книги хакеры / журнал хакер / 124_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|||||||
|
F |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
P |
D |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
NOW! |
r |
|
|
|
|
|
|
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
BUY |
>>m |
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
|
|
|
|
to |
|
|
|
|
|
pc_zone |
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
o |
|||||||||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
.c |
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
|
|
|
|
p |
df |
|
|
|
|
e |
|
|||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
g |
|
|
|
|||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Code red |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СТЕПАН ИЛЬИН |
2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
/ STEP@GAMELAND. RU/ |
Loveletter |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nimda |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Melissa |
|
|
J3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЗЛОВИРУСОВ- |
|
9 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Slammer |
5 |
Storm |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
6 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Sasser |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Mebroot |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8 |
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Warezov |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Sony rootkit |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
САМАЯНАШУМЕВШАЯМАЛВАРЬЗАПОСЛЕДНИЕ10 ЛЕТ |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
Каждыйдень— новаязараза. Стакимразнообразиемвсевозможной |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
живностипоявлениеновоймалварипростоперестаешьзамечать. |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
Ивсе-таки, былиэпидемии, которыенепрошлинезамечено. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
Мырешиливспомнитьпоследние10 летивыбратьзакаждыйгодна- |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
иболеезапомнившуюсязаразу. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
020 |
|
|
|
|
|
XÀÊÅÐ 04 /124/ 09 |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
pc_zonew |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Melissa
Loveletter
ВЕСЬКОДMELISSA УМЕЩАЕТСЯВ100 СТРОЧКАХ АВОТТАКВЫГЛЯДЕЛОПИСЬМОILOVEYOU
1999
|
|
|
|
|
Едвалипрограммистиз |
КогдаMelissa открываетзараженныйдоку- |
ресатаможетбытькакая-тозараза, иактивно |
|
Melissa |
|
|
|
|||
|
|
|
|
|
Нью-Джерсизадумы- |
ментMS Word 97/2000, запускаетсяспециаль- |
открываливложения. |
валсяотом, чтобысобратьботнетизмиллионов |
ныймакрос, которыйрассылаеткопиичервяв |
Стремительноераспространениевируса |
|||||
машинииспользоватьегодлярассылкиспама. |
сообщенияхэлектроннойпочтыприпомощи |
серьезнонагрузилопочтовыесерверы— им |
|||||
Врядлионмогпредставитьпоследствия, со- |
обычногоOutlook’а. Дляэтогочервьюзаетвоз- |
пришлосьобрабатыватьнанесколькопоряд- |
|||||
здаваясвоего, казалосьбы, безобидногочервя |
можностьVisual Basic активизироватьдругие |
ковбольшеотправлений, чемобычно. Тысячи |
|||||
Melissa. Ведьдажераспространениетотначи- |
приложенияMS Windows ииспользоватьих |
машинповсемумируневыдержалинагрузки |
|||||
налнесинета— впервыечервьбылобнаружен |
процедуры. ВирусвызываетMS Outlook, счи- |
ивышлиизстроя. К27 мартараспространение |
|||||
26 мартавконференцииalt.sex внутриUsenet |
тываетизадреснойкнигипервые50 email’ов |
вирусапринялохарактерэпидемии; 29 марта |
|||||
— втовремяещепопулярнойсетидляобщения |
ипосылаетпоэтимадресамсообщения. |
онпроникуженакомпьютерывсехстран |
|||||
иобменафайлами. Ксообщениюбылприложен |
Написаввмессагетексталя«Вотдокумент, о |
мира, подключенныхкСети, втомчислеина |
|||||
файлList.DOC, содержащийпаролина80 |
которомтыменяспрашивал», червьприатта- |
российские. |
|||||
порнушныхсайтов: позарившисьна«клуб- |
чивалкписьмутекущийоткрытыйдокумент |
НайденномусиламиФБРДевидуСмиту, |
|||||
ничку», файликсрадостьюоткрылимногие. |
пользователя, предварительнозаражаяего. |
которыйинаписалтетридесяткастроккодана |
|||||
Адальшепошло-поехало: червьтутженачал |
Последнее, кстати, повлеклозасобоймассу |
VB, грозили10 леттюрьмы, нопарень«легко |
|||||
распространение, отправляясебяпо50 первым |
курьезныхситуацийи, врядеслучаев— утечки |
отделался», получив20 месяцевзаключения |
|||||
контрактамиззаписнойкнижкипользователя. |
конфиденциальнойинформации. |
иштрафв$5000. Однакоисходникичервя |
|||||
Этобылпервыйуспешныйчервь, распростра- |
В1999 годупользователидаженезадумыва- |
ещедолгомусолилихакеры, плодяразличные |
|||||
няемыйчерезe-mail. |
|
лисьотом, что ваттачеотизвестногоимад- |
модификацииMelissa. |
2000
|
Loveletter |
|
|
Вследующемгоду— |
|
|
|||
|
|
|
новаяпочтоваяэпиде- |
|
|
|
|
|
|
мия, вызваннаявирусомLove Letter (илиLove |
||||
Bug). Письма, содержащиенезамысловатое |
ILOVEYOU встрокетемы, посыпалисьнаничегонеподозревавшихпользователейградом. Ивсебылобызамечательно, еслибыкписьму небылприложенскриптикнаVisual Basic Script, замаскированныйподтекстовыйфайл.
The Subject: ILOVEYOU
Message body: kindly check the attached LOVELETTER coming from me. Attached file: LOVE-LETTER-FOR- YOU.TXT.vbs
Налицоотличныйпримерсоциальнойинженериииприемдвойногорасширения, — что помоглоскрытьподлиннуюприродуфайла. По умолчаниюВинданепоказывалавторое, настоящее, расширениефайла, поэтомупринять аттачзаобычныйтекстовикдействительно былопрощепростого. Нуакольпользователь файлзапустил, можноделатьсвоедело.
Написаннаясиспользованиеммеханизма
Windows Scripting Host, малварьчестно рассылаеткопиителаповсемадресамиз адреснойкнигипочтовойпрограммыMS Outlook, послечегоприступаеткдеструктивнойчасти, закачиваяиустанавливаяв системетроя. Путьдоисполняемогофайла прописывалсякакдомашняястраница
впараметрахInternet Explorer. Этообеспечивалоегоавтоматическуюзагрузку, а запусквсистемегарантировалспециально созданныйключвреестре. Далеедомашняя страницавозвращаласьнасвоеместо— и ушастыйпользовательдаженезамечализменений. Темвременем, WIN-BUGSFIX.EXE илиMicrosoftv25.exe честноотправлялавтору отснифанныепароли.
Триксиспользованиемдвойногорасширения авторзаюзалнетольковписьмах. Дляфайлов целогорядарасширений, червьсоздавал своикопии, добавляякихназваниюрасширение.vbs. Есливпапкебылфайлrulez.mp3, то тутжесоздавалсяrulez.mp3.vbs стеломчервя
— итакповсюду.
