шпионский инструментарий

НАУМОВ ЮРИЙ AKA CRAZY_SCRIPT

Спецвыпуск: Хакер, номер #070, стр. 070-012-2

[Actual Spy 2.7]

Тип: keylogger

Статус: shareware

WWW: www.actualspy.ru

Типичный пример шароварных шпионов - продукт от отечественного производителя Actual Spy. Вряд ли его можно назвать инструментом для хакера, скорее он создан для контроля тех, кто пользуется твоим компом (если конечно такие есть :)). Запускается непосредственно на компе и скрывается лишь от диспетчера задач. Process Explorer без проблем выявил опасный процесс.

Лог нажатий ведется с определением русских букв, а так же с возможностью включения/выключения отображения нажатий системных клавиш (Shift, Alt, etc). Вся эта информация шифруется и может быть отправлена как по мылу, так и по FTP или локальной сети. Правда подавляющее большинство firewall'ов блокирует эту отсылку. В общем, шаровар есть шаровар.

[CIA 1.3]

Тип: rat

Статус: freeware

WWW: www.cruel-intentionz.com

Многофункциональный и сравнительно свежий троян, написанный на VB хакером по имени Alchemist. Тулза функциональна, красива, удобна, поддерживает плагины, скрипты и даже скины :). Возможности этого инструмента очень и очень внушительны. Может, некоторые из них конечно и не входят в список необходимых, но при размере сервера около 50Kb (зависит от конфигурации) это делает управление жертвой максимально гибким и удобным. Файл сервера пакуется специальной утилитой mew by Northfox (northfox.uw.hu) и становится примерно в три раза компактнее. Таких результатов помогает добиться open source алгоритм шифрования LZMA (используется в 7-Zip). Я попытался запаковать один и тот же сервер другими утилитами (ASPack, PECom2, UPX), и не один из них не сделал это лучше. О более качественной шифровке с помощью mew читай в статье «Обман PeiD или скрываем сигнатуру MEW» на www.team-x.ru.

Если все же тебя что-то не устраивает, и есть желание добавить к своему оружию еще пару других фишек, можешь приджойнить свою личную утилиту к серверу. При запуске программы она будет копироваться и запускаться по твоему усмотрению (Build Server -> Binder). Способ этот неэффективен потому, что исчезает одно из преимуществ крысы - размер. Но все продумано - есть еще пара способов оттюнинговать CIA под себя. Первый - дать трою задачу скачивать файлы из Сети (при этом есть поддержка socks) и сохранять их куда душа пожелает. Второй способ более приятный и открывает хакеру самое главное - путь к творчеству :). Да-да, это те самые плагины, которые можно писать самому на VB. Причем в комплект троя входит несколько готовых плагинов, пара примеров, а так же небольшая документация по написанию. Если нужно, плагины уже будут закачиваться на сервер. Можно включить хоть 100 плагинов, а использовать только 5 - размер все равно останется прежним.

Без сомнения, функциональность троя внушает уважение, но тулза этой категории будет бесполезна, если она не умеет грамотно скрыться в системе. CIA умеет многое... Например, спрятаться от диспетчера задач и практически мгновенно (примерно в течение 2 секунд после запуска) зашифроваться от грозного PE. При желании в настройке сервера можно дополнительно указать список процессов, подлежащих скрытию. Это актуально при использовании сторонних утилит. А как же быть с антишпионским ПО, спросишь ты? Эта проблема решается путем убийства процессов. Просто вводим название процесса (без расширения) и добавляем в список (Build Server -> Firewall Killing). Разработчик заморочился и собрал файл со списком самого известного анти-ПО размером почти в 500 записей.