PDA

نسخه کامل مشاهده نسخه کامل : ابزارهاى ---- (نكاتى در مورد Backorifice)



Saeed_TnT
12-12-2004, 22:45
ابزارهاى ---- (نكاتى در مورد Backorifice)

مهسا قنبرى‏

Backorifice يك برنامه كاربردى سرويس‏دهنده / سرويس‏گيرنده است كه به نرم‏افزار سرويس‏گيرنده اجازه نظارت، مديريت و اجراى ديگر اعمال چندرسانه‏ايى و شبكه را بر روى ماشينى كه در حال اجراى سرويس‏دهنده است، مى‏دهد. براى ارتباط برقراركردن با سرويس‏دهنده، متن و يا سرويس‏گيرنده gui مى‏توانند بر روى هر ماشين ويندوز مايكروسافت به اجرا دربيايند. سرويس‏دهنده بطور متداول فقط در ويندوز 98/95 اجرا مى‏شود.

Backorifice شامل 6 فايل است:
boserve.exe : سرويس‏دهنده Backorifice كه بصورت خودكار نصب مى‏شود.
bogui.exe : سرويس‏گيرنده Backorifice, gui
boclient.exe : سرويس‏گيرنده متن orifice Back
boconfig.exe : ابزارى براى پيكربندى exename، پورت، password و plugin پيش فرض براى يك Boserver.
melt.exe : Decompress كردن فايلهاى فشرده شده با فرمان File freeze.
freez.exe : فشرده‏كردن فايلهايى كه مى‏توانند با فرمان Filemelt، decompress شوند.

براى نصب سرويس‏دهنده، تنها لازم است كه سرويس‏دهنده اجرا شود. زمانى كه سرويس‏دهنده اجرا مى‏گردد، سرويس‏دهنده خودش نصب و سپس حذف مى‏شود. اين مسئله براى محيطهاى شبكه بسيار مفيد است، زيرا سرويس‏دهنده مى‏تواند به سادگى با كپى كردن فايل اجرايى سرويس‏دهنده در دايركتورى Startup بر روى يك ماشين نصب گردد، بنابراين فايل اجرايى سرويس‏دهنده ابتدا نصب و سپس حذف خواهد شد. زمانى كه سرويس‏دهنده بر روى يك ماشين نصب مى‏گردد، با هر بار راه‏اندازى ماشين، سرويس‏دهنده نيز Start مى‏شود.

براى ارتقاء بخشيدن به running copy، Backorifice از راه دور، به سادگى نسخه جديد سرويس‏دهنده را به ميزبان راه دور Upload كنيد، و براى اجراى آن از فرمان Process spawn استفاده نماييد. هنگام اجرا، سرويس‏دهنده بطور خودكار تمام برنامه‏هاى در حال اجرا را Kill مى‏كند، خود را بر روى نسخه قديمى نصب مى‏نمايد و خودش را از موقعيت نصب شده‏اش اجرا و exe به روزرسانى شده را حذف مى‏كند.

قبل از نصب، برخى از امكانات سرويس‏دهنده مى‏توانند پيكربندى شوند. filenameايى كه Backorifice خود نصب مى‏كند، پورتى كه سرويس‏دهنده منتظر شنيدن آن است و passwordاى كه براى رمزگذارى بكار مى‏رود، همگى مى‏توانند با استفاده از boconf.exe ، Utility پيكربندى شوند. اگر سرويس‏دهنده پيكربندى نشود، در شنيدن پورت 73313كوتاهى مى‏كند، براى رمزگذارى از password استفاده نمى‏نمايد (packetها هنوز رمزگذارى شده هستند) و خود را بصورت " .exe" (Space dot exe) نصب مى‏كند.

سرويس‏گيرنده از طريق Packetهاى رمزگذارى شده UDP با سرويس‏دهنده ارتباط برقرار مى‏كند. براى يك ارتباط موفق، لازم است سرويس‏گيرنده Packetها را به همان پورتى كه سرويس‏دهنده منتظر شنيدن آن است بفرستد و password سرويس‏گيرنده بايد با passwordرمزگذارى كه سرويس‏دهنده با آن پيكربندى شده، هماهنگ باشد.

