книги хакеры / журнал хакер / 071_Optimized

C/C++

Николай GorluM (gorlum@real.xakep.ru)

Tак уж вышло, что тотальную слежку за пользователем реализовать очень сложно: потребуются тонны кода, полная интеграция с операционной системой и куча времени. Следствие - геморрой у кодера, а всем прекрасно известно, что

кодеры очень берегут свою пятую точку. Поэтому было решено следить не за всей системой целиком, а только за одной программой. Самой популярной программой, которая есть на каждом компьютере и которой пользуется каждый юзер, выходя с ее помощью на бескрайние просторы Интернета,

-за браузером.

Àесли судить по статистике, большинство юзеров пользуется каким браузером? Правильно, Internet Explorer! Даже несмотря на огромное число багов и постоянно растущую популярность замечательного браузера Opera, пользователь выбирает именно эту софтину. В принципе, понятно, почему, - ни- чего не надо устанавливать, относительно быстро работает, да и интерфейс его прост как подошва кирзового сапога.

Microsoft, как без шуток дальновидная компания, догадалась, что программерам захочется контролировать ее детище, а потому заранее внедрила в свой браузер замечательную технологию BHO, которая

предоставляет spyware-кодеру поистине неограниченные возможности.

ЧТО ТАКОЕ BHO?

BHO, или Browser Object Helper - это не что иное, как plug-in для Internet Explorer. А именно маленькая программка, выполненная в виде DLL, регистрирующаяся в системе и загружающаяся при каждом запуске браузера. Эта DLL имеет возможность перехватывать любые системные события обозревателя, следить за действиями пользователя и вообще вершить правый суд. Ты уже наверняка не раз встре- чался с подобными программками. Например, при установке дико популярной в свое время качалки GetRight вместе с ней в систему прокрадывался BHO, который собирал данные о посещаемых пользователем ресурсах и отправлял производителю. А лично мне как-то раз попался троян, который селился в Ослике и перехватывал все мои пароли, в том числе от платежной системы e-gold. Я долго не мог от него избавиться, не знал, где он прописался, - в процесс-листе нет, в сервисах нет. Спасла меня только софтина BHOхантер, которая ловко убила эту пакость на моей системе.

СМОТРИМ ВНУТРЬ

Технология BHO реализуется с помощью модели компонентного объекта, больше изве-

стной как COM. DLL нашего хелпера - это внутризадачный COM-сервер, работающий в контексте процесса, подгрузившего его (в нашем случае - в контексте браузера) и получающий полный доступ к объектной модели программы. Посредством интерфейса IObjectWithSite мы перехватываем указатель на интерфейс IWebBrowser2, который является не чем иным, как родителем класса, отвечающего за работу всего браузера. Записываем его в одну из переменных-членов объекта, после чего можем получить доступ к любому объекту в браузере - нужно только захотеть. В коде это выглядит куда понятнее, чем на словах.

ЧТО НАМ СТОИТ BHO ПОСТРОИТЬ?

Загружай студию, будем писать собственный Browser Object Helper. В менюшке вместо обычного win32 application выбирай ATL COM, а в визарде оставь все как было, чтобы получить дефолтовый ATL COM-сервер. Смело дави мышкой в меню на «Add ATL Object» и добавляй «Internet Explorer Object». Думаешь, все? Больше ничего делать не надо? Ошибаешься. Все только начинается, и можно разминать пальцы для кодинга.

Залезай в хидер, создавшийся после добавления объекта, и найди там описание класса нашего BHO. У меня оно начинается так:

ФУНКЦИИ

ИНИЦИАЛИЗАЦИИ

HRESULT CBHO::SetSite(IUnknown *pUnkSite)

{

m_spWebBrowser2 = pUnkSite; if (m_spWebBrowser2 == NULL) return E_INVALIDARG; m_spCPC = m_spWebBrowser2; if(m_spCPC == NULL)

return E_POINTER; return Connect();

}

HRESULT CBHO::Connect(void)

