Jak to jest zrobione?

[Levy272]

Witam wszystkich. Sprawa wygląda następująco: pewnemu tibiarzowi na życzenie matki dobrali się do komputera (chyba w jakimś serwisie) i zablokowali mu dostęp do tej cudownej gry 3D (chodzą słuchy, że 4D)... Podobał mi się sposób, w jaki to zrobili. Po wpisaniu w przeglądarkę, nazwę folderu lub gdziekolwiek indziej magicznego słowa "tibia", komputer zamykał wszystko i doprowadzał się do stanu gołego (jak po restarcie). Także podczas ładowania procesu o nazwie np. "tibia.exe" efekt był identyczny. Wytłumaczy mi ktoś łopatologicznie jak to zrobić? Chętnie pomogę zerwać z tym nałogiem ludowi tego świata. Pozdrawiam i z góry dzięki

 

[thc_flow]

Pewnie jakiś keylogger z wykrywaniem napisu TIBIA (bleee, niedobrze mi się robi jak widzę ten napis) albo coś działającego podobnie jak ROOTKITY przechwytujące zapytania systemu i wykrywające ten sławny tytuł

 

[Gondoller]

No tego to żem się nie spodziewał.. podejrzewam, że po takim wyłapaniu (zapewne keyloggerem właśnie) kasacja wszystkich procesów "nie-systemowych" i przeładowanie explorera.. nietrudne chyba

 

[grzonu]

czemu zaraz keyloggerem ? wystarczy zalozyc hooki na funkcje send(do przechwycenia tego co do neta leci) i na CreateProcess(do przechwycenia procesu)

 

[thc_flow]

No czyli jednak funkcje znane z rootkitów

 

[Gondoller]

A skąd ja tomiałem wiedzieć, co ja programista koder czy inny taki? jeszcze niee xD

 

[grzonu]

send niekoniecznie
rootkity siec przechwytuja inaczej

a CreateProcess tez nie

Rootkity = ZwCreateProcess

 

[thc_flow]

Hmm..możliwe, nigdy za dokładnie nie przyglądałem kodowi rk, chociaż przerabiałem nieco Hacker Defendera...

 

[Levy272]

Keylogger to na bank nie był, bo HT nic nie wyłapał ;p

To raczej było jakieś zdalne wyłapywanie zapytań przez sieć (chyba)...

A może ktoś dokładnie opisać, jak takie coś zmajstrować? Bo nie jestem biegły w tej dziedzinie.

 

[sokimicro]

a nie latwiej w nowym kgb skrypt wykrywajacy konkretny napis i uruchamiajacy jakis tam program (najlatwiej bata) ?