پورتى كه سرويس‏گيرنده Packetهاى خود را از آنجا مى‏فرستد مى‏تواند با استفاده از -P Option با هر دو سرويس‏گيرنده gui و متن Set شود. اگر Packetها ----- شده باشند يا يك firewall در محل وجود داشته باشد، ممكن است لازم باشد packetها از يك پورت خاص فرستاده شوند كه ----- شده و يا بلوكه شده نباشند. زمانى كه ارتباط UDP بدون اتصال باشد، Packetها ممكن است در مسير خود به سرويس‏دهنده و يا Packetهاى برگشتى در مسير بازگشتشان به سرويس‏گيرنده بلوكه شوند.

عمليات با فرستادن فرمانهايى از سرويس‏گيرنده به يك آدرس خاص IP بر روى سرويس‏دهنده به اجرا درمى‏آيند. اگر ماشين سرويس‏دهنده روى يك آدرس ايسنا نباشد، مى‏تواند با استفاده از فرمانهاى Sweep يا Sweeplist از سرويس‏گيرنده متن يا از سرويس‏گيرنده gui با استفاده از "ping..." dialog و يا با قراردادن يك IP مقصد "1.2.3.*"، مستقر گردد. اگر پاك شدن ليست Subnetها هنگام پاسخگويى ماشين سرويس‏دهنده صورت گيرد، سرويس‏گيرنده در دايركتورى مشابه به عنوان ليست Subnet ظاهر مى‏گردد و اولين خط از اولين فايل را كه با نام فايل subnet يافته است نمايش مى‏دهد.

فرمانهايى كه بطور متداول در Backorifice اجرا مى‏گردند در پايين ليست شده است. برخى از فرمانها بين سرويس‏گيرنده متن و guiمتفاوت است، اما تقريباً در تمام فرمانها گرامر يكى است. در سرويس‏گيرنده متن، با تايپ 'help' command اطلاعات بيشترى در مورد هريك از فرمانها به نمايش درخواهد آمد. زمانى كه فرمانى از ليست "Command" انتخاب مى‏شود، سرويس‏گيرنده gui برچسبى از دو پارامتر را براى توضيح هريك از ابعاد فرمان قرار مى‏دهد. در صورتى كه بخشى از اطلاعات موردنياز از جانب فرمان ارائه نگردد، خطاى "missing data" از طريق سرويس‏دهنده بازگردانده خواهد شد. فرمانهاى Backorifice از اين قرارند:

(فرمان gui/text)

App add/appadd

تكثير يك برنامه كاربردى متنى بر روى پورت TCP. اين كار به شما اجازه مى‏دهد تا برنامه كاربردى متنى يا تحت dos (همچون )Command.comرا از طريق يك بخش Telnet كنترل كنيد.

App del/appdel

ارتباط يك برنامه كاربردى را متوقف مى‏كند.

Appslist/applist

برنامه‏هاى كاربردى را كه بطور متداول براى برقرارى ارتباط به كار مى‏روند، ليست مى‏كند.

Directory Create/md

يك دايركتورى ايجاد مى‏كند.

Directory list/dir

فايلها و دايركتورى را ليست مى‏كند. اگر بخواهيد بيش از يك فايل را ليست كنيد بايد يك كاراكتر جانشين معين كنيد.

Directory remove/rd

يك directory را پاك مى‏كند.

Export add/shareadd

يك export روى Server ايجاد مى‏كند. دايركتورى export شده يا آيكن درايو با آيكن shared hand نمايش داده نمى‏شود.

Export delete/sharedel

export را حذف مى‏كند.

Exports list/sharelist

نام اشتراكهاى متداول، درايو يا دايركتورى كه به اشتراك گذاشته شده‏اند، دستيابى به آن اشتراك و password براى اشتراك را ليست مى‏كند.

FileCopy/Copy

فايل را كپى مى‏كند.

File delete/del

فايل را حذف مى‏كند.

FileFind/Find

درخت دايركتورى را بدنبال فايلهايى كه با مجموعه مشخصات جانشين هماهنگ است جستجو مى‏كند.

