Резултати от повърхностно проучване на пакета за „отдалечено администриране“ NetBus.

След като добре познатият пакетBackOrificeсе появи в безплатна употреба, се появиха огромен брой публикации, посветени на този пакет. Но трябва да признаем, че, първо, идеята за такъв софтуер не е нова и отдавна е известна под терминаBackDoor, и второ, има по-„древен“ и, както показва практиката, не по-малко „популярен“ пакет, нареченNetBus. Това изследване е посветено на него. Трябва да се отбележи, че той не претендира за завършеност и оставя огромно поле за дейност. Тук ще се опитам да опиша някои от характеристиките на пакетаNetBus(версия 1.60), както и някои от "триковете", свързани с него.

Пакетът включва 3 файла:

  1. Patch.exe-Сървър
  2. NetBus.exe-Клиент
  3. NetBus.rtf- малко документация (включена HTML версия)

Да започнем сPatch.exe. Тази програма се копира вWindows-directoryпри стартиране, след което добавя къмregistry-keyHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run"value"Patch, съдържащ пътя къмServerкопие вWindows-directory. Имайте предвид, че името "стойности" зависи от името на изпълнимия файлServer. След стартиране вдиректорията на Windowsможете да намерите файлаKeyHook.dll, който е създаден отСървъраза съответните цели и чието съдържание се съхранява в ресурсите наСървъра. След товаСървърътотваря сокет в неактивен режим на порт12345и чакаКлиентда се свърже. След свързване наклиента,сървърапредоставя определен набор от функции, описани вNetBus.rtf, от които най-важните според мен са"Прехвърляне на файлове в двете посоки"и"Стартиране на програмата на сървърния компютър".Обърнете внимание на порт12346, използван за сервизни цели.

Трябва също да се отбележи, чеСървърътсъздаваключ на регистърас име, съответстващо на името на изпълнимия файл вHKEY_CURRENT_USERза по-късна употреба - например за съхраняване на парола, което е вид грешка - ако друг потребител влезе, сървърът ще бъде незащитен.

Помислете заNetBus.exe. Тазиклиентскапрограма предоставя доста удобен интерфейс към отдалеченияСървър. Доста пълно описание на неговата функционалност е вNetBus.rtf(обърнете внимание на възможността за сканиране).

Ако сте прочели до тук, препоръчително е да прочетете оригиналната документацияNetBus.rtf(или придружаващата HTML версия). „Играйте“ с пакета на вашия локален компютър – например опитайте да зададете парола на сървъра.

Една от слабите страни наNetBusе използването на фиксирани портове. Това лесно се заобикаля чрез промяна на изпълнимите файловеServerиClientна подходящото място. По подобен начин можете да промените командата"Парола"вСървъриКлиент, което може да се счита за по-сигурно от простото задаване на парола.

Да приемем, че сте променили портове и някои команди. Но следващия път, когато стартирате оригиналнияNetBusсървър, вашият промененСървърще бъде заменен от оригиналния. Това е така, защотоServerизползваMemory-Mapped файла, за да определи предишния екземпляр. Името на този файл се определя от конкатенацията на 2 реда:NETBUSи_SHARE. Ако промените единия или и двата, вашиятСървърняма да бъде заменен от оригиналния и ще продължи да работи паралелно, въпреки че може да има проблеми с прихващането на натискания на клавиши.