Brechen Netzwerk läuft * Windows 2000 / XP

Hacking Netzwerk läuft * Windows 2000 / XP (von Rel4nium)

LANs an das Internet in unserer Zeit verbunden ist sehr raspostraneny.Ni eine Institution ist nicht ohne
LAN und natürlich die häufigsten OS auf Drogen wirbelnden - ist Sie gewinnen 2000 / XP.YA sagen, wie zu hacken
Netzwerk-Fenster, vor allem für die kleinen Heimnetzwerk (20 Computer) wurde in einem von dem Computer ausgeführt werden ausgewählt
Clubs. Man beachte, daß I haben Zugang zu einem Computer und einem Netzwerk (20 p Stunde :) .Vzlomat Ein solches Netzwerk ist einfach, aber das Hauptziel
mir geliefert - es das System durchhalten.

[Sollbruchplan:

+ Computer Definition
- Das Vorhandensein von Antivirus (aktualisiert)
- Das Vorhandensein einer Firewall
- IP-Adresse des Computers (können Sie, wie antichat.ru, ip.xss.ru sehen)
- Subnet-Erkennung (leader.ru)
+ Training Software
- Auswahl von SRA
| Studie Packer Befund Entpacker Entpacken
| kripter zu finden (Unterschrift ist nicht auf den Antiviren-Datenbanken)
| kriptovka SRA-Datei
- Zusätzliche Techniken (kriptovka Notepad)
auf einem freien Server Staging Gefüllt +
+ Computer zu finden installiert SRA und bindet eine Shell
+ Die Nutzung von Informationsressourcen, kompromittiert Netzwerk.

So starten Sie suchen, welche Software installiert ist, das Netzwerk zu schützen. Es stellte sich heraus Anti-Virus von Kaspersky und Dr. Web zu sein, Antivirus
Die Datenbanken werden aktualisiert wurde jeden Tag und die Pflanze auf das Auto eines Troy nicht möglich.
Die Firewall nicht war), ist dies ein sehr glücklich ist, weil die unerwünschten Datenverkehr wird mit Sicherheit nicht schneiden und keine Ports werden nicht gefiltert,
Aufgabe ein wenig leichter.
Zu wissen, was auf der Maschine (Anti-Virus) und nicht auf jedem Rechner installiert ist), 3 User, von denen 2 Rechte
Administrator und der dritte ein einfacher Benutzer, ohne Rechte.
Jetzt müssen wir für die Hacker-Prozess vorzubereiten. Dazu brauchen wir: Troy (SRA), den Analysator und Entpacker kripter.
------ ------ ------
SRA - System remote administratirovaniya (RAT).
Analyzer - analysiert, wie die Packer gepackt Programmdatei (PEiD).
Entpacker - ein Programm, das Programnyj-Datei (zB QUnpack) auspackt.
Kripter - Krypto-Programm (Code) Code-Datei.
------ ------ ------
Als cya RAT X die Kontrolle übernehmen, da der Server Größe sehr klein ist. Zusammenführen der neuen Antiviren-Datenbanken, scannen
Server-Teil rata server.exe, wird bestimmt von Casper (KAV 5.0.156 mit neuen Datenbanken) .Zadacha ist es nun,
Ausblenden von Datei troya.Ya einen genaueren Blick auf den Prozess der Verschlüsselung von Troy Antivirus, als er, wo wenig betrachtet (und wenn
der Auffassung, dass das Verfahren nicht mehr gültig ist).

[Verstecken:

- Legen Sie fest, was server.exe verpackt (über PEiD) es stellt sich heraus, dass 0.89.6 UPX - 1.02 / 1,05-1,24 -> Markus & Laszlo
- Um verschlüsselten Datei zu entpacken zuerst auspacken wir ein einfaches UPX verwenden (I
1.25) .Raspakovyvaem so:
upx.exe -d server.exe
upx.exe - upx Programm
-d - Fetzen, mit denen extrahieren wir eine Datei
server.exe - die Datei zu entpacken
Der Server erfolgreich entpackt ... Wieder einmal wird der Teig und PEiD Im Moment gibt * dekomprimiert Größe war nur 17 Kilobyte
(Früher war es 9,50 kb) Test auf die Leistung des Servers. (Starten Sie den Server)
Wenn Sie keine Fehler laufen, sehen wir in der Start finden XFlash, suchen Sie im Task-Manager finden Sie xflash.exe,
Konekt an den Kunden selbst, Konekt Erfolg, damit die Datei im Arbeitszustand, ist die Extraktion erfolgreich. Jetzt löschen
es vom Start (Server), Abschluss seines Prozesses und entfernen Sie sie aus der
C: \ WINDOWS \ system32 \ Datei xflash.exe.Libo nur Konekt seinem Kunden, gehen Sie auf die Registerkarte System zu löschen, und drücken Sie
(Nach dem Drücken dieser Taste wird der Server vom Start und von system32 entfernt)
Der Versuch, verschlüsselten server.exe Datei (entpackt) Nach dem Entfernen.
- Ich hatte ein paar kripter Packer und Schutzmechanismen versucht, aber als ihre Unterschriften sind bereits in den Datenbanken von Kaspersky (und
und wenn sie nicht, dann ist das Verfahren nicht erfolgreich kriptovki) sie sind entweder bestimmt, oder einfach nur wollte nicht laufen. aber
Doch kripter wurde von deNULL.Kripter nicht sehr neu, gefunden, aber anscheinend ist es nicht in den Datenbanken, und es ist nicht von Kaspersky definiert.
natürlich Datei Rührei, wird es nicht von Kaspersky entdeckt, aber es hängt im Prozess und kann in das System32-Verzeichnis (mein Freund zu sehen schickte mir
eine ältere Version eines Trojaners, die keinen Start oder in den Prozessen eines sistem32 sehen kann), nachdem ich
1.3.5 Version der RAT, machte ich ein mit ihm die gleichen Operationen, und er wurde unsichtbar. Fast unsichtbar triple bereit.
Wer bleibt zu prüfen ist, wie diesen Trojaner zu installieren.

[Troy Rahmen:

] Schwachstellen in dh (zB sploit Ani ausnutzen), aber es wird von Kaspersky streifte, so ist diese Option abgeschaltet.
] Schwachstellen in RPC-DCOM usw. (sploitov kaht2, RPC GUI v2 - r3L4x, smallsoft LSA) Version nicht schlecht ist, kann Hacking getan werden
remote und per FTP-Download und führen Sie den Trojan-Datei.
] Einfach in den kostenlosen Service Dateityp füllen www.webfile.ru herunterladen lahmer sitzen und porträtiert und eine Datei troya.Variant laufen
Es kann auch die optimal sein, da die Verwendung von Exploits, die IP-Computer im Netzwerk, offen + ftp wissen müssen,
Pumpen-Datei .. so lange, also werde ich auf drei Punkte konzentrieren.
Jetzt sind wir bereit, in das Netzwerk zu brechen, sondern um einen Fuß in bestimmten System zu haben (denn wer die Unterschrift kennt
kripter kann bald auf die Antiviren-Datenbank zu erhalten) .Ich möchte die Methode in seinem Artikel Proteus beschrieben zu verwenden,
(Der perfekte Weg, "böswillig" Code zu verbreiten) Sie denken Bezug jede Datei, würde niemand aus dem System zu entfernen denken? Es kann
wird ein Notebook, Taschenrechner .. alles nur durch Ihre voobrazheniem.Delaem alle da
Proteus, im Download-Bereich geschrieben in Form eines Anhangs zu einem Artikel gibt es multi-threaded + bindet Abschnitt Shelah genommen veraltet
Er LordPE (ngh.void.ru/soft/d/bind.rar)

[Suche nach einem Computer im Netzwerk nach der Pause:

Finden Sie die kompromittierte Maschine in einem Netzwerk, gehen Sie zuerst auf www.leader.ru Weg durch Voiz im Netzwerk jeder Rechner-IP.
Und nach ein Editor-Datei ändert, und installieren Sie den serverseitigen Computer Troy kann durch das Scannen aller Adressen gefunden werden
das Subnetz (nehmen Sie jeden Computer IP auf dem Netzwerk und auf idёi leader.ru)

Allgemeine Informationen
Hostname
namehost.ru <Host-Name
IP
195.19. ???. ??? <IP-Adresse (die wir getestet)
Bevorzugte MX
mail.server.ru <Mail-Server

Network Information
Name
Namen <name
Adressbereich
193.18.166.32 - 193.18.166.79 <was wir interessiert sind (Bereich getroffen, um die Bulldozer)
Eigentümer
Name usw.)
Lage
Rick, 50a, REd Straße, Stadt-Code, Land
Kontaktinformationen
Name, Telefon, usw.

