Mirror نام نرم افزار جاسوسی است که حرف را زدم.
به نظر شما نرم افزار جاسوسی چیز خوبی یا بد
قول میدم اگر از این برنامه استقبال خوبی بسشه در اختیار همگان قرار بگیره.
قابلیت های بارز اون رو در زیر می نویسم
نسخه ی 1 این برنامه ماه گذشته یعنی آخر دبیرستانم کامل شد.
نسخه ی 2 به استقبال شما نیاز داره تا کامل شه.
در ضمن قول می دم اگر تو ایران کسی از این کار خوش بیاد دنبالش رو بگیرم و برنامه رو تقدیم شما کنم.
پرزنت برنامه رو توسط یک مقاله یه جایی مینویسم بعدا لینک می کنم که ببینید.
******************
In the name of God
Stealth Computer Monitoring
On
Operation Systems with NT Core
A Design Project Report Presented to the
Computer Division of the Ninth Kharazmi Festival
By
M.Barzegar
MollaSadra High School Student
Mathematics Field
Tehran-Iran
Release Date: May, 2007
************************
بسم الله الرحمن الرحیم
این پروژه پس از یک فرآیند دوساله ی طراحی ، در دو قسمت نرم افزار و سخت افزار و با عنوان Mirror به نهمین جشواه ی خوارزمی ارائه شده است.
نرم افزارMirror
مقدمه
در جوامع امروزی و در سا یه تکنولوژی اطلاعات ، حفاظت و انتقال اطلاعات اهم موارد است. در راستای کنترل نا محسوس کامپیوتر های شخصی که پایگاه های اطلاعاتی امروزاند نرم افزاری تهیه کردیم که از قسمت های قانونی تشکیل شده است و فعالیت های اجرایی کامپیوتر ها را ثبت و ضبط می کند. نرم افزاری که اگر در جهت صحیح مورد استفاده قرار گیرد می تواند گره ای از مشکلات دنیای کامپیوتری امروزرا باز کند. ان شاء الله
این نرم افزار میرورMirror- نام دارد.
در راستای امنیت و جاسوسی اطلاعات ، تاکنون برنامه های بسیاری ساخته شده است. بیشتر این برنامه ها از قسمت های یکسانی تشکیل شده اند . یعنی به طور مثال تعدادی از آنها از یک نوع موتور ثبت کلید های فشرده شده استفاده می کنند. این موتور ها نظیر Key Logger ها در فایل های Dll یا OCX روانه بازار شده اند. نرم افزار ارایه شده ، میرور از هیچ نوع فایل جانبی جاسوسی استفاده نمی کند. ساختمان این برنامه را خدمات اریه شده توسط سیستم عامل های مجهز به هسته NT تشکیل می دهند. میرور طی دو سال با تحقیق و بررسی روی توابع API(Application Programming Interface) و دیگر خدمات NT طراحی شده است.
در ادامه تو ضیحاتی در رابطه با امکانات و مراحل ساخت برنامه ارایه می شود.
به برخی از کاربرد های میرور:
• آمارگیری از عملکرد کارمندان
• بررسی بازده کاری در شرایط ایده آل
• اطمینان از صحت حسابداری
• نظارت والدین روی فرزندان
• نظارت بر فعالیت ها و سایت های بازدید شده در اماکن عمومی نظیر دانشگاه ها
• جلوگیری از تخلف و حل مشکلات سهوی در سیستم بانکداری
• جلوگیری از سرقت اطلاعات سازمان های اطلاعاتی
وظایف
• ثبت کلیدهای فشرده شده
• ثبت برنامه های اجرا شده
• تصویر برداری از صفحه
• ثبت سایت های مشاهده شده
• ثبت اطلاعات انتقال یافته
• پنهان بودن ازدید کاربر
• سیستم چند کاربری
• فعالیت در محیط Administrator و محدود یا Limited
ثبت کلید های فشرده شده:
بررسی تحلیل و نگهداری کلید های فشرده شده ، تبدیل به لغات و جملات جداگانه به همراه ثبت تاریخ و ساعت و برنامه در حال اجرا.
ثبت برنامه های اجرا شده:
بررسی تحلیل و نگهداری برنامه های اجرا شده به همراه ثبت تاریخ و ساعت و عمل صورت گرفته .
تصویر برداری از صفحه نمایش:
تصویر برداری از نرم افزار های درحال اجرا تحت Win32 به همراه ثبت زمان ، تاریخ با قابلیت تنظیم دوره ای تصویر برداری و ذخیره تصاویر با حجم کم.
ثبت اطلاعات انتقال یافته :
ثبت موارد مورد وارد شده به Clipboard مانند متن و فایل به همراه سیستم ثبت متن به صورت کامل .
