Наш Rootkit будет выполнять 2 функции: 1 это защищать нашу программу 2 это блокировать запуск утилиты AVZ. Для защиты программы мы перехватим функцию ZwOpenProcess из NtDLL.DLL и для блокировки AVZ функции CreateProcessA, CreateProcessW.
1) Базонезависимость (адрес загрузки кода в чужой процесс неизвестен заранее). 2) Независимость от RTL (Run Time Library). 3) Использование только библиотек загруженных в АП (адресное пространство) целевого процесса. 4) Наличие в внедряемом коде всех необходимых для него данных.
С помощью этого всего можно получить скрипт для распространения,заражения,скрытой установки,запуск трояна против воли пользователя в общем очень полезно при написании троянов!
Иногда появляется необходимость в том, что бы какая-либо программа
запускалась параллельно с другой или программа подгружала нашу DLL’ку. Это может
потребоваться в широком спектре задач: начиная от простого виря/трояна/worm’а и
заканчивая какой-нибудь прогой для слежения за трафиком, или даже можно сделать
проверку пользователя – будем спрашивать пароль пользователя, и если он правилен
- запускать прогу (при желании можно прогу можно ещё и зашифровать, а при
правильном пассе - расшифровывать). Так что вариантов применения этой фишки
много. Для реализации задуманного мы воспользуемся внедрением своего кода в
"жертву-софтину”. Этот код будет маленьким и не будет менять размер "жертвы”. Он
будет всего лишь подгружать нашу дллку. При запуске модифицированной программы
управление сначала получит наш код, а потом управление получит (или не получит)
исходная программа (возможно сильно модифицированная :)).
В данной статье рассмотрим простейший пример keylogger (клавиатурный шпион). Keylogger (кейлоггер) — (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера (http://ru.wikipedia.org/wiki/Keylogger).
Чем отличается программист от другого типа человека разумного? Я думаю, постоянным желанием подшутить над братом меньшим - Человеком нормальным, благо способов для этого - великое множество. В реестре Windows неограниченное количество мест для автоматического запуска программ - сейчас нас интересует расширение оболочки - контекстное меню Эксплорера. Займемся созданием +СОМ-сервера который будет запускаться при вызове контекстного меню. Сразу оговорюсь - на компе потенциального испытуемого должна стоять звуковая карта и, желательно, антивирус Касперского, чтобы испытуемому был хорошо известен вопль AVP при обнаружении вируса.
В конце приважу полный исходный текст моей программы на данный момент. Запустите Делфи, и создайте новы проект. Удалите весть текст программы и впишите туда этот.
