програмиране нюанси троянски коне

Някои функции в програмните троянски коне, когато пишете всеки тип троянски програми, трябва да се вземат предвид някои общи принципи, които са общи за всички тези програми. Разбира се при задната врата има свои нюанси, в своята Key Logger, но има някои общи характеристики, които трябва да бъдат взети предвид при проектирането и при търсенето на троянски на компютъра.

Забележка: само MS Windows системи се считат тук.

Първият път, троянецът стартира потребителя, но би било глупаво да се смята, че той ще го направи всеки път. Ето основните места в системата на Windows, където системата работи програмата по време на стартиране: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices Plus същите секции за HKEY_LOCAL_MACHINE и HKEY_USERS ключове.
Плюс папката "Автомобил" (общ и на текущия потребител) - е, това е много нагло, защото това е мястото, за да го видят. Въпреки, че по-тежките случаи, когато е налице файл декомпресия в тази директория, последван от "нормално" инсталация (разбира се, след като влезете отново / изчисти), този метод става доста интересно.
Все още архаичен win.ini и system.ini, но това е за Win9x.

В този случай, името на файла може да е желателно да изберете как правдоподобно, че не е необходимо да се привлече вниманието на името или trojan.exe vzlom.dll.

Друга забележка: Ако името на процес: winlogon.exe, csrss.exe или друга "система", редовен средства Windows (което означава "Task Manager") няма да можем да завършим този процес. И ако тази програма често ще проверява присъствието им в места, стартиране и се регистрирате там (ако няма съответен запис), за обикновения потребител ще бъде достатъчно силно, за да го премахнете (въпреки че "NT процес Viewer" без проблеми спре този процес). Фактът, че Троянската файл, докато се изпълнява, не го изтриете. А автоматично стартиране ще се гарантира редовна проверка на ключове в регистъра. От гледна точка на средния потребител - един порочен кръг.

internat.exe - parmetr низ със стойност "internat.exe",
DiskProtect - parmetr низ със стойност "rundll32.exe protect.dll, EntryPoint".

Първият ред - само началото, програмата, наречена "internet.exe"
Вторият ред - пример за стартиране DLL библиотека, като се използват стандартни инструменти на Windows - програма "rundll32". Посочва името на DLL-библиотеката и "входна точка" - процедура, при toyanskoy библиотека, която има синтаксис:

нищожен обратно повикване EntryPoint (
HWND hwnd, // справят със собственика прозорец
HINSTANCE hinst, // например дръжка за DLL
LPTSTR lpCmdLine, // низ на DLL ще направи разбор
вътр nCmdShow // шоу състояние
);
Този метод може да бъде още по-добре първо благодарение на своята "тайна" за обикновения потребител.

Но това е добре познати места, има няколко по-скоро "екзотични" начини за осигуряване на самостоятелно прилагане, но някои от тях трябва да си осигури достатъчно високо ниво на привилегии.

ключ на системния регистър
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLLs

- там е написано списък на библиотеките, които се зареждат по време на зареждане. Програма - атакуващият може лесно да добавите в профила си, ако потребителят го стартирате, да разполага с достатъчно привилегии.

Можете също така да редактирате внесени масата във всеки един файл, така че тя да е започнала Троянската DLL-библиотеката всеки път, когато тя се изпълнява. Но това изисква известни познания по програмиране и има риск, че програмата вече е стартиран и пишат нови данни за файла тя просто не работи.

За щастие, по-голямата част от потребителите да влезете с акаунт с администраторски права, атакуващият, който улеснява работата.

Един последен бележка в този раздел: трябва да бъдат проверени, за да не се заразят вече заразени машина. Тъй като това може да доведе до бързо откриване на троянски или дори неизползваеми системи / индивидуални програми. Така например, присъствието в раздел регистър няколко параметри с една и съща стойност не може да предизвика подозрения.

Но как да се създаде поток в друг процес?

Добавяне на запис в HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLLs - тези библиотеки са заредени във всички процеси, които работят в системата. Във всяка една от които е DllMain функция (вж. "Редактиране на секции са насочени към файла за импортиране").
Но това е опасно достатъчно, тъй като програмни грешки могат да доведат до срив на системата.

Метод на "вграждането" на кода като поток в друг процес помага на проблема с трафика, маскиран като програма трафик на някой друг.
Всъщност, едва ли някой поставя във вашата защитна стена забрана на движението на "Explorer" или "IE". Toyanskie Някои програми имат база данни с имената на главния анти-троянски софтуер, защитна стена и опит да се предотврати или на нормалната им работа, или да се направи в списъците на "одобрени", "доверие" програми.

Основното нещо - да не привличат твърде много внимание на всички или до решителния момент - като преди нападението на корпоративния сървър за Microsoft или унищожи всички потребителски данни.