Восноведругогоспособараспространения, которыйтакжедавалплоды, лежалискрипты дляmIRC — самойраспространенной программыдлябешенопопулярныхтогда IRC-чатов. Пользователямчатаавтоматичес- кипередаваласьHTML-ка, предлагающая закачатьнекийActiveX-элемент. Чтонаходилосьвнутри, объяснятьненадо, ноповерьна слово: посмотреть, чтоприслалимхороший приятель, соглашалисьоченьмногие. ПервыйслучайактивностиLove Letter былзафиксирован4 мая2000 г., аужечерезсуткиим быличастичноилиполностьюпораженысети ЦРУ, NASA, Министерстваэнергетики, конгрессаСША, Пентагона, британскойпалаты общиниещемножестваорганизаций. Ущерб, нанесенныйчервемвпервыедниактивности, былоцененв$5 миллионов. Офигительно? Виновникаэтогобезобразияпомогнайтиос-
тавленныйимавтограф: «barok -loveletter(vbe) < i hate go to school > by: spyder / ispyder@mail. com / Manila,Philippines». Новвидуотсутствия местныхзаконовзаподобныепреступления, никакойответственностионнепонес.
XÀÊÅÐ 04 /124/ 09 |
021 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
- |
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
|
|
|
F |
|
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
|
|
|
|
P |
D |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
NOW! |
r |
|
|
|
|
|
|
|
|
|
NOW! |
r |
|||||||||||
|
|
|
|
|
BUY |
>>m |
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
pc_zone |
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
o |
|||||||||||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
|
|
. |
|
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
|
|
|
p |
df |
|
|
|
|
e |
|
|||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
g |
|
|
|
|||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
CODE RED ДЕФЕЙСИЛСИСТЕМЫСАНГЛИЙСКОЙЛОКАЛЬЮ |
СЕТЕВАЯАКТИВНОСТЬSLAMMER’А |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Code Red |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Slammer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2001 |
|
|
|
|
Code Red |
Из-заэтогочервясайту |
Витоге, оборудованиепопростусталозады- |
Code Red, тотормозаилагибылинеизбежны. |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
БелогодомаСШАв2002 |
хатьсяотмусорныхGET-запросов, которые |
Червьзаменялсодержимоестраницна |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
году пришлосьпоменятьIP-адрес:). Старто- |
генерировалинодыповсемумира. Влогах |
зараженныхсерверахнасообщение: «HELLO! |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
вавшего13 июля2001 года, Code Red интере- |
Apache, накоторый, естественно, уязвимость |
Welcome to http://www.worm.com! Hacked By |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
соваливиндовыемашинысзапущеннымвеб- |
IIS нераспространялась, можнобылообнару- |
Chinese!», нобылизбирателенидефейсил |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
демономIIS набортуивключеннойсистемой |
житьподобныестроки: |
|
толькотесистемы, гдев качествеосновного |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
индексирования. Осуществованиикритичес- |
|
|
языкабылустановленанглийский.Черезнеко- |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
койуязвимости, приводящейкпереполнению |
GET /default.ida?NNNNNNNNNNNNNNNNNN |
роевремя, правда, дефейсснималсяавтомати- |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
буфера, вMicrosoft знализадолгодопоявления |
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN |
чески: видимо, разработчикинехотелираньше |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
вируса, азамесяцдоэпидемиибылаопубли- |
NNNNNNNNNNNNNNNNNNNNNNN%u9090%u685 |
временитерятьдрагоценнуюноду. |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
кованазаплатка. Впрочем, этонепомешало |
8%ucbd3%u7801%u9090%u6858%ucbd3%u7 |
Между20 и28 числамимесяцателочервя |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
запущенному13 июлячервюзаразитьза6 |
801%u9090%u6858%ucbd3%u7801%u9090% |
должнобылоначатьDoS-атакунанесколько |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
следующихднейболее350 тысяч машин. |
u9090%u8190%u00c3%u0003%u8b00%u531 |
IP-адресов, одинизкоторыхпринадлежал |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
БрешьвISS позволялалегковыполнятьна |
b%u53ff%u0078%u0000%u00=a HTTP/1.0 |
американскомуБеломудому. |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
сервереудаленныйкод. РазработчикиCode |
|
|
Вавгустеэтогожегоданачалраспространять- |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
Red несильнозаморачивалисьиприделали |
ВпроцессеработыCode Red неиспользовал |
сяновыйчервьCode Red II, кодкоторого, не- |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
эксплоиткпростейшемусканеру, который |
никакихвременныхилипостоянныхфай- |
смотрянасхожееназвание, былсозданзаново |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
работал«влоб». ВовремясканированияCode |
лов. Червьуникален: онсуществоваллибов |
ипредоставлялвладельцамполныйконтроль |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
Red непроверялналичиеIIS нановомком- |
системнойпамятизараженныхкомпьютеров, |
надзараженнымимашинами, копируяфайл |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
пьютере-жертве, атупоотправлялспециально |
либоввидеTCP/IP-пакетаприпересылкена |
cmd.exe вкаталог\inetpub\scripts\ ISS-серве- |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
сформированныеHTTP-запросынасгенери- |
удаленныемашины. Ноналичиезаразына |
ра. ВотличиеоторигинальногоCode Red, клон |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
рованныеслучайноIP-адресавнадежде, что |
сервереобнаруживалосьбезвсякогоантиви- |
старалсяатаковатьхостывтойжеподсетии |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
где-тона80-портуокажетсявожделенныйIIS. |
руса. Посколькувпамятикомпьютерамогли |
недопускалодновременногозапускасебяна |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
Морезапросов— огромныйобъемтрафика. |
существоватьсразусотниактивныхпроцессов |
однойсистеме. |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
2002 |
|
|
|
|
|
Nimda |
Запустившегосяв |
Причем, дляпоискановыхадресатоввирус |
загрузкавирусапосетителям. |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
сентябре2001 годачервя |
кропотливосканировалтекстовыедокументына |
4. Иещеинтересныйход— Nimda нестеснялся |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
нуникакнемоглинесвязатьсдеятельностью |
жесткомдиске, атакжезапрашивалспомощью |
иактивноиспользовалдляраспространения |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
Алькайды, заоднорассказываяомощныхтех- |
специальнойMAPI-функциисписокадресатовс |
бекдоры, оставленныевсистемахчервямиCode |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
нологиях, применяемыхвновойзаразе. Ноесли |
сервераMicrosoft Exchange. |
Red II иsadmind/IIS. |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
присказкиотерроризмебыливыдумкойжур- |
2. Другойспособраспространения— расша- |