Filefreeze/freeze

يك فايل را فشرده مى‏كند.

filemelt/melt

يك فايل را Decompress مى‏كند.

Fileview/view

محتواى يك فايل متن را مشاهده مى‏كند

HTTP Disable/httoff

سرويس‏دهنده http را غيرفعال مى‏سازد.

Keylog begin/keylog

Keystorkeها را روى ماشين سرويس‏دهنده به يك فايل متن log مى‏كند. اين log به شما نام پنجره اين را كه متن در آن تايپ شده را نشان مى‏دهد.

Keylog end

logging صفحه كليد را به پايان مى‏رساند. براى پايان دادن loggingصفحه كليد از سرويس‏گيرنده متن از 'keylog stop' استفاده كنيد.

mm capture aui/capavi

ويدئو و صدا را (در صورت موجود بودن) از وسيله ورودى ويدئو به يك فايل aui ضبط مى‏كند.

mm capture Frame/copframe

تصوير ويدئو را از وسيله ورودى ويدئو به يك فايل bitmap ضبط مى‏كند.

mm capture screen/capscreen

تصويرى از صفحه نمايش ماشين سرويس‏دهنده را به يك فايل bitmapضبط مى‏كند.

mm List capture devices/listcaps

وسايل ورودى ويدئو را ليست مى‏كند.

mm play sound/sound

يك فايل WAV را روى ماشين سرويس‏دهنده play مى‏كند.

Net connections/netlist

ارتباطات ورودى و خروجى شبكه را ليست مى‏كند.

Net delete/netdisconnect

ارتباط ماشين سرويس‏دهنده را از يك منبع شبكه قطع مى‏كند.

Net use/netconnect

ارتباط ماشين سرويس‏دهنده را با يك منبع شبكه برقرار مى‏سازد.

Net view/netview

تمام رابطهاى شبكه، حوزه‏ها، سرويس‏دهنده‏ها و exportهاى قابل مشاهده از ماشين سرويس‏دهنده را مشاهده مى‏كند.

pinghost/ping

ماشين ميزبان را ping مى‏كند. نام ماشين و شماره نسخه BO را بازمى‏گرداند.

plugin execute/plugin exeC

plugin يك Backorifice را اجرا مى‏كند. اجراى اعمالى كه با رابط pluging Backorifice مطابق نباشد ممكن است موجب مختل شدن سرويس‏دهنده گردد.

Pluging kill/pluginkill

به يك plugin خاص مى‏گويد كه shutdown شود.

plugins list/pluginlist

pluginهاى فعال را ليست مى‏كند و يا مقدار يك plugin را كه خارج شده است، بازمى‏گرداند.

Process list/proclist

فرآيندهاى اجرايى را ليست مى‏كند.

Process spawn/procspawn

برنامه را اجرا مى‏كند. اگر پارامتر دوم مشخص شده باشد، فرآيند بصورت يك فرآيند عادى و ديدارى اجرا مى‏گردد. در غيراينصورت فرآيند بصورت پنهانى و يا جدا اجرا مى‏شود.

Redir add/rediradd

ارتباطات TCP ورودى و يا packetهاى udp را به آدرس ديگر ip تغيير مسير مى‏دهد.

Redir del/redirdel

تغيير مسير يك پورت را متوقف مى‏سازد.

Redir list/redirlist

تغيير مسيرهاى پورت فعال را ليست مى‏كند.

Reg Create key/regmakekey

در registry يك كليد ايجاد مى‏كند.

توجه: در مورد تمام فرمانهاى registry، براى مقادير registry، مقدار \\را قرار ندهيد.

Regdelete key/regdelkey

يك كليد را از registry حذف مى‏كند.

Regdelete value/regdelval

يك مقدار را از registry حذف مى‏كند.

Reglist keys/reglistkeys

كليدهاى فرعى يك كليد registry را ليست مى‏كند.

Reg list values/reglistvals

مقادير يك كليد registry را ليست مى‏كند.