ثبت سایت های مشاهده شده:
ثبت سایت های مشاهده شده توسط نرم افزار MS Internet Explorer به همراه ثبت زمان و تاریخ مشاهده حتی در صورت بسته بودن قابلیت ذخیره History.
سیستم ضد جاسوسی برای URL:
ناتوان کردن برنامه های جاسوسی برای ثبت سایت ها ی بازدید شده توسط IE و در کاربری Mirror
نکته: تمام سیستم های فوق چند کاربره اند و میان کاربران سیستم عامل تفاوت قایل می شوند.
امنیت Mirror
Mirror دارای سیستم های امنیتی پیشرفته ای است که در زیر به آنها اشاره می شود.
• نا محسوس بودن تا حد بالا
• مخفی بودن اطلاعات ثبت شده و دسترسی آسان به آنها
• غیر فعال کردن و مقابله با نرم افزار های امنیتی در جهت کنترل نامحسوس
• سیستم رمز گذاری پیشرفته
• و برای اولین بار در جهان سیستم Life Time Monitoring
نامحسوس بودن:
در توضیح این بخش بدون هیچ کوتاهی، ضعف ها در کنار قابلیت های برنامه بررسی شده اند.
اولین اصلی که در اینجا قابل بررسی است مخفی بودن از Start up می باشد.
تلاش ما بر این بود تا Mirror در هیچ یک از بخش های سیستم عامل که منتهی به Start up است نمایان نگردد تا کاربر متوجه وجود آن نشود. برای این کار مراحلی طی شد ولی در نهایت احتمال ازبین رفتن سیستم عامل به خصوص Windows XP SP 2 طی چند روز وجود داشت پس از طی این مراحل Mirror در Start up قرار نمی گرفت ولی با بالا آمدن Windows اجرا می شد. پس از، از دست دادن دو ویندوز دریافتیم که این قسمت باید از Mirror حذف شود. به همین دلیل Mirror را با نام گمراه کننده ای در Start up تمام کاربرها قرار دادیم . شایان ذکر است که دریافت خدمات مورد نیاز Mirror از سیستم عامل پیش از اتمام Logon یا پیش از انتخاب نام کاربری ویندوز ، امکان پذیر نیست و به این ترتیب نمیتوان Mirror را به عنوان یک Service به ویندوز معرفی کرد.
از آنجایی که اغلب کاربران حرفه ای برای دست یابی به Start up از محیط Registry Editor استفاده می کنند ، می توان با استفاده از یک گزینه در تنظیمات برنامه دستیابی به Regedit را ناممکن ساخت.
قسمت بعدی قابل بررسی در راستای نامحسوس بودن عدم قرار گرفتن Mirror در لیست برنامه های در حال اجرا است.در این که این برنامه در لیست tasks واقع در task manager نمایان نیست شکی وجود ندارد. ولی برای عدم نمایش Mirror در لیست Processes اقدامات زیر انجام گرفت .ابتدا تلاش ما بر این بود که Mirror به هیچ عنوان در لیست ذکر شده قرار نگیرد. دریافتیم که این کار در مورد فابل های اجرایی ، در سیستم عامل های NT شدنی نیست. پس از مدتی مشکل به این گونه حل شد:
در ابتدا توانستیم تا نامMirror را در لیست Processes تغییر دهیم از آنجایی که ممکن بود برنامه شناسایی شود نرم افزار را طوری طراحی کردیم تا هر دفعه با نام یکی از سیستم فایل های فعال تغییر نام دهد که به این ترتیب برنامه ما نام مشخصی ندارد و جای شکی با قی نمی گذارد. سرعت زمان سنج شناسایی لیست Task Manager در این نسخه از Mirrorبه گونه ای تنظیم شده تا در مراحل به نمایش گذاشتن و ارایه توضیحات در رابطه با عملکرد برنامه، تغییر نام کاملا قابل مشاهده بتشد.
مخفی بودن اطلاعات ثبت شده :
Mirror اطلاعات ذخیره شده از عملکرد کاربر کامپیوتر را در محلی که کاربر بخواهد ذخیره میکند که البته این برنامه بنا به خواست کاربر میتواند اطلاعت را در همان محل کاملا مخفی یا آشکار کند. پس برداشتن اطلاعات از کامپیوتر هدف کار ساده ای است. کافی است کاربر پوشه ی اطلاعات را کپی کرده و در کامپیوتری دیگر قراردهد و آدرس آن را به میرور بدهد تا بتواند اطلاعات را بررسی کند . اطلاعات ذخیره شده توسط نرم افزار کاملا جدا ازنرم افزاراند.