Добавим, чтоNimda имелопасныйпобочный |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
налистов, тоочевиднаяпродвинутостьнового |
ренныересурсывлокалке. Послесканирования |
эффект, которыймогдопуститьутечкуконфиден- |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
червябыланалицо. ФишкаNimda заключалась |
всехдоступныхшарNimda создавалтамфайлы |
циальнойинформациисзараженныхкомпьюте- |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
сразувнесколькихканалахраспространения, |
спочтовымисообщениями, имеющиерасшире- |
ров. Червьдобавлялпользователяподименем |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
благодарякоторымемуудалосьвсчитанные |
ние.EML и.NWS.Открытиетакихфайловпроис- |
«Guest» вгруппупользователей«Администра- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
минутыраспространитьсяпоСети. Разберемся |
ходитвпочтовойпрограмме, чтоавтоматически |
торы». Такимобразом, обычныегостиполучали |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
попорядку. |
|
влеклозасобойзаражение, какеслибыписьмо |
полныйдоступкресурсамкомпьютера. Более |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
1. Наибольшийпробивбылполучензасчет |
простопришлопопочте. |
того, вселокальныедискиоткрывалисьчерез |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
эксплоита, которыйиспользовалуязвимостьв |
3. НемоглизабытьсоздателиипродырявыйIIS, |
шарыдляполногодоступа. |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
Internet Explore’е, позволяющуюавтоматически |
уязвимостьвкоторомужеиспользовалидругие |
Авторэтоговирусаофициальноненайден, но |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
запускатьприаттаченныйкписьмуфайл. При- |
черви. ПоэтомуNimda довольноэффективно |
втелечервясодержитсястрока, указывающая, |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
крепленныйкписьмуREADME.EXE (написаный, |
пробивалмайкросовскийвеб-демонспомощью |
чтосоздательизКитая: «Concept Virus(CV) V.5, |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
кстати, наС++) беспрепятственнозапускался |
уязвимостиdirectory traversal. Вслучаезара- |
Copyright(C)2001 R.P.China» |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
намашинеприпростомоткрытияписьма, и |
жениявеб-серверананемслучайнымобразом |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
комфортноначиналсвоераспространение. |
выбиралисьстранички, откуданачиналась |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
022 |
|
|
|
XÀÊÅÐ 04 /124/ 09 |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
pc_zonew |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
email c
аттачем
DESKTOP |
COMPUTER |
DESKTOP |
email с |
|
аттачем |
||
COMPUTER |
||
|
WEB |
|
Использовование |
SERVER |
|
|
||
уязвимостей в IIS |
|
|
и бэкдоров Code Red |
|
|
Малварь код на веб-страницах |
||
веб |
|
|
страницы |
|
|
Использовование |
|
уязвимостей в IIS |
Доступ |
и бэкдоров Code Red |
|
|
к зараженному |
|
файлу на другом |
WEB |
компе |
SERVER |
DESKTOP |
|
COMPUTER |
|
OR FILE |
|
SERVER |
|
РАЗНЫЕСПОСОБЫЗАРАЖЕНИЯЧЕРВЯNIMDA Nimda
Sasser
ОШИБКАСИСТЕМЫПОСЛЕЗАРАЖЕНИЯ
SASSER’ОМ
2003
|
Slammer |
|
|
Незадачливыежители |
пакет, вирусмогвыполнитьнаудаленной |
никакнепроявлялсебяназараженноймаши- |
|
|
|
|
|||||
|
|
|
|
странСевернойАме- |
машинепроизвольныйкоди, всвоюочередь, |
не, последствияотSlammer’абыликолоссаль- |
|
рикибылисильноудивлены, когда25 января |
продолжитьраспространение. Поразличным |
ными. Роутерыимаршрутизаторынамагист- |
|||||
многиебанкоматыпопроступересталирабо- |
отчетамсообщается, чтовирусуудалосьзара- |
раляхбылинастолькоперегруженытрафиком, |
|||||
тать. Вовсеммиресосбоямиработалислужбы |
зить75.000 машинзакаких-тодесятьминут, |
чтолавинообразновыбивалидругудругав |
|||||
позаказуирезервированиюавиабилетов, |
— нокак? УязвимыймодульIIS, позволяющий |
концеконцовотключивнекоторыебэкбоны. |
|||||
многиесервисывообщенебылидоступны. |
приложениямавтоматическиобращатьсяк |
ЮжнаяКореябылаполностьюотрубленаот |
|||||
Нонабившийоскоминуфинансовыйкризис |
нужнойбазеданных, принималзапросыкак |
инетаинаходиласьвтакомсостояниипочти |
|||||
тутвовсенепричем— этолишьвсплескак- |
разпоUDP, ателовируса, составляющеевсего |
24 часа. Толькопредставь: никакогоинтернета |
|||||
тивностичервяSlammer. Активностьвпервые |
376 байт, отличнопомещалосьв одинединст- |
имобильнойсвязисвнешниммиромдля27 |
|||||
замеченав12:30 посреднеатлантическому |
венныйUDP-пакет. ВрезультатеSlammer |
миллионовчеловек. Забавно, чтомногиежер- |
|||||
времени, ак12:33 количествозараженных |
неиспользовалтормознойTCP, требующий |
твыдаженезнали, чтонаихмашинеустанов- |
|||||
машинудваивалоськаждые8.5 секунд. |
постоянныхквитков-подтверждений, арас- |
ленатакаяспецифическаявещь, какSQL. |
|||||
ВосновечервялежалауязвимостьвMicrosoft |
сылалсебяпоненадежномуUDP соскоростью |
|
|
||||
SQL Server, концепциякоторойбылапредстав- |
несколькодесятковзапросоввсекунду! |
|
|
||||
ленаDavid Litchfield наконференцииBlackHat. |
Несмотрянато, чтопатчдляуязвимостибыл |
|
|
||||
Отправляяна1434 скомпрометированный |
выпущенза6 месяцевдоэпидемии, авирус |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2004
|
Sasser |
|
|
Ужчто-что, аокошко |
алгоритмпогенерацииIP-адресов, пытается |
страняласьдостаточномедленно, ночерез |
|
|
|
||||
|
|
|
|
System Shutdown, ини- |
найтисистемыснезащищенным445 портом |
несколькоднейвСетибыливыпущенымоди- |
циированноеNT AUTHORITY\SYSTEM собрат- |
иуязвимымсервисом. Сплоитработална |
фикации, распространяющиесягораздобыст- |
||||
нымотсчетомисообщениемопринудительной |
«ура», правда, приводилкошибкенасистеме |
рее. Кэтомумоментучислозараженныхмашин |
||||
перезагрузкекомпьютеравиделпочтикаждый |
пользователя. Sasser открывална9997 порту |
измерялосьсотнямитысяч, авпикеэпидемии |
||||
— годомранее, вовремяэпидемииBlaster’а, |
шелл, черезкоторыйдалееизаливалосьвсе |
речьшлаомиллионах. ВФинляндиибыли |
||||
либожев2004, когдасталбушеватьвомногом |
необходимое. Самотелочервябезлишнего |
отмененырейсыместнойавиакомпании, во |
||||
похожийнанегоSasser. Принципиальная |
геморрояпростопередавалосьпопротоколу |
многихстранахзакрытынекоторыеотделения |
||||
разницачервейвтом, чтоонииспользуюткри- |
черезFTP, причемсервертакжеоткрывался |
крупнейшихбанков. Авторомзаразыоказался |
||||
тическиеуязвимостивразныхслужбах. Для |
назараженныхкомпьютерахна5554 порту. |
18-летнийнемецкийстудентСвенЯшан, хотя |
||||
размноженияSasser используетбагперепол- |
Какчастобывает, шелл-кодсплоитаотли- |
изначальноразрабатывался«русскийслед». |
||||
нениябуферавслужбеLocal Security Authority |
чаетсяотсистемыксистеме, поэтомуSasser |
Юноговредителязаложилкто-тоизсвоих, |
||||
Subsystem Service (LSAS) — отсюдаиназвание |
предварительнопроверялверсииудаленной |
позарившисьнаобещанноеMicrosoft’ом |
||||
червя. НаписанноенаС++ телоSasser впер- |
системы, чтобывыбратьправильныйнабор |
награждениев250.000 баксов. ПомимоSasser, |
||||
воначальнойверсииоткрывает128 парал- |
параметровдляатаки. |