{

HRESULT hr; CComPtr<IConnectionPoint> spCP;

hr = m_spCPC->FindConnectionPoint(DIID_DWebBrowserEvents2, &spCP);

if (FAILED(hr)) return hr; hr = spCP-

>Advise(reinterpret_cast<IDispatch*>(this),&m_dwCookie); return hr;

}

class ATL_NO_VTABLE CBHO:

public CComObjectRootEx<CComSingleThreadModel>, public CComCoClass<CBHO, &CLSID_BHO>,

public IObjectWithSiteImpl<CBHO>,

public IDispatchImpl<IBHO, &IID_IBHO, &LIBID_IEPLUGINLib>

В конец описания этого класса тебе нужно будет добавить несколько хитрых деклараций функций и переменных:

public:

STDMETHOD(SetSite)(IUnknown *pUnkSite); STDMETHOD(Invoke)(DISPID, REFIID, LCID, WORD, DISPPARAMS*, VARIANT*, EXCEPINFO*, UINT*);

private:

STDMETHOD(Connect)(void); CComQIPtr<IWebBrowser2, &IID_IWebBrowser2> m_spWebBrowser2; CComQIPtr<IConnectionPointContainer, &IID_IConnectionPointContainer> m_spCPC; DWORD m_dwCookie;

Посредством функций SetSite и Connect мы инициализируем наш Browser Helper Object и перехватываем указатель на IWebBrowser2, при взаимодействии с которым и будет реализовываться любой контроль или слежка за пользователем. Указатель записываем в переменную-член m_spWebBrowser2 (на исходный код этой и других функций ты можешь посмотреть на диске или на сайте www.xakep.ru).

Функция же Invoke понадобится нам для реагирования на события, возникающие в процессе работы браузера. Событий масса: от завершения скачивания сайта до начала даунлоада какого-нибудь файла. Все ID этих событий, активно использующихся в реализации этой функции, хранятся в хидере <ExDispID.h>, который, кстати, нужно будет добавить в программу, а само значение ID текущего события содержится в аргументе dispidMember.

Итак, все необходимое у нас есть, осталось только придумать цель нашего тотального контроля. После длительных поисков в Яндексе меня посетила безумно могучая

идея - а что если научить наш BHO при заходе на www.ya.ru громко ругаться MessageBox’ом и отправлять браузер на www.google.com? Не проблема.

Для этого в функции Invoke надо обрабатывать событие DISPID_DOCUMENTCOMPLETE, возникающее при очередной загрузке документа, и сравнивать URL текущей паги с заданным. Получение URL’а - наше первое использование объектной модели браузера. Осуществляется оно с помощью метода get_LocationURL вот так:

m_spWebBrowser2->get_LocationURL(&wstr);

где wstr - это указатель на массив двухбайтовых символов, в который наш метод занесет свое значение. От нас потребуется только проверить с помощью функции strcmpW (юникод-версия), Яндекс ли это. Если да, то ругаемся и топаем на google с помощью метода Navigate - уже второго нашего использования объектной модели браузера. У этого метода куча параметров, заполнять которые нам вовсе не нужно, достаточно в первый поместить указатель на uni- code-строку, содержащую урл гугла:

m_spWebBrowser2- >Navigate(TEXT("http://www.google.com"),0,0,0,0);

Просто, не правда ли? Естественно, что полученный url можно записывать куда-ни- будь в файл, используя или winapi-функции, или услуги MFC, но об этом ты уже наверняка читал в других статьях этой рубрики. Если не додумаешься до реализации сам, прочти в Спеце «Атака на Windows», там это довольно подробно описано, а статьи про работу с файлами на API есть на том же xakep.ru.

РЕГИСТРАЦИЯ В СИСТЕМЕ

На этом процесс создания BHO не останавливается, поскольку полученный объект нам еще нужно как-то зарегистрировать в системе. Если всмотреться с помощью regmon в работу чужого плагина для осла, можно увидеть, что он создает в реестре в ключе

HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ новую пустую папку с именем CLSID объекта, а в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Classes создает такую же, но уже с описанием DLL и названием BHO.