Reg set value/regsetval

براى كليد registry مقدارى را قرار مى‏دهد. مقادير برحسب نوعى كه بدنبال كاما (،) آمده است و سپس داده‏هاى مقدار تعيين مى‏شوند. در مورد مقادير باينرى (نوع B)، مقدار يكسرى از مقادير دو رقمى بر مبناى شانزده است. در مورد مقادير DWORD (نوع D)، مقدار يك عدد دسيمال است. در مورد مقادير رشته‏اى (نوع S)، مقدار يك رشته متنى است.

Resolve host/resolve

آدرس ip نام يك ماشين را در رابطه با ماشين سرويس‏دهنده resolveمى‏كند. نام ماشين مى‏تواند نام يك ميزبان اينترنت و يا نام ماشين يك شبكه محلى باشد.

system dialogbox/dialog

يك كادر مكالمه روى ماشين سرويس‏دهنده با متن تهيه شده و دكمه 'OK' ايجاد مى‏كند. شما مى‏توانيد به هر تعداد كه مى‏خواهيد كادر مكالمه ايجاد كنيد، اين كادرها در جلوى كادر قبلى پشت سرهم قرار مى‏گيرند.

system info/info

اطلاعات سيستم را براى ماشين سرويس‏دهنده نمايش مى‏دهد. اطلاعات به نمايش درآمده شامل نام ماشين، كاربر جارى، نوع CPU، حافظه موجود و كلى، اطلاعاتى در مورد نسخه ويندوز و اطلاعاتى در مورد درايو شامل نوع درايو (ثابت، cd-rom، قابل جابه جايى يا راه دور) و در رابطه با درايوهاى ثابت، اندازه و فضاى خالى درايو مى‏باشد.

System lockup/lockup

ماشين سرويس‏دهنده را lockup مى‏كند.

System passwords/passes

Passwordهاى Cash شده براى كاربر جارى و password محافظ صفحه نمايش را نشان مى‏دهد. passwordهاى به نمايش درآمده ممكن است در آخرشان داده‏هاى اضافه داشته باشند.

System reboot/reboot

ماشين سرويس‏دهنده را Shutdown مى‏كند و مجدد آن را راه‏اندازى مى‏كند.

TCP file Send/TCPsend

ماشين سرويس‏دهنده را به يك ip و پورت خاص مرتبط مى‏كند و محتواى فايل مشخص شده را مى‏فرستد و سپس ارتباط را قطع مى‏كند.

توجه: براى انتقال فايل TCP، آن ip و Port خاص بايد قبل از آنكه فرمان فايل TCP ارسال و يا fail گردد، شنيده شوند يك Utility مفيد براى انتقال فايلها netcat است كه براى unix و هم براى win32 فايل دسترسى است.

فايلها مى‏توانند با استفاده از فرمان ارسال TCP و netcat با گرامرى شبيه: netcat-1-p666<file از سرويس‏دهنده فرستاده شوند.

فايلها مى‏توانند با استفاده از فرمان دريافت فايل TCP و netcat با گرامرى شبيه: netcat-1-p666>file به سرويس‏دهنده فرستاده مى‏شوند.

توجه: نسخه win32، netcat تا زمانى كه به پايان فايل ورودى برسد خارج و يا قطع ارتباط نمى‏شود. پس از آنكه محتويات فايل منتقل شد، netcat را با ctrl-break يا ctrl-c پايان ببخشيد.
Boconfig:

Boconfig.exe به شما اجازه مى‏دهد تا Optionها را براى يك سرويس‏دهنده bo قبل از آنكه نصب شود، پيكربندى كنيد. Boconfig از شما در مورد نام اجرايى كه نامى است كه Back orifice با آن خود را در دايركتورى سيستم نصب خواهد كرد، سوال مى‏كند.

