БИБЛИЯ ХАКЕРА

Бесплатный Internet

Все изложенное ниже предназначено только для ознакомления с возможной опасностью и ни в коем случае не должно быть использовано, если это причинит ущерб каким-либо физическим или юридическим ли­цам. Это может повлечь за собой административную или уголовную от­ветственность в соответствии с действующим законодательством.

Во все времена были люди, которые старались что-либо от

Других. Но были и другие: те, которые с этим были не согласны и всячес­ки старались тайны первых узнать. И вот придумали первые вход в Internet с паролем, ибо денег сие удовольствие стоит, а вторые сразу начали этот пароль отыскивать всеми возможными и невозможными способами.

Когда-то давно пароль пользователь мог выбирать сам. С одной сто­роны, это было очень удобно: если сам слово заветное это придумал, то уж не забудешь никогда (если только пребывал в этот момент в здравом уме и твердой памяти, но это уже к делу не относится). Пароль же выби­рался не просто так: для указанного индивидуума он, чаще всего, нес оп­ределенную смысловую нагрузку. И было в этом слабое место данного метода. Теперь только в дешевых фильмах можно увидеть некоего граж­данина, копающегося в мусорной корзине своей жертвы в надежде узнать имена, фамилии, даты рождения всех родственников таковой вплоть до десятого колена, а также клички всех их собак, кошек, крыс, хомяков и тараканов. Акакже еще: что тебе, например, первым приходит на ум? Ко­нечно: имя твоей (а чаще не твоей) подружки или кличка замученного до­машнего животного, ну или слово какое непотребное. Наиболее продви­нутые хакеры начали составлять специальные словари с учетом наиболее часто встречающихся в паролях слов.

Все это, в конце концов, положило конец первой стадии и началась вторая: теперь компьютер генерируетнекоторую псевдослучайную после­довательность букв, цифр и разных знаков препинания. Хорощо-то как стало: «Ltal3?Lp» — попробуй подбери! Но тут возникла другая проблема: а попробуй-ка запомни! Пользователи наши начали их на бумажках запи­сывать, ну и периодически... правильно: бумажки терялись, похищались, попадали в мусорную корзину и т. д. — от чего ушли, к тому и пришли! И тогда какая-то умная голова догадалась, что пароль можно хранить не в голове, а прямо на жестком диске. В DialUp-окне галочку поставить и за­помнить пароль. У компьютера мозги кремниевые — ему все равно, что запоминать. Ну, а раз запомнили, то, само собой, и записать надо. Ну, а раз записать, то... правильно: отвернулся наш пользователь, а тут толпа голодных до Internet хакеров налетела — и пароль подсмотрела... И тогда пароли стали шифровать.

Интимные подробности

Где же хранятся пароли в Windows? Известно где, зашифрованные пароли в Windows хранятся в основном каталоге, в файлах с расширени­ем PWL. С учетом того, что не только «у нас здесь», но и «у них там» бы­вают персональные компьютеры коллективного пользования, да и сети локальные местами встречаются (правда, редко), на каждого пользовате­ля заводится свой PWL. Кстати, название файла соответствует логину данного юзверя. Эти файлы, в принципе, зашифрованы достаточно при­лично. Если кому-либо интересно, то, взяв в руки какой-нибудь дизас­семблер (HIEW, QVIEW), можно посмотреть процедуру шифрования. Она находится в файле MSPWL32.DLL. Там все очень накручено. Имеет­ся счетчик (назовем его N) от нуля до «сколько надо». Имеются три таб­лицы. В соответствии со счетчиком N берется байт из первой таблицы (X). По смещению X+N, урезанному до 8 бит, из второй таблицы берется дру­гой байт (Y). Затем по адресу X+Y, опять же урезанному до 8 бит, из тре­тьей таблицы берется третий байт (Z). После столь хитрых манипуляций к о м а нд о й X О R с байтом Z шифруется байт информации, после чего счет­чик инкрементируется, и все повторяется сначала (как тебе, а?). Как фор­мируются сами таблицы? Не знаю (мне было лень выяснять). Расшифро­вывается все это аналогично (той же процедурой), ибо команда XOR обратима. То, какие Винды у тебя стоят — значения не меняет. Не знаю уж, в чьих нездоровых мозгах могла появиться мысль использовать для шифрования команду хог byte ptr feax+ebp],cl. Может, запутать хотели? Но команда уникальна, такие команды в обычных программах еще поис­кать надо. Стало быть, ищем соответствующую ей комбинацию 30h, OCh, 28h — и все дела. Дальше — просто. Берем MSPWL32.DLL и, со смеще­ния 51 lh (или там, где найдем), ставим 90h, 90h — команды NOP (пу­стая операция). И все, команда не выполняется! Что при этом произой­дет? Да ничего! Ничего страшного и даже не очень страшного. И даже никто ничего не заметит!!! Все останется как всегда, с одним лишь исклю­чением: все логины/пароли будут видны, так сказать, невооруженным гла­зом!