Domain Information
Name
name.ru <Site-Adresse
Eigentümer
RED <Name des Eigentümers
Servernamen
ns.1.ru, ns.1.ru
Status
REGISTRIERT, DELEGATED

Leiter des Whois-Modul v 4.0 (C) von Alexander K. Jeschow,
[email protected]

in meinem Fall, eine Reihe von 193.18.166.32 - Jetzt 193.18.166.79, scannen Sie nur für offene Port 4444 (auf
dieser Port gehängt bindet eine Schale in eine unscheinbare Datei gebaut)


[Hacking:
Es ist einfach, Sie den Raum gehen in mit dem lokalen Netzwerk zu brechen, setzen Sie sich für eine Stunde nach unten "Chat"), führt die heruntergeladenen Dateien auf
www.webfile.ru, kriptovat es Server Troy und die "leicht modifiziert" Notebook. Startet Trojan-Datei, die das Notebook ersetzt
neue Datei. Und mit spoykoynoy Seele dosidev der Zeit gehen Sie nach Hause, Konekt an das Netzwerk (wie ip oben zu finden)
und Sie die kompromittierte Maschine zu ihrem Vorteil.

[Der Schutz
Und gegen Hacker zu schützen, ist sehr einfach, man muss nur den Hauptweg für den Angreifer abgeschnitten. Update der Antiviren-Datenbank jeder
Tag - kein Allheilmittel, so dass die Firewall (I Agnitum Outpost Firewall beraten) - es ist alles so schwierig nuzhno.Faervol
die obige Operation, schreibt alles, was in log.Poetomu Hacker Exploits so geschieht, ist nicht möglich, dass die PKK als
dieser Port durch die Firewall gefiltert wird, laden Sie die Datei durch Fehler in also auch nicht möglich, dass die Firewall + y Stealth-Modus verwenden
(In dem der Computer, da es nicht online ist, ist es nicht ping reagieren, etc.) .Administratory LANs sicher gehört
dass es eine Firewall ist, weiß ich nicht, was sie (eine Lizenz kann nicht das Geld haben, zu verwenden, verhindert, und sie wissen nicht, was der Riss :) oder
es geschieht nur wegen der natürlichen Trägheit Administrator. Aber wenn der FIRE installiert wurde, würden die Probleme in der Zukunft gewesen
viel geringer als ohne die installierte Firewall.
Wenn wir so keine Lust zum Download direkt installieren, nastravit die Firewall (obwohl dies in 5 Minuten durchgeführt werden), das heißt,
Alternativ installieren Sie einfach die Patches (Patch) und von der PKK und andere Fehler von Windows), was denken Sie, wie viel wiegen
all diese Patches? Und wie viele von ihnen in der Menge auf die Ergebnisse zeigten xSpider Scan, was Sie sp2 (sp2 installieren müssen - set
Patches + einen Anschein von "faerola"), wenn nicht gesetzt ist, dann müssen Sie die Reihenfolge von 13 eingestellt - 14 Patches (von der Fernbedienung
Ausführen von Befehlen Überlauf) .Razmer 1 Patch mehr als 5-6 MB (FIRE wiegt 5 MB-Puffer) und installieren Sie sie länger als
5 min) => Setzt die Outpost und alles wird gut.

die Anforderungen an die Netzwerksicherheit zu erhalten:
- Anti-Virus-Update für mindestens 1 Mal pro Woche
- Installation der Firewall, Verfolgungsprotokolle und offene Potro
- Installation von Patches (wenn schwerwiegende Schwachstellen, die nicht FIRE speichern sind)
- Benutzerrechte (Administrator-Passwort ist nicht auf die Zahlen :)
- Über Benutzer beobachten oder das Überwachungsprogramm installieren, durch die wir, dass der Benutzer sehen kann, ist
Es tut auf Ihrem PC.