RSS | ניהול | צור קשר

נא לא להכנס בשבת
רשימת נושאים
פוסטים אחרונים

תגובות אחרונות

בס"ד

הסתרת סיומת קבצים

מאת: Sro | נושא: system hacking | תאריך: 25 ספטמבר 2010 | תגובות (28)

הצצתי באשכול הזה וגיליתי של-GIF יש תוכנה מגניבה, היא גורמת לקובץ EXE לשנות סיומת לכל סיומת שרוצים ותמונה של מה שרוצים והוא רץ כ-EXE! כמובן שמיד ביקשתי ממנו אותה בפרטי ומכיוון שאנחנו ידידים ותיקים, הוא שלח לי. מיד הרצתי את התוכנה, ו...נדהמתי. התוכנה עובדת !

אז איך זה עובד?
אנ7י ציין שהעלה את הקובץ ואז הוא גילה שיש לקובץ סיומת dxy ושהוא רץ רק על המחשב שעליו הותקנה התוכנה. בעקבות כך, נכנסתי לתיקיה כלשהי (לבעלי ויסטה ומעלה, יש ללחוץ אלט ימני להופעת התפריט, או להכנס דרך לוח הבקרה ל) תפריט כלים > אפשרויות תיקיה > סוגי קבצים, שם לחצתי על האות d וגיליתי שיש לי את הסיומת dyp. אז זה כנראה סיומות דינמיות, הגיוני. חיפשתי שם במאפיינים, לא מצאתי משהו מיוחד, הכל הועתק מהתפריט של תמונת jpeg, חוץ מזה שפקודת ההרצה הייתה %1 שהוא מכיל את שם הקובץ, בדוס כשמפעילים קובץ, אם הסיומת לא מוכרת הוא מריץ אותו כ-EXE. אם כך, אחפש את אפשרות העלמת הסיומת ישירות מול הרישום.
נכנסתי לרישום (registry), שם לקטגוריה HKEY_CLASSES_ROOT שאחראית על סיומות קבצים, משם ל-djpfile ושם גיליתי את המטמון:
שם המפתח > NeverShowExt
סוג > REG_SZ
נתונים > 1
אז את התוכנה עצמה אני מנוע מלתת, אבל עכשיו כבר תוכלו לבנות אחת כזו לבדכם :)
אני רק לא מבין, איך יוצרי התוכנה הצליחו להניח ידם על המפתח המגניב הזה לפני...


עדכון
למי שמעוניין ליצור הקשר לקבצים ללא סיומת:
http://www.windowsitpro.com/article/configuration/how-do-i-create-a-default-association-for-files-with-no-extension-.aspx
http://raebear.net/comp/icons/noext.html
שימו לב ללינק האחרון, ששם זה מתבצע באמצעות קובץ REG (ללא שפות תכנות).
כדי להריץ קובץ reg ללא צורך באישור מהמשתמש, נשתמש בקובץ BAT:

regedit /s c:\file.reg

מי שמריץ קבצי validate בעליית מערכת ההפעלה, יכול לחסוך את פעולת האישור באמצעות קובץ bat כנ"ל.





תגובות



1.
Q

יפה מאוד, אבל- אם אין לך את התוכנה, אתה לא יכול להריץ את הקובץ, לא?



2.
Sro

כדי לאפשר הרצה של הקובץ, אתה צריך לטפל ברג'יסטרי של הקרבן.
או שתשיג את התוכנה שתעשה זאת עבורך (שים לב, תצטרך להריץ אותה אצל הקרבן), או שתעשה זאת ידנית (אתה יכול פשוט להסתיר לו סיומות של exe), או שתבנה תוכנה...



3.
דודו

עבודה יפה sro ! :)
אם התוכנה בסה"כ רק משנה ערך ב-REG ... אז היא באמת מיותרת.



4.
TrYMe

אז התוכנה אפקטיבית רק למצב שהתוכנה נמצאת על מחשב הקורבן ומשם כביכול אני עושה את השינו בקובץ (כי צריך שזה יהיה לוקאלי ביחסית להגדרות הרגיסטרי שלו).
אז בקיצור,אם אני אשלח את הקובץ הזה למישהו אחר אחרי שינוי הסיומת עם התוכנה,אין לזה אפקטיביות בכלל..
נכון?



5.
Sro

בהחלט.

ציטוט: אנ7י ציין שהעלה את הקובץ ואז הוא גילה שיש לקובץ סיומת dxy ושהוא רץ רק על המחשב שעליו הותקנה התוכנה.

זה היה אקסיומה של המחקר, אחרת הייתי מנסה לנתח את הקובץ עצמו ולא את המחשב.



6.
רוני

איפה ההורדה ?