Тут, правда, есть два неприятных момента. Во-первых, во время ра­боты Windows тебе не удастся подобным образом надругаться над их «свя­тая святых»: писать в этот файл нельзя. Значит, придется перегружаться в режиме эмуляции MS-DOS, а это липшее время, которого может не быть. Во-вторых, а это еще хуже, тебе надо будет стереть все иначе да­

Же в Windows не пустят: а вот тут у законных пользователей могут возник­нуть лишние вопросы и подозрения.

Я все так и сделал, скажешь ты, а вот тот юзер в Windows с паролем входил, а мне теперь не войти — пароля-то я не знаю. Что делать? Не бе­да! Есть способ проще! Уносим только USER. DAT! А теперь: Windows — М. D.! Как тебе должно быть известно, кроме интерактивного доступа в Internet, провайдеры еще и e-mail впаривают суповым набором. Так вот, чтобы залезть в твой почтовый ящик, в тот, что у тебя в подъезде, нужен ключ (или лом). Чтобы залезть в твой. е-mail, нужен пароль (или виртуаль­ный лом). И тут я скажу: все поголовно провайдеры в славном городе Москве — М. D.! Пароль к РОРЗ-ящикувсегдатотже, что и DialUp! Ну и что? Авотчто. Пароль e-mail находится не в PWL'e, а в USER. DAT, и за­шифрован он не так сильно, вернее, почти совсем не зашифрован! А это как??? Да вот так! Метод «шифрования» напоминает элементарное UUE - кодирование, иначе говоря, из трех байтов делают четыре или из 8 битов — 10. Весь исходный пароль разбивается на части по три байта. В резуль­тирующей строке на один символ отводится 10 битов. Теперь к каждому байту исходной строки прибавляется 30h, если сумма больше, чем 7 Ah, то он становится равен 30h, а к паре 9 и 10 битов добавляется единица. Од­нако есть исключения. Если общая длина строки пароля не кратна трем, то она дополняется байтами 3Dh. Судя по всему, это ODh (конец строки) + 30h. В конце строки ODh, OAh: стандартное завершение. На мой взгляд, подобрать пароль вручную проще, чем написать соответствующую про­грамму: не каждый же день ты эти пароли подбираешь! Где находится па­роль — написано ниже, оттуда его и берем. А принцип прост: запускаем Internet Mail, заходим в Сообщение & reg; Параметры Ф Сервер. Запуска­ем REGEDIT, переходим в HKEY_CURRENT_USER/Software/Micro - soft/InternetMail and News/MaiI/РОРЗ/Твой сервер: смотрим Password. Удаляем пароль в Internet Mail. Первый подбираемый символ влияет на первый и второй байты, второй — на второй и третий, третий — на третий и четвертый. Теперь подбираем символ так, чтобы первый байт совпал с оригиналом, а второй или совпал, или был самый большой, но меньше оригинала. Аналогично для второго и третьего символов. С подбором тре­тьего символа все четыре байта должны совпасть! Если нет — извини, по sex for you. Естественно, после каждой замены символа жми «Применить». Результат контролируем REGEDIT'oM, переходя вверх/вниз для обновле­ния информации. Когда первые три символа подобраны, возвращаемся к (*) для следующих трех и т. д. до победного конца. Разумеется, байт(ы) 3Dh подбирать не нужно! После некоторой тренировки на все это уходит минут 15.

Где же это счастье хранится? кроме логина и пароля еще

Многое нужно знать, а откуда, не звонить же провайдеру? Не надо нико­му звонить! Все в нем, в USER. DAT.

HKEY_CURRENT_USER/RemoteAccess/Addresses: и мы имеем спи­сок подключений. Да, но там ничего не видно, цифры какие-то... А ты че­го хотел, дружок! Выбираем байт, которого больше всего, и дешифруем им все остальные (обычный XOR). В результате в куче всякой ерунды по­лучаем ASCII-строку с номером модемного телефона провайдера (потеть, конечно, придется, если друг совсем не знакомый или работает партиза­ном, а знакомого и спросить можно — типа: «Что это за провайдер у тебя такой не хилый, друг ты мой лучший, Миша»?).

HKEY_CURRENT_USER/RemoteAccess/Profile /"подключение"/]!?: со

Смещения OCh четыре байта задом наперед - это первичный DNS, затем еще четыре - вторичный и т. д.

HKEY_CURRENT_USER/RemoteAccess/Profile/ "подключение''/User: логин. HKEY_CURRENT_USER/Softwaге/Microsoft/

Windows/CurrentVersion/InternetSettings/ProxyServer: Proxy-сервер и порт.