накомпьютерепарнишкинашлиещеимного- |
||||
лельныхпотоков, и, используяспециальный |
ОригинальнаяверсиячервяSasser распро- |
численныемодификациичервяNetsky. |
XÀÊÅÐ 04 /124/ 09 |
023 |
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
|
d |
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
P |
D |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
NOW! |
r |
|
|
|
|
|
|
|
|
NOW! |
r |
|||||||||||
|
|
|
|
|
|
BUY |
>>m |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
|
to |
|
|
|
|
pc_zone |
|
|
|
|
|
|
to |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
o |
|||||||||||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
.c |
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
|
|
|
p |
df |
|
|
|
|
e |
|
|||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
g |
|
|
|
|||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
|||||
|
|
|
|
|
-xcha |
|
|
|
|
|
|
Sony rootkit |
|
Warezov |
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
BSOD ИЗ-ЗАКОРЯВЫХ ДРАЙВЕРОВSONY ROOTKIT |
ВРЕМЕННЫЙФАЙЛWAREZOV |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
2005 |
|
|
|
|
Sony rootkit |
Забавныйфакт: это |
диск. Послеустановки, всистемепоявлялись |
нентов, чтостого? Оченьпросто. Сразупосле |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
единственныйруткит, |
двановыхсервиса, которыеивыполняливсе |
появленияруткита, МаркРуссиновичвсвоем |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
которыйраспространялсялегально! Win32/ |
функции. Установленныйдрайвер$sys$aries |
блогерассказаломногочисленныхбрешахв |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
Rootkit.XCP, или«sony rootkit», являетсячастью |
(aries.sys) скрываетвсефайлыиключивреест- |
собственнойзащитепрограммы. Ибылправ: |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
системызащитыаудио-CD,выпускаемыхSony |
ре, которыеначинаютсяс«$sys$» посредством |
оченьскоромеханизм, предназначенныйдля |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
BMG. Растроеннаявсепоглощающимпиратст- |
перехватанативныхAPI-функций. Win32/ |
сокрытияфайловипроцессов, быстроприспо- |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
вомкомпаниярешилаборотьсяснелегальным |
Rootkit.XCP отслеживаетобращениякSystem |
собилидлясвоихнуждкодерывирусов. Более |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
копированиемспомощьюDRM-компонентов |
Service Table (SST) иперехватываетобращения |
того, распространениеэтогоноу-хаосамопо |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
(Digital Rights Management), авпопыткескрыть |
кфункциям: NtCreateFile, NtEnumerateKey, |
себеприводилокнестабильностисистемы, |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
ихприсутствиевсистемеобратиласьвкомпа- |
NtOpenKey, NtQueryDirectoryFile, |
зависаниюкомпьютераипотереданныхиз-за |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
ниюFirst 4 Internet, чтобытенаписалимаскиру- |
NtQuerySystemInformation. Врезультатеудает- |
кривыхдрайверов, установленныхвсистему. И |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
ющийруткит. Витоге, системазащитыдисков |
сяскрытьприсутствиеключейвреестре, папок, |
дажетогда, когдаSony выпустиласпециальную |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
вместесруткитомсталаинсталлироватьсяна |
файловипроцессов. |
|
тулзу, избавитьсяотэтодряниполностьюбыло |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
компьютерпользователяавтоматически, когда |
Тыспросишь: авчем, собственно, трабл? Ну, |
оченьиоченьзатруднительно. |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
вприводвставляетсязащищенныйкомпакт- |
скрываетэтотруткитработунужныхемукомпо- |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
2006 |
|
|
|
|
Warezov |
Надворе— 2006 год, |
базамимногиеюзерыоставалисьнеудел. |
такжеостанавливатьиудалятьслужбыанти- |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
тольковотушастые |
Впоследствии, когданавеб-серверахглобаль- |
вирусныхпрограммиперсональныхбранд- |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
пользователипо-прежнемуоткрываютвсе |
ноначаливычищатьвсеписьмасозловред- |
мауэров. Дляорганизациирассылкичервь |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
вложениявписьмах, апрограммноиммалокто |
нымиаттачами, модификацииперекинулись |
используетсобственныйSMTP-сервер. Глав- |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
запрещаетэтоделать. Результат? Огромный |
наIM-сети. АодинизвариантовWarezov стал |
ноеиспользованиеботнета— это, конечноже, |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
ботнетWarezov (онжеStration), которыйавторы |
первымчервем, которыйраспространялся |
спам. Однакомногиенодыслужилидляхостин- |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
сумелисобратьзасчетодноименногочервя, |
черезSkype! |
|
гатакназываемыхfast-flux платформ, позволяя |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
рассылаемогопоemail. Никакихсплоитови |
Какиподобаеттроюдляботнета, телоWarezov |
спамерампрятатьнастоящеерасположение |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
уязвимостей, — социальнаяинженерияилюдс- |
позволяловладельцамзагрузитьнакомпьютер |
ихспамерскихсайтовзаIP-адресомжертвы. IP |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
каятупость. Иведьповсютрубят: «Неоткрывай |
любуюзаразу. Червьсодержитвсебесписок |
менялсянастолькочасто, чтоегоневозможно |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
вложений» — такведьвсеравнокликают. |
жесткопрописанныхURL-адресов(что, конеч- |
былоприкрыть. Warezov достигалэтогодвумя |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
ОсобенностьчервяWarezov — вогромном |
но, минус), которыеонпроверяетнаналичие |
средствами: во-первых, reverse HTTP proxy, ко- |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
количествевариаций, которыепоявлялись, как |
файлов. Вслучаееслипокакому-либоизэтих |
тораяполучалаконтентснастоящего(скрыва- |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
грибыпоследождя. Былмомент, когдановые |
адресовбудетразмещенфайл, онзагрузитсяв |
емого) сайта, атакжеDNS-сервера, накотором |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
модификациипоявлялисьчутьлинеразв30 |
системуизапустится. ОсновноймодульWarezov |
специальнаяверсияBind подWindows меняла |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
минут. Дажесобновленнымиантивирусными |
способензавершатьразличныепроцессы, а |
записипонужномуалгоритму. |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
2007 |
|
|
|
|
|
Storm |
Ботнет, созданныйс |
вЕвропе, пользователямповалилисьписьма |
другдругом. Причемрольхоставслучаене- |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
помощьючервяStorm, |
спредложениемоткрытьвложенныйфайлс |
обходимостиможетзанятьлюбаяизнод. Вся |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
можносмелоназватьпроизведениемискуст- |
названиямиFull Clip.exe, Full Story.exe, Read |