Во время создания нашего проекта в студии также появился файл с расширением rgs. Этот файл будет добавлен в ресурсы, он описывает действия, которые нужно совершить программе regsvr32 для того, чтобы зарегистрироваться в системе. Чтобы наш BHO работал, надо немного этот файлик подкорректировать. Первое, что сделаем, - поменяем CLSID ключа TypeLib на те же клю- чи, что в файле выше. Второе - добавим в файл еще один ключ, который студия не предусмотрела и без которого наш BHO не будет подгружаться к IE:

HKLM {SOFTWARE {Microsoft {Windows {CurrentVersion {Explorer

ПАРАЗИТ ДЛЯ IE

{'Browser Helper Objects'

{ForceRemove {94C5A8E6-0E10-4C84-B0ED-44343034BBDA} = s 'YA2GOOGLE'

}}}}}}}

Теперь, после компиляции, стоит только запустить regsvr32 с ключами /s /c и путем к нашей DLL, как сразу начнет действовать Browser Helper Object.

БОЛЬШЕ ФУНКЦИЙ - БОЛЬШЕ ВКУСА!

Действительно, одним получением урла сыт не будешь. Давай научимся делать еще чтонибудь! Если в студии в нашем сорце набрать m_spWebBrowser2->, появится нехилый списочек методов этого класса, и они все представляют некоторый интерес.

Допустим, мы хотим получить доступ к коду странички и как-то его подкорректировать или взять оттуда какое-либо значение. Это реализуется с помощью метода get_Document. Параметром ему нужно передать указатель на объект интерфейса IDispatch. Сделать это очень легко:

CComPtr<IDispatch> pDisp; m_spWebBrowser2->get_Document(&pDisp);

Далее мы должны сказать, что этот указа-

тель вовсе не на диспатч, а на IHTMLDocument2. Для этого мы просто создадим еще один новый указатель, уже на то, что нам надо, и присвоим ему значение старого:

CComQIPtr<IHTMLDocument2, &IID_IHTMLDocument2> spHTML; spHTML = pDisp;

После этого уже можем приступать к нормальной работе с объектной моделью HTMLдокумента. Мы хотели посмотреть код странички - не проблема. Просто нужно воспользоваться методом spHTML->get_body, затем создать по вышеописанному принципу указатель на IHTMLElement и выполнить метод get_innerHTML, возвращающий указатель на код странички.

Если мы хотим перехватывать ввод пользователя (особенно это актуально для хакера), мы должны работать с методом get_onkeypress. Просто играясь с методами этих классов, можно многого добиться в программе. Вот она - прелесть ATL и COM.

RETURN 0;

Основываясь на этом материале и мануале MSDN, ты без проблем сможешь написать очень позитивный spyware. Главное - не останавливаться, если вдруг что-то не получа- ется. Просто пиши мне, и мы вместе подумаем над твоей проблемой, ведь не просто же так говорят: «Одна голова - хорошо, а две - лучше».

На этой радостной нотке я закругляюсь. Удачного компилирования. z

На диске ты найдешь полный сорец программы, рассмотренной в статье. А также программу для защиты.

Технология BHO используется многими троянмейкерами для слежения за действиями своей жертвы в браузере.

Если тебе захотелось побольше инфы по написанию Browser Helper Object, то самая тебе дорога на MSDN, а если быть точным, то на http://msdn.micros oft.com/library/defa ult.asp?url=/library/ enus/dnwebgen/html/ bho.asp

JAVASCRIPT

КОДИНГ

ЦЕЛЬ - БОЙЦОВСКИЙ КЛУБ

«Á ашня спит... холодно и равнодушно... спит... и горе тому, кто потревожит ее вековой сон...

Но разве может что-то остановить тягу человеческую к богатству и славе? Слухи о несметных сокровищах, спрятанных в Башне,

испокон веков будоражили умы и распаляли воображение отчаянных смельчаков...» (с) раздел Помощи игры Бойцовский клуб.