HKEY_CURRENT_USER/Software/Microsoft/InternetMail and News/Mail:

DefaultP0P3Server:

OefaultSMTPSe rve r:

SenderEMail:

Name:

Organization: это все и так понятно. РОРЗ - "РОРЗ-сервер": Account: это понятно Password: ну вот и он, родимый

Что делать, если пользователь — мазохист? Не хранит он пароль в компьютере, а вводит его каждый раз с клавиатуры? И этому горю можно помочь. Существуют программы типа SPYWIN, или HOOKDUMP, или KEYWITNESS. Они записывают все действия, производимые на компью­тере. Достаточно подсадить одну из них и все... Естественно, их можно ис­пользовать и для других не менее интересных целей.

И в конце могу тебе посоветовать: не качай и уж тем более не запу­скай у себя всякие «взломщики Internet». Они могут крякнуть только ин­формацию на твоем винчестере! Ибо тот, кто может взломать провайдера, никогда не будет опускаться до таких мелочей, а другие в лучшем случае хотят над тобой просто посмеяться, в худшем — сделать

А знаешь ли ты, друг мой, о том, как хакеры «вытаскивают» твои драгоценные аккаунты прямо у тебя из-под носа? Существует достаточно много случаев, когда пользователь с удивлением для себя обнаруживает, что за его счет бродит по просторам Internet кто-то еще и, естественно, тратит направо и налево его потом и кровью заработанные деньги. Обна­ружив столь неприятное происшествие, он в ярости (или в недоумении — кто как) звонит в техподдержку своего провайдера и объясняет причину своего недовольства. Провайдер приносит свои соболезнования, но, к со­жалению, ничем помочь не может, однако, предлагает сменить пользова­телю пароль и советует не допускать до компьютера тех людей, которые не достойны доверия. А самое главное, что тем людям, которые платят свои деньги за часы, проведенные в Internet, провайдер не собирается воз­мещать ни денег, ни времени. Разочаровавшись и обвиняя во всех мни­мых грехах техническую поддержку, ты размышляешь о том, как же это­му хакеру удалось украсть твой и с обидой в душе на этот жестокий мир подумываешь о смене провайдера. Итак, каким же об­разом хакер смог «вытащить» твой аккаунт?

На сегодняшний день мне известны несколько методов, которые используют хакеры. Обычно многие юзеры, устанавливая Windows 95/98/NT под сети, предоставляют доступ к своим дискам и директориям другим пользователям сети, тем самым открывая лазейку в свой компью­тер. Для того чтобы в сети найти компьютер с такой лазейкой, хакеру необходимо просканировать диапазон IP-адресов одной сетки. Что для этого нужно? Для Windows — программа «Legion». После запуска этой программы нужно указать IP-адреса, которые будут использоваться для сканирования. Сначала хакер выбирает предполагаемого провайдера, ус­лугами которого впоследствии он будетпользоваться. Например, это бу­дет выдуманный нами провайдер Www.Lamerishe.Ru. Запустив свой mIRC, он отправляется на всем знакомый IRC и в окошке «status» пишет: /whois *.lamerishe. ru.

Ответ не заставит себя ждать:

«RUSSIAN Andrey H andrey@dialup-28059.1amerishe. ru :0 hello.

*. junk, com

End of /who list.

Дальше следует команда:

/dns Andrey

И mIRC выдает ему ІР-иіник жертвы:

*** Looking up dialup-28059.Iamerishe. ru *** Resolved dialup-28059.lamerishe. ru to 121.31.21.10 Вот он уже и знает один из IP-адресов (121.31.21.10) нашего выду­манного провайдера. Теперь нужно указать диапазон IP-адресов этого провайдера. Хакер запускает Legion и заполняет поля «Enter Start IP» (вве­дите начальный IP) и «Enter End IP» (введите конечный IP).

Enter Start IP: 121.31.21.1 Enter End IP: 121.31.21.254

Остается только выбрать скорость соединения и нажать на кнопку «Scan». Если после сканирования, в правом окне сканера, появится что - то вроде «\121.31.21.87C», то в левом окне можно открыть этот IP и щелкнуть два раза на ответвлении «С». Появится сообщение «MAPPED ON DRIVE Е:». Все это означает, что на данном IP есть машина, с неза- шаренным (то есть открытым для всех) диском С. И этот диск можно ус­тановить как еще один диск на своем компе. То есть у хакера на компе по­явится еще один диск (в данном случае — Е), по которому он будет лазить, как по своему собственному, хотя он и находится на удаленной машине. Конечно, главной целью для хакера является файл с расширением. pwl, в котором находится зашифрованный аккаунт. Этот файл лежит в каталоге Windows. И поэтому хакер заходит в «Пуск О Программы cj> Сеанс MS - DOS». Пишет там «е:» и нажимает Enter. Теперь он на жестком диске у чайника. Но каталог Windows может называться по-другому. Поэтому он пишет: E:>dir win* и получает такой вот ответ:

Том в устройстве Е не имеет метки Серийный номер тома: 2247-15DO Содержимое каталога Е: WIN95 <КАТАЛ0Г> 11-30-98 6:48р WIN95

0 файл(а, ов) 0 байт

1 каталог(а, ов) 287,997,952 байт свободно

Дальше следуют команды:

E:>cd win95 E:WIN95>dir *.pwl

Том в устройстве Е не имеет метки

Серийный номер тома: 2247-15D0

Содержимое каталога E:WIN95

ANDREY PWL 730 02-05-99 10:31р ANDREY, PWL

1 файл(а, ов) 730 байт

О каталог(а, ов) 287,997,952 байт свободно

E:WIN95>copy andrey. pwl c:hackingpwlhack

Теперь, после копирования файла с расширением. pwl, хакеру нуж­но отсоединиться от этого компьютера. Он открывает иконку «Мой ком­пьютер», выбирает иконку E:121.31.21.87C, нажав правую кнопку мы­ши. Там жмет «Отсоединить». Что теперь? А теперь он берет программу pwlhack и с помощью нее расшифровывает добытый файл andrey. pwl.

C:HACKINGPWLHACK>pwlhack. exe /list andrey. pwl andrey

(С) 17-Apr-1998y by Hard Wisdom "PWL's Hacker" v3.0 (1996,97,98)

Enter the password:

File 'ANDREY. PWL' has size 730 bytes, version [NEW_Win95_0SR/2] for user 'ANDREY' with password " contains:

~[Type]-[The resource location string]----------------------------------- [Password]-

Dial X *НпаСоединение с lamerisheL5tRe fsa3Xfa12

Indexed Entryes: 1; Number of resources: 1.

Настает кульминационный момент! Итак, теперь с помощью акка - унта, добытого у «чайника», хакер может лазить по просторам всемирной паутины Internet. А вот и сам Имя пользователя: L5tRe Пароль: fsa3Xfa12

Если у данного провайдера можно посмотреть статистику прямо из Internet, то, обычно, хакеры посещают сайт провайдера (в нашем приме­ре Www.Iamerishe.Ru) и смотрят, сколько осталось денег на счету у пользо­вателя и в какое время он обычно находится в Internet. Кстати, телефоны модемных пулов также можно узнать сайте у провайдера.

Существует еще несколько иных способов, таких как использова­ние троянов Netbusl. O, Netbus Pro 2.0, BackOrificeи т. д. Самый простой из всех способов заключается в том, что, зная IP-адрес с открытыми сетевы­ми ресурсами, можно соединиться с компьютером, нажав на Пуск, выбрав «Поиск компьютера» и указав IP-адрес.

«Все. Систему я понял. Теперь объясни-ка мне, как устранить ла­зейку и защитить себя от непрошеных гостей?» — скажешь ты. Хорошо. Для защиты от описанной выше дырки тебе будет необходимо отключить привязку (службу доступа к файлам и принтерам) от контроллера удален­ного доступа (лезь в Панель управления ф Сеть), а в Windows NT нужно запретить службу Server в Remote Access WAN Wrapper. Но от НетБаса, Бэ - кОрифиса и подобных троянов это тебя не спасет. А вот чтобы не подхва­тить трояна, во-первых, никогда не подпускай никого к своему компью­теры со всякими дискетками, а, во-вторых, никогда не запускай у себя на никаких программ, в которых ты хоть на грамм сомневаешься. По­следним хакерским способом по рассылке троянов был массовый спа - минг с хоста microsoft. com, где в каждом письме лежал якобы патч к 4-му IE. Ну, а что этот «патч» делал, я думаю, ты уже догадался.

MTU Inform

Через guest/mtu и dialup. mtu. ru

Телефоны: 9955555, 9955556.

Caravan

Через caravan/caravan Www. caravan. ru

Телефон: 9951070.

Caravan 2

Через caravan/free и DNS 194.190.218.2

Телефон: 9951070.

Caravan 3

Через caravan/demo и DNS 193.232.120.226.

Телефон: 3324768.

Caravan 4

Через free/caravan.

Телефон: 3324768.

Data Force

Через 2889340 для получения демонстрационного доступа в сеть.

Телефон: 9566749.

Glas Net

Через demo/demo 123 или 2220990 для получения демонстра­ционного доступа в сеть.

Телефоны: 7194457, 9953535.

IBM Net

Через e-mail: Ispp@patron. com для получения демонстрационного доступа в сеть.

Телефоны: 2586435.

Microdin

Через guest/guest.

Телефон: 9951001.

Demos

Через _demo/demo.

Телефон: 9613200.

Меда Electronics

Через test/test или guest/guest и Www. mega. ru.

Телефон: 9951070.