ضرورتى ندارد كه Boconfig به .exe ختم شود، اما اگر شما از پسوند فايل استفاده كنيد، .exe ، Boconfig را اضافه نخواهد كرد. سپس در مورد توصيف exe سوال مى‏كند كه در واقع توصيفى است كه exe را در registry، جايى كه از زمان راه‏اندازى شروع مى‏شود، شرح مى‏دهد. سپس در مورد پورتى كه سرويس‏دهنده از آنجا paketها را خواهد شنيد سوال مى‏كند و سپس در مورد passwordاى كه براى رمزگذارى از آن استفاده خواهد كرد مى‏پرسد. براى برقرارى ارتباط با سرويس‏دهنده با استفاده از سرويس‏گيرنده، سرويس‏گيرنده بايد با همان password مشابه پيكربندى شود. اين نيز مى‏تواند تهى باشد. و بالاخره، Boconfig در مورد مسير فايل كه مى‏تواند به سرويس‏دهنده متصل شود و در دايركتورى سيستم به عنوان Startهاى سرويس‏دهنده نوشته مى‏شود، سوال مى‏كند. اين مى‏تواند plugin يك Backorifice باشد كه بطور خودكار Startمى‏شود.

سرويس‏دهنده‏اى كه بدون پيكربندى شدن كار مى‏كند، در برقرارى ارتباط روى پورت 73313 بدون password دچار نقصان مى‏شود و خود را بصورت ".exe" نصب مى‏كند.
مسائل و مشكلات:

صفحه نمايش ضبط bitmap :MM در هر resolution و عمق پيكسلى كه ماشين سرويس‏دهنده در آن اجرا مى‏شود، ذخيره مى‏گردد. در نتيجه، bitmapها مى‏توانند با عمقهاى رنگ 16 بيت يا 24 بيت توليد شوند. اكثر برنامه‏هاى كاربردى گرافيكى تنها مى‏توانند bitmapهاى 8 يا 32 بيتى را اداره كنند و قادر به loadكردن bitmap نيستند و آن را به درستى نشان نمى‏دهند (اين شامل Graphics workshop براى ويندوز WANG Imaging, photoshop توزيع شده با ويندوز مى‏شود). بهرحال، برنامه Paint.exe كه به همراه Windows مى‏آيد آن را نشان خواهد داد.

logging صفحه كليد: ظاهراً ويندوز ms-dos فاقد حلقه پيام است كه مانع log شدن كليدهايى مى‏گردد كه درون آنها تايپ مى‏گردد.

تغيير مسير برنامه كاربردى متنى (App add)TCP- چندين اشكال وجود دارد. هنگامى كه Command.com با handleهاى تغيير مسير يافته‏اش ايجاد مى‏شود، سيستم نيز REDIR32.EXE كه تا پايان ارتباط ظاهر نمى‏شود را ايجاد مى‏نمايد. (بنظر مى‏رسد رابط OS كه با مدل Tsrارتباط برقرار مى‏كند در dos session، load مى‏شود تا handleهاى ورودى و خروجى را به سمت Pipeها تغيير مسير دهد) بنابراين اگر شما ارتباط TCP را قبل از پايان يافتن برنامه كاربردى، پايان ببخشيد (يا آن را خارج كنيد)، REDIR32.EXE و WINOA386.MOD (' برنامه كاربردى قديمى‏' (16 بيتى) wrapper) به اجرا شدن ادامه خواهد داد و Backorifice و سيستم عامل قادر به پايان بخشيدن آنها نخواهند بود. اين مسئله مانع shutdown سيستم نيز مى‏شود و هميشه در (Please wait...) باقى مى‏ماند.

همچنين به نظر مى‏رسد تغيير مسير دادن خروجى از برخى از برنامه‏هاى كاربردى Console (همچون FTP.EXE و متأسفانه boclient.exe) مشكل باشد.

pcockz80
13-12-2004, 11:01
با تشکر از مقاله جالبت یکی دو تا نکته رو هم من اضافه کمی کنم

سرويس ‏دهنده بطور متداول فقط در ويندوز 98/95 اجرا مى‏شود


نسخه جدید این تروجان BackOrifice2K بر روی تمامی ویندوزهای NT based قابل اجرا شدنه

همچنین سرعتش هم بمراتب بالاتر از نسخه کلاسیک شده ولی کلا این تروجان از نظر رتبه بندی در کلاس LOW قرار داره چون اگه روی سیستم شما Firewall (از هر نوعی ) وجود داشته باشه این تروجان هیچ کاری نمی تونه انجام بده !!!
در ضمن تمام نسخه های Norton و Mccafee و Pande هم اون راحت شناسایی می کنن