Ты прочитал заголовок, и твои глаза возбужденно заблестели? Уже потираешь ручки, ожидая подробной инструкции по взлому ка- кого-нибудь персонажа Бойцовского клуба, артника, мага? Нет, батенька, речь пойдет не об этом. Ломать игру или портить удовольствие от нее другим совершенно неспортивно, а вот пользоваться в игре всеми предоставленными (пусть и немного скрытыми) возможностями очень даже хорошо.

В этой статье я открою маленький секрет получения больших денег в Бойцовском клубе (БК). Он не противоречит законам БК и потому не наказуем. Нам понадобится Notepad, Internet Explorer и прямые руки.

С их помощью мы напишем системное расширение для игры Бойцовский клуб.

БОЙЦОВСКИЙ КОДИНГ

К сожалению, из контекстного меню можно запускать только скрипты JavaScript и VBScript. Наш скрипт имеет доступ к объекту window (окно приложения Internet Explorer, в котором выполняется скрипт) через свойство menuArguments объекта external. Т.е. теоретически наша программа, написанная на языке яваскрипт, может получить все ссылки из окна Бойцовского клуба с помощью вот такой команды:

var links = external.menuArguments.document.links;

Однако просто получить ссылки мало, надо еще и отфильтровать их от всяческого мусора - линков на изображения, счетчики и прочий бред. Первое, что приходит в голову, - это пробежаться по всем линкам в цикле, найти ссылку на подбор вещи и нажать ее. Напрягать мышцы руки для подбора нам не придется, за нас будет работать техника - браузер сам пошлет серверу Бойцовского клуба HTTPзапрос. Отправлять HTTP-запросы с помощью JavaScript не просто, а очень просто:

Отправлялка HTTP запросов

var xmlHTTP;

xmlHTTP = new ActiveXObject("microsoft.xmlhttp"); xmlHTTP.open("GET", links(i).href, false); // links(i).href - это i-я ссылка из верхнего фрейма игры.

xmlHTTP.Send();

\

Осталось узнать, как же выглядят столь нужные нам линки на предметы. Правой кнопкой мышки щелкаем в верхнюю часть (которая над чатом) Бойцовского клуба и выбираем «Просмотр HTML-кода».

Здесь мы видим, что все ссылки на вещи в Башне имеют вид dtower.pl?get="название вещи", т.е. строка фильтрации может выглядеть, например, так: cheklink=links(i).href.indexOf("r.pl?get="); - и

весь скрипт перепишется следующим образом:

Код собиралки вещей в Башне смерти

var cheklink = 0; //если ссылка нужная, то этот параметр больше нуля, инициализация переменной

var links = external.menuArguments.document.links; // выцепляем все ссылки из верхнего фрейма БК

for (i = 0; i < links.length; i++){ // по всем ссылкам из окна БК cheklink=links(i).href.indexOf("r.pl?get="); //проверяем на полезность

if (cheklink > 0) { //если ссылка на вещь в БК var xmlHTTP;

xmlHTTP = new ActiveXObject("microsoft.xmlhttp"); xmlHTTP.open("GET", links(i).href, false); // то мы ее забираем xmlHTTP.Send();

cheklink = 0; //заново обнуляем переменную

}

}

Нужная нам ссылка

Чтобы скрипт заработал, сохраняй его как C:\Xakep\xakep.htm. Теперь, зайдя в Башню смерти, ты можешь собрать все вещи в комнате, просто кликнув правой кнопкой мышки в верхнем фрейме (где лежат вещи) и выбрав «Журнал Хакер». Все вещи в комнате будут сразу положены тебе в рюкзак. После этого надо зайти в инвентарь, надеть на себя все что можно и перейти в следующую комнату.

БЫСТРОЕОТКРЫТИЕИНВЕНТАРЯ

По стандарту инвентарь открывается в верхнем фрейме БК, поэтому бегать по Башне или нападать на вошедшего в комнату противника во время примеривания вещей не удастся. Для экономии времени целесообразно в момент перехода из комнаты в комнату открыть инвентарь в новом окне, чтобы быстро одеться и сохранить такие полезные качества, как возможность убежать и напасть :). И мы, как настоящие компьютерные злодеи, будем делать это при помощи контекстного меню. Итак, нам нужна ссылка на инвентарь. Добыть ее очень просто. Заходим в БК: Инвентарь -> Обмундирование -> Свойства.