сетьустроенатак, чтополногосписканодов |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
ва. ДецентрализованнаяP2P-сеть, вкоторой |
More.exe илиVideo.exe. |
нетниукого, поэтомуточныеразмерыботнета |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
большинствохостовсидиттихоиждетуказа- |
Всепопавшиесянаудочкумашиныавтомати- |
такиосталисьзагадкой. Поразнымподсче- |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
ний. Доменныеименаразрешаютсявпостоян- |
ческиобъединялись вботнет, новотличиеот |
там, онварьировался отодногодонескольких |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
номеняющиесяIP-адреса(опятьжеfast-flux |
другихсетей, оннеиспользовалспециальный |
миллионовмашин. |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
domains). Частькодачервя— полиморфная. |
управляющийсервер, доступккоторомулегко |
Помимофункцийпоработесботнетом, Storm |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
Впике— болеемиллионаинфицированных |
перекрыть. ПринципуправленияStorm боль- |
устанавливаетвсистемеруткит: Win32.agent. |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
хостов. Какэтоудалось? |
шенапоминаетпиринговуюсеть, вкоторой |
dh, посредствомкоторогодержателиботнета |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
Эпидемиячервяначаласьскомпьютеров |
зараженныенодыподключаютсяксвоему |
моглистащитьлюбуюконфиденциальную |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
вЕвропеиСоединенныхШтатах19 января |
управляющемухосту(онруководитобычно |
инфу, рассылатьспамиустраиватьмощные |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
2008 года, когда, прикрываясьтемойурагана |
30-45 зомби), ахостывзаимодействуютмежду |
DDoS-атаки. |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
024 |
|
|
|
XÀÊÅÐ 04 /124/ 09 |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
|
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
СMEBROOT’ОМДОСИХПОРСПРАВЛЯЮТСЯДАЛЕКОНЕВСЕАНТИВИРУСЫ |
|||
|
|
|
|
|
|
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
pc_zonew |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
|
|
|
|
|
ТЕХНИКАFAST-FLUX ВКАРТИНКАХ |
РАЗНЫЕСПОСОБЫРАСПРОСТРАНЕНИЯЧЕРВЯ |
|
|
|
Merboot |
|
||
|
|
|
||||||
|
||||||||
|
|
|
DOWNADUP |
|
|
|
|
|
|
|
|
|
|
|
|
|
COMPROMISED |
|
|
||
PCs |
|
|
|
|
NS.SUPERSAMEAS.COM |
ЧЕРЕЗВНЕШНИЕНОСИТЕЛИ, |
|
||
ИСПОЛЬЗУЯАВТОЗАПУСК |
ПРОПАТЧЕННЫЕСИСТЕМЫ |
|||
|
|
|||
|
|
STORM BOTNET |
СНАДЕЖНЫМПАРОЛЕМ |
|
|
|
НАСИСТЕМНЫЕШАРЫ |
||
|
|
211.51.164.123 |
||
2 |
|
|
|
|
|
|
|
Downadup |
|
1 |
HOME |
3 |
|
|
PC |
|
|||
|
|
|
||
QUERY: |
|
HTTP GET:211.51.164.123 |
MS08-067 |
|
WWW.SUPERSAMEAS.COM |
|
|
||
|
|
ЧЕРЕЗ«СЕТЕВОЕОКРУЖЕНИЕ», |
ИСПОЛЬЗУЯЭКСПЛОИТ |
|
Storm |
|
ПЕРЕБИРАЯПАРОЛЬАДМИНИСТРАТОРА ДЛЯУЯЗВИМОСТИMS08-067, |
||
|
КСИСТЕМНОЙШАРЕADMIN$ |
НАЙДЕННОЙВОВСЕХВЕРСИЯХ |
||
|
|
|||
|
|
|
WINDOWS |
2008
|
Merboot |
|
|
Загрузочныевирусы, |
|
|
|||
|
|
|
окоторыхвсеблагопо- |
|
|
|
|
|
лучноуспелизабыть, возвращаются. В2005 годунахакерскойконференцииBlack Hat специалистыeEye Digital Security продемонстрироваликонцепттакназываемогобуткита, размещающеговзагрузочномсекторедиска код, которыйперехватываетзагрузкуядра Windows изапускаетбэкдорсвозможностьюудаленногоуправленияполокальной сети. Презентацияпрошланаура, ав2008 году, последлительногозатишьявобласти
руткитов, выстрелилMebroot. Новыйтроян использовалпредставленнуюещев2005 году идеюиразмещалсвое теловбут-секторе диска, послечеговносилмодификациив ядроВинды, которыезатруднялиобнаружениевредоносногокодаантивирусами. Подцепитьзаразумогктоугодно: компы заражалисьчерезсвежиесплоитыспопулярныхсайтов. Вредоносныйкодсначала изменяетMBR (главнаязагрузочнаязапись), записываетруткит-частивсекторадиска, извлекаетизсебяиустанавливаетбэкдор
вWindows, послечегосамоудаляется. В результатезаражения, вMBR размещаются инструкции, передающиеуправлениеосновнойчастируткита, размещенноговразных секторахжесткогодиска. Именноэтачасть, ужепослезагрузкисистемы, перехватывает API-функцииискрываетзараженныйMBR. Крометрадиционныхфункцийпосокрытию своегоприсутствиявсистеме, вредоносный кодустанавливаетвWindows бэкдор, который занимаетсякражейбанковскихаккаунтов.
2009 |
|
|
Downadup |
|
|
Червя, нашумевшегов |
netapi32.dll. Накомпьютерезапускаетсяспе- |
|
|
|
|
||||
|
|
|
|
январе, называютпо-раз- |
циальныйкод-загрузчик, которыйскачиваетс |
||
|
|
|
|
|
|||
|
|
|
|
|
|
||
|
|
ному: Downadup, Conficker, Kido. Важноодно: |
ужезараженноймашиныисполняемыйфайл |
||||
|
|
новоймалварезанесколькоднейудалось |
червяизапускаетего. |
||||
|
|
заразитьмиллионыкомпьютеров, исобранный |
Кромеэтого, червьотличнотиражируетсебя |
||||
|
|
ботнетфункционируетдосихпор. Разработчи- |
через«Сетевоеокружение», перебирая |
||||
|
|
камудалосьлиходиверсифицироватьспособы |
парольадминистратораксистемнойшаре |
||||
|
|
распространения, объединивводномчерве |
ADMIN$. Адавноизвестныйспособраспро- |
||||
|
|
сразунесколькоуспешныхметодик. Самый |
странениячерезфлешкипретерпелизме- |
||||
|
|
эффективныйспособ— приватныйсплоит, |
нения: врезультатеобфускацииAutorun.inf |
||||
|
|
использующийнепропатченнуюсистемус |
(разработчикипростодобавиливфайлкучу |
||||
|
|
уязвимостьюпереполнениябуфераMS08-067 в |
мусора) удалосьобманутьмногиесигна- |
||||
|
|
сервисе«Сервер» (патчвышелещевоктябре). |
турныеантивирусы. Несколькоспособов= |
||||
|
|
Дляэтогочервьотсылаетудаленноймашине |
максимальныйэффект! Другаяключевая |
||||
|
|
специальнымобразомсформированныйRPC- |
особенностьзаключаетсявтом, какчервь |
||||
|
|
запрос, вызывающийпереполнениебуфера |
скачиваетназараженнуюмашинутрояна(для |
||||
|
|
привызовефункцииwcscpy_s вбиблиотеке |
дальнейшейрассылкивируса, DDoS’аит.д.). |
XÀÊÅÐ 04 /124/ 09
Разработчикиотказалисьотразмещения файловнакаком-тожесткозафиксированном серваке. Вместоэтогокодчервяполучает нанесколькихпопулярныхресурсахтекущуюдатуипонейгенерируетсписокиз250 доменов, используяспециальныйалгоритм. Задачахозяевботнета— заблаговременно этидоменызарегистрироватьиразместить тамфайлыдлязагрузки. Противостоятьэтому нестолькосложно, сколькодорого. Перехватывая API-вызовы, отвечающие за обращение к DNS, заразе долгое время удавалось сдерживать антивирусы,
которые банально не могли обновиться, обращаясь к заблокированным доменам, со-
держащим слова kaspersky, nod, symantec, microsoft и т.д. z
025
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
>>m |
|
|
|
|
|
|
BUY |
|
|
||||||||
w Click |
to |
|
|
|
|
pc_zone |
w Click |
to |
|
|
|
|
|
m |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
СТЕПАН ИЛЬИН |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
/ STEP@GAMELAND. RU/ |
|
|
|
|
|
|
|
|
|
|
|
|
НАВИГАЦИЯ БЕЗGPS
КакопределитьсвоикоординатыпоIP, GSM/UMTS иWi-Fi
Тысячилетназадотакойштуке, какGPS, никтонемогдажемечтать. Номорякиипутешественникиотличносправлялисьснавигацией, используякомпасикарты, солнцеизвезды. Сейчас— векцифровой, нотожеестьнемалоспособовопределитьместорасположениебез всякихтамсистемглобальногопозиционирования.