7.
Sro

ציטוט: אז את התוכנה עצמה אני מנוע מלתת, אבל עכשיו כבר תוכלו לבנות אחת כזו לבדכם :)



8.
רוני

וואלה רק עכשיו ראיתי , אבל אין לי ידע בC# אז לא משנה :\



9.
Sro

הי, אתה באמת מרחף...
מי אמר C#? אפשר בכל שפה.



10.
יוסי

אין חדש תחת השמש
מזכיר לי את ימי Type העליזים



11.
moran

מה שגם, יש גירסה לזה בלינוקס ? אממ אפשר לעשות דבר כזה:
לקחת את הקובץ reg ביחד עם הBAT שמפעיל אותו ללא אישור (ויסטה ומעלה צריכים אישור) לשים אותם באותה תיקייה ואז להכין את הקובץ ללא סיומת (המדובר) כמובן להפעיל binder עם אפשרות הרצה בהפעלה ולהעיף את הקבצים לTEMP וכרגע אחרי שחיברנו את הכל הקובץ יפעיל את הקובץ BAT ואז את התמונה (אז צריך רק קובץ אחד)
אחרי הכל אפשר גם להשתמש בארמדילו בשביל לעשות encryption //



12.
רוני

בשביל לבנות תוכנה צריך לדעת C# + PHP לא ?



13.
eshk

@רוני
בשביל לבנות תוכנה יש צורך בידע של שפה עילית כלשהיא.
לא שפת וואב כמו PHP.
אני מאמין שאפשר לבנות תוכנה כזאת עם c#



14.
PHANTOm

איזה פעולת אישור אפשר לחסוך?
עקיפת UAC?
אם התוכנה מקבלת אדמין ללא אישור זה חדשות בשבילי,
אם אתה נותן לתוכנה admin אז יש rootkits הרבה יותר מתקדמים...



15.
Sro

זה לא עוקף UAC.
אבל תחשוב שאתה מקבל קובץ עם סמל של תמונה, עם סיומת jpg.
אם הסיומת הייתה exe, היית חושב פעמיים אם להריץ את זה. למרות שזה ללא הרשאות ניהול.



16.
רוני

@Sro
עזוב אני מרחף בדברים האלה..
וחוץ מזה כתבתי לך למעלה שאני לא יודע C# ,
וד''א מזל''ט על הניהול בforums.hacking.org.il ,
יש לך מסן ?



17.
רוני

@eshk
ציינתי למעלה כבר שאין לי ידע קודם בC# ,
ואין לי זמן ללמוד את זה..



18.
רוני

@eshk
ציינתי למעלה כבר שאין לי ידע קודם בC# ,
ואין לי זמן ללמוד את זה..



19.
PHANTOm

אז זה rootkit עצמי מפוקפק, שדורש פעולה מהמשתמש, ולא עובד בלי הרשאות אדמין.
שווה.



20.
eshk

עם קצת רצון אני בטוח שתמצאו תוכנה שעושה את אותו דבר בגוגל.
ואת הקוד ברגיסטי אני חושב שאתם תצטרכו לעשות את זה.



21.
מתחיל

sro אפשר קישור להורדה?



22.
Sro

@מתחיל
ציטוט: את התוכנה עצמה אני מנוע מלתת, אבל עכשיו כבר תוכלו לבנות אחת כזו לבדכם :)
קרא את תגובה 20.



23.
שלום

Sro, לא כ"כ הבנתי את האפקטיביות של התוכנה הזאת. הרי אם הצלחתי להריץ קובץ אצל הקורבן אז נגמר הסיפור. לא צריך להמשיך מכאן לשום דבר!



24.
Sro

אתה צודק.
בסופו של דבר, מתברר שזה לא מאוד שימושי. אבל עדיין הנושא מעניין.
למרות שלמקרים מסוימים, או בצרוף עם SE זה יכול ממש לעזור.



25.
שלום

מה זה SE?



26.
שלום

מה זה SE?



27.
שלום

אה עכשיו הבנתי. Social Engineer



28.
nry123

אני לא מבין, אם אתה מצליח להריץ את התוכנה על המחשב של התוקף. זה בעצם אומר שהצלחת להריץ קובץ exe על המחשב שלו וכבר שיכנעת אותו להריץ קובץ exe. ואם הצלחת להריץ קובץ exe אז למה אתה צריך להסתיר את הexe לקובץ הבא שירוץ? אתה יכול כבר עכשיו להריץ אצלו וירוס או כל דבר מפוקפק אחר ולא צריך להכין תשתית בשביל להריץ בעתיד.



הוספת תגובה


שם (חובה)
אתר אישי
מייל
bbcode: [code][/code] [b][/b] [i][/i] [u][/u] [img][/img] [url][/url] [url=][/url] [title=][/title]