Скриване - троянци - в документ на Word, изследвания и дискусии за защита на Ru-Sphere
Кой разглежда това съдържание: „Тема“ (Общо потребители: 0; Гости: 1)
Уважаеми потребител
Отворете Microsoft Office Word 2007, копирайте предварително подготвеното залепване и го поставете в документа (можете просто да плъзнете файла с мишката до желаното място в документа)
Имаме изображение с икона от SFX залепване и подпис за името на файла Trojan.exe
Разбира се, името можеше да бъде преименувано на всяко име предварително, но не би помогнало да се отървем от излагането на разширението "exe". Но можем лесно да го заобиколим
Записваме получения документ, като се уверим, че той е записан с разширението docx.
Сега отворете записания документ в WinRAR (програма WinRAR) и ще се отвори следното:
.
След това отидете в папката с думи:
След това отидете в медийната папка:
В медийната папка виждаме файла image1.wmf - това е изображението.
Изваждаме този файл и разглеждаме размерите му - в нашия случай размерите са 175 X 50 пиксела.
Сега търсим подходяща снимка с подходящ размер за замяна, или ние се рисуваме.
Запазваме тази снимка под името image1, ако не можете да запазите с разширението wmf, можете да я запазите с разширението jpg
Ако сте успели да запазите изображението във формат wmf, можете веднага да замените стандартното, като просто го плъзнете с мишката в отворения прозорец на Winrar. Ако сте запазили изображението в jpg формат, трябва да промените разширението на изображението на wmf
Можете да промените разширението с помощта на Total Commander или WinRAR.
В резултат получихме следното:
Когато кликнете върху изображението, нашето залепване ще започне и троянският кон ще бъде инсталиран.
Първоначално, за вграждане в документ, залепване на троянския кон в тази версия, е желателно да се направи с картинка, така че всъщност да се отвори подобно изображение, само с по-голям размер. Вместо надпис „Сега, когато щракнете върху изображението по-долу, нашият троянец ще се стартира“, разбира се, трябва да напишете нещо друго. Например можете да създадете нещо като каталог с продукти, с малки изображения на продукти, когато кликнете върху тях, се отваря по-голямо изображение.
Често при опит за стартиране на файлове, изтеглени от интернет, се появява прозорец като този:
Как Windows определя, че файл е изтеглен от Интернет
Този "черен знак" на файла обикновено се поставя от браузъра Internet Explorer. В този случай файлът може да бъде преименуван, копиран или дори преместен на друг диск, предупреждението ще остане. Можете да отключите файл като този. Но как системата определя, че файлът е изтеглен от Интернет? Тази информация се записва в така наречените NTFS алтернативни потоци. Същността на технологията за алтернативни потоци е, че файл на дискова система NTFS може едновременно да има няколко потока, съдържащи данни. Windows Explorer и повечето файлови мениджъри могат да работят само с основната нишка, която е основното съдържание на файла.