Спорунет, GPS — класснаяштука, ночтоделать, еслиприемника подрукойнет? Далеконеукаждогоестьвстроенныйчипвмобиле. Даивладелецавтомобилясовсемнеобязательноуспелобзавестись
устройствомнавигации. Таккакжебыть? Еслинебратьврасчетредкиеи экзотическиеварианты, тоосновныхспособатри:
1.ОпределитьIP испомощьюспециальнойбазыданныхопределить город, вкоторомнаходишься, инередко— долготуишироту.
2.Определитьрасположениепонаходящимсярядомбазовымстанциям GSM/UMTS. Этовозможноприналичиибазыданныхсидентификаторамивышекиихкоординатами.
3.Использоватьдлявычисленияширотыидолготыинформациюо находящихсярядомточкахдоступаWi-Fi, передавзапроссиххарактеристикаминаспециальныйсервер.
Итак, начнемссамогопростого.
IP НАМВПОМОЩЬ
КогдамненужнопроверитьсвойвнешнийIP, чтобыубедиться, например, чтоявключилVPN илипрокси, явсегдаиспользуюсервис ip2location.com. Приятно, что, помимосамогоIP-адреса, выводится информацияопровайдере, егоместорасположении(город, страна, штат), азачастую… ещеикоординаты. Самособой, вбазенебудут указаныширотаидолготадлясамогообычногоклиентаинтернет-услуг. Какправило, данныеуказываютсядляпровайдера, реже— длякрупных компаний, имеющихбольшиедиапазоныстатическихIP. Получается, что, подключившиськсети(например, черезлюбойоткрытыйhotspot илипростовоспользовавшиськомпьютером), можносбольшойдолей вероятностиопределитьпримерноеместо, гдетынаходишься. Конечно, способпримитивный— иболеетого, самыйнеточныйизвсехпредставленныхвэтойстатье. Сдругойстороны, этореальныйшансопределить
месторасположение, всеголишьоткрывстраничкувинтернете. Аесли сварганитьспециальныйтрекер, установитьегонаКПКиотслеживать IP-шники, которыеонполучаетприконнектекоткрытымWiFi-сетям, то реальновычислитьпередвижениядевайса.
Использоватьсервисвчистомвиде, аименно— переходябраузером поссылкеip2location.com, скучноибеспонтово. Месторасположениена картенеувидеть, логнесохранить, асамастраницаслишкомтяжелая длямобильногоинета— короче, этоненашпуть. Отсервисанамнужно толькоодно— базасоответствийразныхIP-адресовихрасположению, которуюip2location предлагаетприобрестизадовольноразумные деньги. Самособой, подобныебазыбыстрорасплываютсяповарезным порталамиторрентам, причемвдвухвариантах: .cvs (текстовом) и.bin (бинарном). Стакойбазойнесложнозаточитьлюбоеприложениепод себя. Правда, IP-адресвбазехранитсявспециальномцифровомвиде безточекиразделениянаоктеты, носледующаяPHP-функцияпоможет привестиобычныйIP-шниккнужномувиду:
function Dot2LongIP ($IPaddr)
{
if ($IPaddr == "") { return 0;
} else {
$ips = split ("\.", "$IPaddr");
return ($ips[3] + $ips[2] * 256 + $ips[1] * 256 * 256
+$ips[0] * 256 * 256 * 256);
}
}
Имеятакойключдляадреса, ничегонестоитнайтисоответствующие
026 |
XÀÊÅÐ 04 /124/ 09 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
pc_zonew |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Базаданныхip2location
ОпределяемкоординатыпопараметрамMNC, MCC, LAC, Cell ID базовой станции, ккоторойподключены
КоординатыпоIP-адресу? Легко! Нооченьнеточно:)
емукоординатывтекстовойбазе. Еслижевраспоряжениибудетбаза вBIN-формате, тозадачаещепроще. ДляPerl, C, Python, PHP, Ruby, C#, VB.NET, Java, Visual Basic сервисомподготовленыготовыемодули
(http://www.ip2location.com/developers.aspx), которыелегкоиспользо-
ватьвсвоемпроекте. ВслучаесPHP достаточнозакинутьнасайтмодуль IP2Location.inc.php исоздатьнесложныйскриптик:
<?php
include("IP2Location.inc.php");
$ip = IP2Location_open("samples/IP-COUNTRY-SAMPLE.BIN", IP2LOCATION_STANDARD);
$record = IP2Location_get_all($ip, "_IP-АДРЕС_");
echo "$record->country_long : " . $record->country_long; echo "$record->city : " . $record->city;
echo "$record->isp : " . $record->isp;
echo "$record->latitude : " . $record->latitude; echo "$record->longitude : " . $record->longitude; IP2Location_close($ip);
?>
Можнопростовывестинаэкран, залогироватьилиотобразитьнакартес помощьюGoogle Maps, передавширотуидолготувкачествепараметра:
http://maps.google.com/maps?f=l&hl=en&q='+query+'&near
='+str(lat)+','+str(lng)+'&ie=UTF8&z=12&om=1
ИСПОЛЬЗУЕММОБИЛЬНЫЕВЫШКИ!
Стараябайкаотом, чтоспецслужбымогутнайтичеловекапосигналу отегомобильника— одинизтехслучаях, когданасамомделевсетаки есть. Дачеготамспецслужбы, еслинаэтоспособнадажесовершенно бесплатнаяпрограммаGoogle Maps (www.google.com/gmm).
Посути, этоудобнаяоболочкадлядоступакодноименномувеб-сервису, позволяющемусмотретьфотографииместностисоспутника, рельефи— во многихслучаях— картысвозможностьюпроложитьмаршруты. Думаю, рассмотретькрышусвоегодомачерезmaps.google.com пробоваливсе. Работатьстакимсайтомчерезбраузернамобильномтелефоне(дажеесли этосверхскоростнаяOpera Mini) крайнесложно, поэтомувGoogle, подсуетившись, сделалиудобнуюоболочкудляпросмотракарт. Оформилиеев видеприложениядлясамыхразныхплатформ— отобычныхмобильных, поддерживающихJava, досмартфоновикоммуникаторовнаWindows Mobile иSymbian S60 3rd Edition, престижныхBlackBerry, атеперьещеи
Android, ккотороймыпоканепривыкли, нооченьскоробудемвосприниматькакоднуизосновныхплатформдлятелефона. ВтомжеiPhone Google Maps встроенапоумолчанию. Таквот, помимоудобногопросмотраэтих самыхкартиспутниковыхснимков, уутилитыестьодназамечательная кнопка«Моеместорасположение». Одинклик— инакартеотмечается нахождениетелефона. Да, длявладельцевтрубоксGPS этосущаяерунда: нашличемудивить! Нонадовидетьлицатехпользователей, которыеобна-
ружилинаэкранесвоеместорасположение, хотяникакихнавигационных приблудунихнебылоивпомине! Впрочем, этотолькотаккажется. Телефоннаятрубкавсегданаходитсявзонедействия, поменьшей мере, однойбазовойстанциисотовойсети. Ну, илиненаходится— нов этомслучаеотнеетолкунеболеечемоткирпичика. Любаяизбазовыхстанцийимеетнекоторыйнаборпараметров, которыеполучает телефон— благодаряэтомукаждуюБСможнораспознать. Одинизтаких параметров— CellID (сокращенноCID) — уникальныйномердлякаждой соты, выданныйоператором. Знаяего, тыможешьраспознатьбазовуюстанцию, азнаярасположениебазовойстанции, можешьпонять, гденаходишься. Точностьварьируетсяотнесколькихсотенметровдо несколькихкилометров, ноэтонеплохаяотправнаяточка, чтобыразобратьсяскоординатами.