Обнаруживаем ссылку вида http://твой_город_в_БК.combats.ru/main.pl?edit=1&случайное_число.

Осталось сделать новый раздел в реестре (назовем его «Инвентарь») и написать программу на JavaScript (предлагаю сохранить ее как C:\Xakep\inventar.htm), открывающую нужную нам ссылку в новом окне. Как и куда добавлять этот раздел, смотри выше по тексту статьи. Код программы тривиален и приведен на плашке :). Конечно же, его можно переписать так, чтобы избавиться от заранее заданной переменной hosting, используя свойство menuArguments объекта external, но это я оставлю тебе как домашнее задание.

Код программы, открывающей новое окно с инвентарем

<script language="javascript">

var hosting = "http://paladinscity"; //замени этот параметр на название твоего города в БК

var sURL = (hosting + ".combats.ru/main.pl?edit=1&" + Math.random()); // собираем ссылку из кусочков

function openWin() {

window.open(sURL, "_blank","fullscreen = yes"); // открываем инвентарь в новом окне на полный экран

}

openWin();

</script>

По личному опыту скажу, что обычно до первого нападения игрок успевает пройти 3-4 комнаты и собрать все вещи, лежащие в них. Если ты со своими приятелями организуешь команду, то благодаря высокой скорости собирания вещей вы будете всегда побеждать своих менее расторопных противников. Это гарантирует постоянные денежные вливания в твои скудные запасы кредитов, поскольку турниры стартуют каждые восемь часов.

«Комната за комнатой... шаг за шагом...

шаг к победе или к смерти... смелые воиныодиночки, хитрые убийцы, добивающие раненых, рыцари, на время сплотившиеся в команды, чтобы вместе пройти все ужасы Башни смерти, а потом убить друг друга... Кто из них пройдет весь путь? Кому достанется награда Башни? Может, ТЕБЕ?» z

PHP

Никита Кислицин (nikitoz@real.xakep.ru)

Ïрежде всего тебе нужно понять, что вообще нужно и за- чем именно. Смотри. Например, ты разработал классный сайт, сделал отличный движок на php. Адреса разделов сайта определяются, напри-

мер, так: /index.php?cid=12. Все прекрасно и замечательно. Но есть несколько проблем. Во-первых, редкий пользователь сможет запомнить такой адрес. Ему придется каждый раз заходить на главную страницу и переходить по ссылке. Согласись, было бы удобнее, если бы разделы имели более адекватные адреса типа /news, /documents

и т.д. Это позволит пользователям легко запомнить урлы нужных страниц, кроме того, они смогут легко выбрать нужную страницу из history. Также при использовании подобной адресации ты лишаешь пользователей ненужной информации о внутреннем устройстве твоего проекта. В самом деле, им совершенно ни к чему знать об именах ключевых сценариев, параметров и вообще о языке, на котором реализованы программы. Все это добавит солидности и безопасности твоему проекту.

крупных компаний, которые, совершенно ясно, используют дорогие динамические движки, то увидишь, что у абсолютного большинства сайтов адреса документов имеют интуитивно ясный вид. Это важное требование, которые предъявляют крутые дяденьки из контор, работающих над usability пользовательских интерфейсов. Следует понимать, что эти дяденьки зарабатывают очень хорошие деньги, и если ты хочешь стать действительно профессиональным web-разработчиком, то должен уметь создавать сайтовые движки с интуитивной адресацией документов. Думаю, я убедил тебя в необходимости прочесть этот материал, тем более что он научит тебя некоторым новым приемам, которые ты легко сможешь применить и в повседневной жизни web-программиста.