غیر فعال کردن نرم افزار های امنیتی :
همراه میرور ضمیمه ای وجود دارد که فایل به روز رسانی (Update) آن است و در آن لیستی از برنامه
های امنیتی وجود دارد که میرور را شناسایی کرده اند.
اگر این برنامه انتشار وسیعی یابد بدون شک شرکت های امنیتی مثل Lava soft, Zone labs, Symantec و ... اقدام به شناساندن نرم افزار ما به برنامه های امنیتی خود مانند Zone Alarm می کنند که در آن صورت استفاده از میرور غیر ممکن است .
برای حل این مشکل ما قابلیتی تحت کنترل کاربربه میرور افزودیم که طی آن نرم افزار های امنیتی غیر فعال می شوند ولی هیچ گاه از بین نمی روند . این ویژگی در کامپیوتر های شخصی سبب می شود تا امنیت کامپیوتر در بقیه ی موارد حفظ گردد. در جهان اینترنتی پر از جاسوس ، کرم ، ویروس و ... که امنیت حرف اول را میزند وجود نرم افزار های امنیتی امری حیاتی است و به همین دلیل استفاده از این قابلیت را در حد امکان به کاربر توصیه نمی کنیم.
برای عمل غیر فعال کردن نرم افزار های امنیتی 4 راه به شرح زیر وجود دارد:
1- تقاضا از برنامه برای بسته شدن توسط فرستادن پیغام .
2- بستن آن Terminate)) .
3- استفاده از TsKill
4- استفاده از TaskKill
5- شیوه ی پیشرفته ی User Interface
همچنین از کار انداختن خدمات (Services) و خارج کردن نرم افزار از Start Up.
برای شروع کار و دوری از جدال تنها از Tskill استفاده شده است.
تحقیقات نسبی روی تمام مراحل فوق انجام گرفته است. شایان ذکر است که هر نرم افزاری ضعفی دارد و وظیفه ی ما یافتن آن.
امید است در آینده این سیستم گستردگی بیشتری پیدا کند
در مجموع 14 روش برای عمل ازکار اندازی در حال بررسی است و امید است تعدادی از آنها در نسخه ی بعدی آماده به کار باشند
سیستم رمز گزاری M.A.B Hash:
این سیستم توسط سازنده همین برنامه طراحی شده است. آلگوریتم Hash(خردکردن) سه گانه ای طراحی شد که طی آن از رمز عبور انتخاب شده توسط کاربر 3 عدد نسبتا بزرگ استخراج می شود و در سه مکان مختلف از کامپیوتر ذخیره می گردد . هرگاه کاربر رمز عبور خود را وارد کند دوباره این سه عدد تولید گشته ودر صورت مطابقت 3 عدد تولید شده با سه عدد روی سیستم رمز عبور تایید می شود.
نکته 1:این سیستم در نرم افزار های دیگر نیز قابل استفاده است .
نکته 2:نرم افزارهای Password Cracker که وظیفه آنهاآزمایش رمزهای عبور مختلف برای یک برنامه مثلا فایل PDF می باشد در مقابل Mirror ناتوانند زیرا اگر رمز عبور 10 مرتبه اشتباه وارد شود سیستم Restart می شود.
نکته 3: آلگوریتم M.A.B Hash یک آلگوریتم بازگشت ناپذیر است واحتمالی برای پیدا کردن رمز از اعداد تولید شده وجود ندارد.
نکته 4: در M.A.B Hashاحتمال وجود 2 رمز عبور که از آنها 3 عدد یکسان تولید شود صفر است.
نکته 5: در تولید رمز های M.A.B Hash به هیچ عنوان از کد های اسکی استفاده نشده است.
Life Time Monitoring (L.T.M)
میرور اولین و تنها نرم افزار جاسوسی است که از این سیستم بهره مند است. این ویژگی به همراه میرور و توسط طراح آن ابتکار و به مرحله عمل رسانیده شده است.
مطابق این سیستم , میروربا زیرکی از قابلیت های ویندوز استفاده کرده و پس از حذف ویندوز و حتی فرمت کردن درایو آن به کار خود ادامه می دهد.
اگر کاربر Mirror را از Start up خارج کرده ، آن را از روی دیسک سخت حذف کند، ویندوز را Upgrade کرده و یا حتی درایو آن را فرمت کند همچنان میرور به کار خود ادامه می دهد.
Load on Unload (L.O.U)
این قابلیت از همان سیستم L.T.M به وجود آمده و توسط آن قدرت مند شده است. مطابق آن دیگر میرور به طور همیشگی نگران عملکرد خود نیست و تنها با خاموش شدن کامپیوترو یا بستن میرور سیستم L.T.M فعال می شود. به عبارت دیگر میرور با بسته شدن خود بذر دوباره حیات را می پاشد.
نظر یادتون نره