Получается, имеявналичиитабличку, гдевсоответствиискаждой базовойстанциейбудетсопоставленыеекоординаты, можнопримерно вычислитьположениеабонента. АразGoogle Maps можеттаклихоопределятьместорасположениечеловека, тоунеготакаябазаданныхесть. Нооткуда? Расположениебазовыхстанциейразличныхоператоров— пускайинесекретная, новрядлиоткрытаяинформация. Дажеучитывая масштабностьпроектовГугла, струдомможноповерить, чтототдоговорилсясовсемиоператорамисотовойсвязи— определениеместоположенияработаетвлюбомместе(забегаявперед, скажу, чтоправильнее говорить«можетработатьвлюбомместе»). Ответскрываетсявлицензионномсоглашениивовремяустановкипрограммы, накоторыймы, конечноже, забилиисразунажали«Ясогласен» :). Аведьтамчернымпо беломунаписано, что, принимаясоглашение, мыразрешаемпрограмме анонимнопередаватьнасерверинформациюотекущемрасположениииинформациюосотовыхвышкахпоблизости. Да! Базуданныхс примернымикоординатамибазовыхстанцийсоставляютдляGoogle самипользователиGoogle Maps, имеющиенабортусвоихтелефонови коммуникатороввстроенныйприемникGPS. Ичтосамоеклассное: даже приполномотказеотиспользованиякакофициальных, такинеофициальных(собранныхэнтузиастамиспомощьюспециальныхсканеров— подробнеечитайвоврезке) базсрасположениемстанций, функциядля определенияместорасположенияработаетна«ура». Проверьсам.
GSM-НАВИГАЦИЯСВОИМИРУКАМИ
Возможностьпосмотретьвпрограммесвоерасположение— самопо себездорово, норазвежможноотказатьсяотсоблазнаиспользовать базыGoogle’авкорыстныхцелях? Кактебе, например, идеясоздать собственныйтрекер, которыйопределялбытекущеерасположениеБСи передавалегонанашсервер? Эдакийжучоксредствамисамоготелефона, которыйработаетвездеивсегда!
КомпаниянеразглашаетпротоколвзаимодействияGoogle Maps, непубликуяAPI, однакоеголегковскрыли, простопроснифавтрафикиреверснувчастькода. Помимоhttp-запросовназагрузкукарт, отчетливовидно, чтопрограммаотправляетзапросыпоадресуhttp://www.google.com/ glm/mmap, причемименнотогда, когдапользовательжелаетполучить текущееместорасположение. Вотипопалсянашскриптик— вкачестве
XÀÊÅÐ 04 /124/ 09 |
027 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
NOW! |
o |
|
|
|
P |
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
>>m |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
w Click |
to |
|
|
|
|
pc_zone |
|
w Click |
to |
|
|
|
|
|
m |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
links |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• ПараметрыGoogle |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Maps: mapki.com/ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
wiki/Google_Map_ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Parameters. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
NetMonitor дляSymbian |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• ДелаемGPS-адап- |
|
показываетнужные |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
нампараметрыбазовой |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
тердлямобильного |
СкриптдлявзаимодействияссервисомGoogle |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
станции |
НавигациячерезWi-Fi: на |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
телефонасвоими |
|
|
картеобозначенытакиеже |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
руками: |
|
|
|
пользователи |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
tinkerlog.com/2007/ |
параметровемупередаютсятехническиезначениябазовой |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
07/13/interfacing-an- станции: MCC, MNC, LAC иCellID. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
avr-controller-to-a- |
|
print 'no data in google' |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
gps-mobile-phone. |
MCC — код страны (для России — 250) |
except: |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
MNC — код сети (МТС — 01, Мегафон — 02, Билайн — |
print ‘connect error’ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Мануалпополу- |
99 è ò.ï.) |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
чениюкоординат |
LAC — код локальной зоны (другими словами, |
Длязапуска, естественно, потребуетсяинтерпретатор |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
поданнымсотовой |
совокупности базовых станций, обслуживаемых |
Python’а(обязательно2-йветки, потомукакна3-йне |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
точкичерезYahoo: |
одним контроллером) |
запустится), которыйможноскачатьссайтаhttp://python. |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
developer.yahoo. |
CellID (CID) — идентификатор, состоит из номе- |
org/download/releases. Впервойстрокескрипта, как |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
com/yrb/zonetag/ |
ров базовой станции и сектора |
несложнодогадаться, необходимоподставитьNET (MCC и |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
locatecell.html. |
|
MNC, написанныеслитно), CID, LAC. Врезультатескрипт |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
Зная, кудапосылатьданные, осталосьэтизначения |
сформируетзапроснасерверhttp://www.google.com/ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Реализацияработы |
получить! Наиболеепростойспособ— прямовпрограмме |
glm/mmap иотправитего. Еслибазоваястанциясэтими |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
сбазойданных |
Google Maps перейтив«Справку», тамщелкнуть«Общие |
параметрамиестьвбазе, тонаэкранвыведутсякоордина- |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
Google Maps. |
сведения», ивсамомконцеэтойстраничкибудетстрока |
ты, например, «59.200274 39.836925». Впротивномслучае |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
НаPHP: http://www. |
спараметрамивформатеmyl:MCC:MNC:LAC:CellID. Куда |
скриптвыдастошибку: «no data in google». Любителям |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
witracks.com.br/ |
большийпростордлядеятельностипредоставляютспе- |
программироватьнесоставиттрудадобавитьпарустро- |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
gmaps.txt. |
циальныепрограммыnetmonitor’ы: сихпомощьюможно |
чек, например, поуказаннымNET иLAC перебратьвсе |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
j2me: http://www. |
логироватьпараметрыприпереключенииотоднойстан- |
вариантыCID (от1 до65536), и, посмотрев, какиесектора |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
mapnav.spb.ru/site/ |
циикдругой, извлекатьпараметры«соседей» (находя- |
имеютсяуГугла, узнатьихпримерныекоординаты. Если |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
e107_plugins/forum/ |
щихсявполезрениядругихБС), даипростополучатькуда |
тебенеохотаморочитьголовускриптами, нанашдискмы |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
forum_viewtopic. |
болееподробнуюинформацию. Длякаждойплатформы |
выложилиGUI-программу, написаннуюнаC# (исходники |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
php?9736. |
естьсвоиреализациинетмониторовсразличнымивоз- |
прилагаются). Вэтомслучаетыавтоматическиполучишь |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
НаPython дляS60: |
можностями— тыможешьвыбратьпрограммуподсебя, |
ещеиссылку, отображающуюкоординатынасайтеGoogle |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
http://blog.jebu. |
почитавврезку. |
Maps. Ссылкинареализациинадругихязыкахсмотрив |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
