Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #60, НОЯБРЬ 2005 г.

Повесть о разведчиках

Зайцев Олег (z-oleg.com/secur)

Спецвыпуск: Хакер, номер #060, стр. 060-054-4


// Получаем контекст экрана

ScreenDC := GetDC(0);

BitBlt(Image.Canvas.Handle, 0, 0, Image.Width, Image.Height,

ScreenDC, 0, 0, SRCCOPY);

ReleaseDC(0, ScreenDC);

Image.Picture.SaveToFile('scr_'+FormatDateTime('yyyymmddhhnnss', Now)+'.bmp');

Image.Free;

end;

Данный код должен вызываться по таймеру с некоторым интервалом.

Hijacker

Буквальный перевод этого термина звучит как "налетчик", "грабитель". Типовой задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker как "утилиты, которая изменяет настройки браузера без ведома пользователя".

Чаще всего Hijacker применяется для изменения:

1.Стартовой страницы браузера (стартовая страница заменяется на адреса сайта создателей Hijacker);

2.Настройки системы поиска браузера (эти настройки хранятся в реестре; в результате этого изменения при нажатии кнопки "Поиск" открывается адрес, установленный программой Hijacker);

3.Уровней и настроек безопасности браузера;

4.Реакции браузера на ошибки (мне встречался Hijacker, который заменял стандартные странички IE, описывающие ошибки типа 404, на собственные);

5.Модификации списка адресов ("Избранное") браузера.

В чистом виде Hijacker встречается сравнительно редко, так как чаще всего по выполняемым действиям программу можно отнести к AdWare/Spyware или троянам. Собственно, Hijcker преследует те же цели, что и AdWare, - реклама и повышение рейтинга того или иного сайта. Типовым примером Hijacker может служить Trojan.Win32.StartPage.ui, имеющий несжатый размер около 4 Кб, который прописывает один из заданных в его теле URL в параметр Start Page ключа Software\Microsoft\Internet Explorer\Main, а также умеет прописываться в автозапуск в ключе Software\Microsoft\Windows\CurrentVersion\Run реестра.

Dialer

Dialer (или порнозвонилка - ненаучно, зато по существу) - это программа, предназначенная для дозвона на некий платный сервис (поэтому и страшна она для старых старичков, все еще выходящих в интернет по модему :)). По принципу работы можно выделить несколько разновидностей Dialer:

1. Автономные звонилки – программы, предназначенные для дозвона.

2. Добавляющие соединения удаленного доступа. Звонить не умеют, вместо этого создают одно (или несколько) соединений удаленного доступа.

3. Модифицирующие соединение удаленного доступа (порнозвонилки самой зловредной разновидности, так как они модифицируют существующие соединения, записывая туда новые телефонные номера).

Кроме порнозвонилок, можно выделить еще один класс программ, я называю их "порноскопами". Эти программы предназначены для соединения с неким закрытым сайтом, могут иметь встроенный прокси-сервер и прочие навороты. Как правило, такую программу тоже относят к категории Dialer или выделяют в отдельный класс PornDownloader.

RootKit

RootKit - это программа, которая внедряется в систему и производит перехват API-функций или модификацию их машинного кода. В результате RootKit может влиять на поведение системы, в частности, маскировать файлы на диске, процессы, ключи реестра. Кроме того, RootKit является API-шпионом, то есть он может отслеживать вызовы перехваченных им функций и протоколировать их.

Назад на стр. 060-054-3  Содержание  Вперед на стр. 060-054-5