Доброго времени суток, товарищ! Сегодня у нас на операционном столе интересный пациент: лучшая программа для восстановления утерянных данных - GetDataBack от компании Runtime Software. Взломать ее хотел уже давно, но никак не получалось. А тут БАЦ - и все получилось. Поэтому встречайте статью!=)
Доброго времени... Сегодня мы научимся взламывать программы, написанные в среде программирования Delphi (от Delphi 2, до Delphi 2010) с помощью IDR (Interactive Delphi Reconstructor). Взлом будем делать программы, написанной мной самим.
В моем кракмисе организована защита следующими методами:
*лицензионный файл; *логин-пароль; *наг-скрин; *закрытие программы через рандомное количество минут; *недоступен пункт меню.
Взлом удаленной системы с помощью metasploit+armitage.
Идея написания навеяна статьей, в которой описывается полезная фича метасплоита - autopwn. Это возможность автоматической выдачи эксплоита под уязвимый порт или службу на порте. В новых версиях метасплоита появилась возможность использовать автоматическую эксплуатацию уязвимостей браузеров. А для еще большего упрощения, мы будем использовать графическую оболочку Armitage. Скачать последний Metasploit Framework можно с оф.файта:
Устанавливать следует пакет full, в зависимости от архитектуры и ОСи, он содержит в себе все зависимости и необходимые библиотеки. Так же весь пакет имеется в дистрибьютиве Backtrack Linux.
Механизм, описанный ниже потребует навыков социнженерии.
Привет. Читая твитер, наткнулся на ссылку с форума malwaredomainlist. В топике рассказывалось о спаме с ссылкой на якобы новый virustotal - http://new-virustotal.tk
Стало любопытно, что там. Зайдя на указанный сайт видим визуальную копию оригинала
Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл. Сперва пришло письмо от человека, который состоит у меня в списке друзей:
Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.
Недавно мы обнаружили новый буткит — зловред, заражающий загрузочный сектор жесткого диска или,– Rookit.Win32.Fisp.a.
Для рапространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот зловред попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.
Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.
Отличия от предыдущей сборки: * переработан msi пакет, теперь он не мусорит в пуске и в списке установленных программ * добавлена функция отправки внешнего и внутреннего IP адреса на email (спасибо за идею SubW00fer) * сборка работает на windows XP/2003/Vista/7 * для windows Vista/7 добавлена возможность установки сервера с правами пользователя (на основе сплойта Windows Task Scheduler Privilege Escalation) * добавлено отключение UAC в процессе установке
Что понадобится: * пакет утилит Radmin Deployment tool * msi пакет сервера Radmin 3.4 (версия не требует активации, скрывает иконку в трее) * программа Bat to Exe Converter * архиватор WinRar
Устанавливаем Radmin Deployment tool, после установки запускаем Radmin MSI Configurator, указываем ему на скачанный msi пакет сервера Radmin 3.4, задаём настройки, добавляем пользователя и сохраняем. Я задал имя пользователя adm, пароль 123456 и сохранил пакет под именем msupdate.msi
Все мы знаем про такую программу, как Multi Password Recovery - мощный инструмент для локального восстановления паролей от разных программ, сохраненных в системе. Проблема его использования, как троянца была в этой локальности. Но есть способ, пускай, сырой и не доработанный, но есть. Нету версии этой утилиты без графического интерфейса, но есть возможность запуска с ключом /export. При запуске в таком режиме программа открывается, генерирует файл отчета в текущую папку и закрывается. А консольный клиент, в свою очередь отправляет на мыло сгенерированный файл.
