tak nazywa si pierwszy z serii).
Spowodowao to pocztkowo panik porwnywaln prawie z pamitnym Michaem
Anioem. Jednak blisze przyjrzenie si strukturze tego typu wirusw pozwolio stwierdzi, e s to stworki prymitywne i zarwno ich napisanie, jak i obrona przed nimi s
jeszcze prostsze ni w przypadku tradycyjnych wirusw.
Sprawdzia si tu znana zasada, e im wiksz elastyczno ma mie dany system, tym
bardziej jest naraony na infekcje. Furtk do systemu dla wirusw w tym przypadku
bya moliwo modyfikowania zestawu makropolece szablonw Worda oraz fakt, e
makropolecenia o pewnych nazwach wykonuj si zawsze w okrelonych sytuacjach.
I tak:
Nazwa makra
Uruchamia si podczas:
AutoExec
AutoNew
AutoOpen
Otwierania dokumentu
AutoClose
Zamykania dokumentu
AutoExit
Cz I Wirusy
62
wzbudza podejrze.
5. Przesyasz (lub zanosisz na dyskietce) dokument do przyszej ofiary
to wirus zmienia jego typ, zapisujc go jako szablon Worda. Zachowuje jednak
rozszerzenie DOC, aby nie wzbudza podejrze.
4. Powielenie si wirusa do nowo utworzonego szablonu.
5. Przy odpowiednich warunkach (np. 13-tego w pitek) uaktywnia si powodujc:
Skasowanie dysku C.
Rozdzia 3. Makrowirusy
&%%#
/
##%#
*.!(#
'
##(
#
#"$!'(###!
#0##$#!.
#( &#!#(#0'#
##
#.&&#
&$%#
!
"0
$#
#
"1%
$#2/"3
'!
#"#%
$#$#.#456
7/7!
456
7/.##
-
#$$($#
-
8#
.
09:.9;;<
===============================================
6024
#>?@
#@
AB@C#(0
@.#>.9+
6$3.#
0%%##
*##%
?/D,E
$?,
6$3.2/*##
0)#*#(.
&&
4*F,%
G?9
4*
>D.,E?@2/@%
AB@2/&#
72C
7@.#>.9+
$?9
4*
4*
)0#(0#&
>?"#
>DEH@I2/@
#2/
#
.
$#72C
7
4*$JF9%
/$>.@K0I2/@
AB@1#*'
72C
7$#
2/
#
@.#>.9+
63
Cz I Wirusy
64
&
&
.#
)$#(&
$"
#2/&0
.$##
#*.#%0#&
0.0
'#0 '
6$3.2/&
#
"
$$#0&$ .0
2/
&#
#
$?,
4*/D9EJF,%
AB@2/
#&
#@.
#>.9+
$?9
4*
1$#0#&
0
4*$?,%
G#6L2G
?9
AB@1$#(0#&
0@.#>.
9+
4$##
2/0
72C
7
/$@K0I2/@.>
AB@1#*'
0#&
$#
2/#
@.#>.9+
4*
4*
)$###(
#72C
7
$#&D
&0
$#-#.#/0
/$G#0#
# &%0%!E
AB@#$#'#(#
D0M'M00(MME@.#>.9+
60
Rozdzia 3. Makrowirusy
65
Cz I Wirusy
66
4*K04?G%
2$$##7#/$
6I?2#L
G
.
##I?
$G
.
I?@#%6%@.
70I?7#70)4
7$#6L
)
$?G
4*
C##
##
###
4*"
DDEE?4DDEO:H9E%
2###0?
"#%2#A
4?
42
B?@";:#%6%0)PAAQ@
R#?@2#I@
6%
"#%
4*
9S=0(D#$#MMMME
##
%'
4*"
DDEE?+2
DDEE?9S%
4*2#L
R)?G%
2#L
)?@#%6%@
4*
4*
2$$##
#$2?22
#%6%I
60
Pozwolenie na wczenie makr powoduje infekcj. Objawia si to midzy innym pojawieniem si makra AutoClose.
Rozdzia 3. Makrowirusy
67
Co jaki czas przy zamykaniu okien wirus si nam przedstawia w taki sposb:
Wirusy VBS
Microsoft i inni producenci oprogramowania biurowego poradzili sobie do szybko z wirusami DMV, blokujc lub ograniczajc dziaanie makropolece i jzyka Visual Basic for
Applications. Jak to jednak bywa w naturze, puste miejsce zostao szybko wypenione
przez jeszcze szybciej rozprzestrzeniajce si makrowirusy, wykorzystujce internet i jzyk
VBS domylny jzyk skryptowy sytemu Windows.
VBS zosta kiedy nazwany rajem dla twrcw wirusw. Jest w tym troch prawdy, ten
nastpca przestarzaych, zwizanych jeszcze z DOS-em plikw *.bat mia by wygodnym narzdziem, automatyzujcym czynnoci administracyjne systemu Windows.
Narzdzie jest faktycznie do wygodne (cho ju widz grymas skrzywienia na twarzy
wszystkich wychowanych na C lub C++), jednak jak to zwykle bywa, wygoda bardzo
rzadko idzie w parze z bezpieczestwem a twrcy tego jzyka pozostawili momentami
zbyt du swobod programistom.
Aby napisa wirusa w jzyku VBS, nie trzeba zna zbytnio systemu Windows. Nie ma
potrzeby posiadania dokadniejszej wiedzy na temat dziaania wirusw a nawet nie
trzeba koniecznie umie programowa w tym jzyku. Moe tylko trzeba wiedzie, co
znaczy , a co .
Cz I Wirusy
68
do jego realizacji musiao upyn wiele godzin mudnego kodowania, a kady z podpunktw odpowiada kilkudziesiciu czy kilkuset instrukcjom asemblera, o tyle pomys
na wirusa VBS:
Pobierz nazw folderu systemowego Windows do zmiennej
Pobierz nazw wykonywanego skryptu do zmiennej
Przekopiuj plik do folderu systemowego
Utwrz obiekt aplikacji Outlook
Utwrz obiekt Messaging Application Programming Interface (systemu
Rozdzia 3. Makrowirusy
69
0B@6T'
'#@WL0#W@
#((XXX@
Trzeba przyzna, e w konkursie na najmniej skomplikowanego i najprostszego do napisania wirusa w dowolnym jzyku programowania ten miaby najwiksze szanse na
wygran. Jest w peni funkcjonalnym, samoreplikujcym si tworem, wymaga jedynie
otwarcia przez adresata zacznika do dalszego rozprzestrzeniania si (co wicej, programy pocztowe w systemie Windows miay kilka dziur pozwalajcych na uruchomienie
kodu VBS w trakcie czytania wiadomoci e-mail nawet bez koniecznoci otwierania
zacznikw).