برای حذف این تروجان

در ویندوزهای سری 9.x

اسم فایلهایی که Norton بعنوان آلوده شناسایی کرده رو یادداشت کنید و بوسیله یک Cd یا فلاپی راه انداز وارد Command Prpmpt بشین
به مسیر \WINDOWS\SYSTEM برویدو فایلهایی که یادداشت کرده اید رو از اینجا حذف کنید
ویندوز رو ری استارت کنید و در منوی Run تایپ کنید Regedit و وارد این مسیر بشین
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
اون value هایی که Norton بعنوان فایل آلوده پیدا کرده بود رو از اینجا هم حذف کنید
Restart

در ویندوزهای سری NT


اسم فایلهایی که Norton بعنوان آلوده شناسایی کرده رو یادداشت کنید و در منوی Run تایپ کنید Regedit و وارد این مسیر بشین

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es

Ctrl+F رو فشار بدین و اسم فایل آلوده رو تایپ کنید وقتی که پیدا شد کل اون کلید رو حذف کنید (دقت کنید که باید تمام اون ControlSet ها رو حذف کیند یعنی ControlSet01 وControlSet02و...)
وقتی که کلید رو حذف کردید سیستم رو ری استارت کنید و وارد Command Prompt بشین و دز قسمت Start/Programs... menu فایلی که نورتون بعنوان BackOrifice2k.Trojan معرفی کرده بود حذف کنید.مجددا چک کنید که تروجان دوباره خودش رو نصب نکرده باشه (از طریق چککردنHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run)
اگه مجددا اسم فایل آلوده رو دیدین اول از داخل رجیستری حذفش کنید و بعد از ری استارت و از Command Prompt دوباره به Start/Programs... menu برین و از اونجا هم حذفش کنید

اگه لازم بود بعدا طریقه حذف این تروجان از روی سیستمهایی که نورتون روی اونها نصب نیست رو هم می نویسم

8)

MicrosoftH
14-04-2009, 22:17
سلام عزیزا
این دو نرم افزار مشهور NMAP و NC هستش

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مستانه
05-06-2009, 12:07
سلام

اين همه مقاله هاي هك آيدي وجود داره ، اما يك مقاله كاربردي نديدم كه كسي هم استفاده كنه و جواب هم گرفته باشه ، متاسفانه تمام دوستان چه براي هك آيدي و چه براي محافظت از اون راه هايي رو مي گن كه اصلا كاربردي نيست ! در همين تاپيك دوستاني مقالاتي نوشتند در باره هك و در انتها گفتند كه هك آيدي ياهو با امنيت بالاي اون ديگه غير ممكنه و ... . در حاليكه با توجه به اينكه الان اغلب كسانيكه با اينترني سرو كار دارند مي تونن ايميل هاي خطرساز رو تشخيص بدن و اون رو باز نكنن ، باز هم راههاي ديگه اي براي هك هست . اين آدرس ياهو 360 رو ببينيد :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
اين آدرس يكي از دوستان هست كه جديدا هك شده ، متاسفانه هفته پيش چندين آدرس 360 ديدم كه بهمين صورت هك شده بودند !

مساله دوم اينه كه بعضي از دوستان درباره برگرداندن پسورد هك شده خيلي با آب و تاب تاپيك زدن ، ولي وقتي وارد مي شي مواردي ساده مثل بدست آوردن پسورد از طريق صفحه فراموش كردن پسورد رو مي بيني ! خب اينو كه همه مي دونن ، اگه سوالات مربوط به اون قسمت رو فراموش كرده باشي چي؟ راهي هست؟!

من مقالات زيادي درباره هك كردن خوندم و علاقه اي هم به بدست آوردن پسورد ديگران ندارم ، اما برام افت وقتيكه دوستم بهم مي گه پسوردم هك شده و براي بدست آوردنش كمكم كن برم و براي هكر كارت شارژ ايرانسل بخرمتا پسورد رو بهم بده!