СОЗДАЕМ ВИРТУАЛЬНЫЕ ФАЙЛЫ

Чтобы понять, как работает этот прием, нужно проследить работу браузера и веб-серве- ра. После того как браузер отослал запрос, сервер ищет нужный документ. Если документ не находится, сервак возвращает код ошибки 404 и в зависимости от настроек выдает вместо искомого файла содержимое

специальной страницы, адрес которой определяется директивой в конфигурационных файлах web-сервера. По задумке разработ- чиков эта страница должна сообщить пользователю грустную весть о том, что требуемого документа не найдено. Но что мешает нам использовать в качестве такой страницы специальный скрипт, который выведет в заголовке страницы код 200 ОК и некоторую html-страницу? Снаружи пользователь не заметит ничего подозрительного - все как обычно: ввел адрес, нажал enter и получил без всяких задержек содержимое документа. Ну что ж, думаю, тут все понятно. А если непонятно, разберешься по дороге. Создай в корне твоего сайта файл .htaccess со следующим содержимым:

ErrorDocument 404 content.php

ErrorDocument 403 content.php

ErrorDocument 401 content.php

Это означает, что при возникновении любой из этих трех ошибок пользователю будет показан файл content.php. Думаю, понятно, что как раз этот сценарий и будет целиком и полностью управлять работой сайта, в зависимости от значения переменной $REQUEST_URI. Напомню, этот идентифика-

ЧЛЕНОРАЗДЕЛЬНАЯ АДРЕСАЦИЯ

Чтобы было понятней, я подробно прокомментирую структуру этой таблицы. Id - это уникальный идентификатор каждой ячейки, число. Parent_id - это идентификатор ячейки, которая расположена на уровень ниже текущей. Name - это название раздела, которое рисуется в меню. Address - это слово, используемое для адресации этого раздела меню. Terminal - это флаг, показывающий, является ли конечным текущий элемент. В случае если установлен флаг -1, считается, что элемент не является листом дерева, а если 1, то напротив, перед нами терминальный элемент меню. Если ты чуть- чуть знаком с основами информатики, то легко заметишь, что эта несложная таблица является фактически линеаризованным деревом. В самом деле, этой таблицей можно легко задать дерево меню любой глубины. Но мы для определенности будем считать, что его глубина не может превышать 2. Возможно, у тебя появился резонный вопрос: если это дерево, то можно ли реализовать все классические алгоритмы его обхода? Хех, ответ положительный! Если присмотреться, это совсем нетрудно и абсолютно так же реализуется рекурсивной процедурой. Как видишь, для создания сложных меню совсем необязательно использовать кучу таблиц, можно обойтись одной-единствен- ной, и это позволит куда эффективнее работать с меню. Но об использовании деревьев в web-программировании мы с тобой еще поговорим, а сейчас настало время написать функцию, которая будет парсить двухуровневые адреса элементов меню и выводить идентификаторы найденных разделов. Вот примерный код этой процедуры:

Пример обработки двухуровневых адресов

$uri=ereg_replace("^/", "", $HTTP_SERVER_VARS["REQUEST_URI"]); /* Убираем слэш из начала строки */

$uri = ereg_replace("/$", "", $uri); /* То же самое – из конца */

$dir = explode("/", $url); /* Режем строку на директории по слэшу */

if (sizeof($dir)==2) { /* Если запрошена рубрика второго уровня */

$que = "SELECT second.* FROM NAVIGATION second, NAVIGATION first where second.parent_id=first.id AND second.address='$dir[1]' AND first.address='$dir[0]'"; /* Составляем запрос, который объединяет нашу таблицу саму с собой. Он вернет такой элемент, который имеет указанный адрес, причем его отец тоже обладает указанными свой-

ствами. Обрати внимание: этот запрос можно было разбить на несколько раздельных, но так получилось эффектнее и красивее всего. */

$res = mysql_query($que); if (mysql_error()) {

die ("Произошла ошибка с сервером MySQL: <i>". mysql_error()."</i>");

} else {

/* Тут доступен найденный пункт меню */

}

} elseif (!ereg("/", $uri)) { /* Если в середине строки нет слэша, запрашивается раздел первого уровня. Тут все просто и линейно. */

$que = "SELECT * FROM NAVIGATION WHERE address='$uri'";

}