net/2008/07/google- |
Теперь, когдавсенеобходимыепараметрыполучены, |
боковомвыносе. Интересно, чтонасерверпередаются |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
cell-tower-mapping- |
можнообратитьсянасерверипопробоватьполучитьответ. |
всеголишьтрипараметра, причемключевымиявляются |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
with-python-on-s60. |
ПриведудляэтогонесложныйскриптнаPython’е, который |
толькозначенияLAC иCellID. АMCC/MNC необходимына |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
НаC#: http://maps. |
написалнашсоотечественникSkvo иопубликовалнафору- |
тотслучай, есливбазеестьнесколькопарсодинаковыми |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
alphadex.de/datafiles/ |
меforum.netmonitor.ru: |
LAC, CellID. Приэтомтелефонможетполучатьнамного |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
fct0e1b11782832f02. |
|
большеинформацииотекущейстанции— взятьхотябы |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
cs. |
|
net, cid, lac = 25002, 9164, 4000 |
мощностьсигнала, однакоэтипараметрыврасчетахне |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
НаDelphi: http:// |
import urllib |
используются. Получаетсякрайнепростойалгоритм. Один |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
forum.netmonitor.ru/ |
a = ‘000E00000000000000000000000000001B000000 |
сектор— однакоордината; независимооттого, находится |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
about4470-0-asc-60. |
0000000000000000030000’ |
липользовательв100 метрахотбазовойстанцииилив |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
html. |
|
b = hex(cid)[2:].zfill(8) + hex(lac)[2:]. |
километреотнее, координатабудетодинаковая! |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
zfill(8) |
Отдельнохочусказать, чтозамечательныйпроект«Яндекс. |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
c = hex(divmod(net,100)[1])[2:].zfill(8) + |
Карты», которыйяособеннолюблюзавозможностьотобра- |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
hex(divmod(net,100)[0])[2:].zfill(8) |
женияточек, имеетточнотакойжефункционал. Ировнотак |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
string = (a + b + c + ‘FFFFFFFF00000000’). |
же, какиGoogle, предоставляетсвоейпрограммеданныео |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
decode('hex') |
точкепозапросусуказаниемCell ID, LAC, NET параметров: |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
try: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
data = urllib.urlopen('http://www.google. |
http://mobile.maps.yandex.net/cellid_locati |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
dvd |
|
com/glm/mmap',string) |
on/?&cellid=%d&operatorid=%d&countrycode=%d |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Всеописанные |
r = data.read().encode('hex') |
&lac=%d |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
скрипты, утилитыдля |
if len(r) > 14: |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
трекингаинавигации |
print float(int(r[14:22],16))/1000000, |
Единственноеотличиевтом, чтоответсервис«Яндекса» |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
тынайдешьнанашем |
float(int(r[22:30],16))/1000000 |
возвращаетвXML-формате, которыйлегкоиудобнопарсит- |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
диске. |
|
else: |
сядляизвлечениялюбыхпараметров. |
|
|
|
|
|
|
|
|
|
|
|
028 |
XÀÊÅÐ 04 /124/ 09 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
pc_zonew |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ЕслиданныеоБСестьуGoogle, тосервервозвращаетеекоординаты
КАКЗАСТАВИТЬРАБОТАТЬНАВИГАЦИОННЫЕПРОГРАММЫ
КакойбызамечательнойнибылапрограммаGoogle Maps, использовать еевкачественавигационногоинструмента, мягкоговоря, затруднительно. Былобыздорово, пускайипримерные, новсе-такикоординаты скормитьнормальнойпрограмменавигации, схорошимикартами, подробнойадресациейипроработаннымиалгоритмамипрокладкимаршрута. Некоторыепрограммы, например, «Навител» и«Автоспутник» имеютещеодинплюс: ониумеютподгружатьинформациюопробкахи учитыватьееприсоставлениимаршрута. Чистотеоретически, ничегоне стоитнаписатьподобноеприложениесамому. Алгоритмпрост:
1.Получаемтекущиекоординатыприкаждойсменебазовойстанции;
2.Отправляязапроснаспутник, получаемпримерныекоординаты;
3.ЭмулируемвсистемепоследовательныйпортивпростомформатеNMEA, которыйиспользуютGPS-навигаторы,транслируемтудатекущиекоординаты. ИменноэтотпринциплежитвпрограммеVirtualGPS (www.kamlex.com), предназначеннойдляустройствнаплатформеWindows Mobile 2003, WM 5, WM 6, WM 6.1. Бесплатнаяlite-версияпрограммыопределяеттекущее расположениеповышкамсотовойсвязииэмулируетGPS. Послезапуска прогасоздаетвсистеменовыйпорт, которыйнужноуказатьвнастройках любимойнавигационнойпрограммы— ита, ничегонеподозревая, будет считать, чтоподключенакнастоящемуGPS-приемнику.
НАЧТОСПОСОБЕНWI-FI
Будучираздосадовантем, чтобольшинствоWiFi-точкевгороделибо закрыты, либоплатные, подумайотом, чтоиимможнонайтиприменение. Полагаю, ненадоговоритьдлячего:). Принципточнотакойже: определиввсеточкидоступапоблизости, отправляеминформацию
оMAC-адресах(добавляяприжеланииидентификаторсетиSSID) на специальныйсервис. Тотпроверяетихкоординатыивыдаеттебетвое примерноерасположение. Такаятехнологиядавнофункционируетв Штатах, гдепокрытиеWi-Fi зашкаливаетнастолько, чтоскрытьсяотнего уже, похоже, негде. WPS (Wi-Fi Positioning System) предоставляеткомпанияSKYHOOK Wireless (www.skyhookwireless.com), разработавшая клиентскиеприложениядляразныхплатформисобравпервоначальную базусточкамидоступа. Быстропоявилисьиальтернативныеприложения, которые, используяAPI-сервиса, получаюткоординатыпользователя. Срединих— замечательныйплагиндляFirefox’аGeode (http:// labs.mozilla.com/geode_welcome), которыйподставляетинформацию
отекущемместоположенииналюбомвеб-сайте(вовремясоздания новогопоставблог, например).
Функция«Локатор» |
|
|
позволяетвреальном |
|
|
времениотслеживать, |
Клиентскаячасть |
|
гденаходятсятвои |
||
друзья |
трекера, которая |
|
Определяеммес- |
отсылаеттекущие |
|
координатыдевайса |
||
торасположениев |
||
наспециальныйвеб- |
||
Google Maps |
||
сервер |
||
|
Увы, вРоссиихотькак-тозаставитьработатьSKYHOOK мнетакине удалось. Затонашисоотечественникивплотнуювзялисьзареализацию подобнойидеи, воплотиввжизньсервисWi2Geo (wi2geo.ru), который мнепочему-тооченьхочетсяназватьWi2Go :). Ребятаужесейчаспредо-
ставляютприложениядляWindows Mobile, Symbian, Windows иMac OS X, адлянавигациииспользуютбазуIP-адресов, информациюоячейках GSM и, собственно, точкахдоступаWi-Fi. Базыникомунезапрещеноиспользоватьвсвоихцелях, воспользовавшисьоткрытымAPI (http://labs. wi2geo.ru/basicapi.php). Огорчаеттолько, чтопроектбудетразвиваться тольковтехгородах, гдебольшоепокрытиеWi-Fi. Атаковымпокаможно назватьтолькоМоскву.
АКАКЖЕТРЕКИНГ?
Вышемыговорилиотрекингепользователя— системе, позволяющей вреальномвремениотследитьположениепользователянакарте. Неплохо, еслибыподобнуюштукуустановилинасвоителефонывсе друзья. Тогданичегобынестоилоузнать, ктогде, ипринеобходимости
— договоритьсяовстрече. РебятаизGoogle реализовалиэтовфункции Google Latitude, снедавнеговременидоступнойопятьжепользователяммобильныхGoogle Maps. Ксожалению, черезбраузерпросмотреть расположениедрузейможнотольковШтатах, новедьничегонемешает использоватьамериканскийпрокси?
Естьидругойвариант. Насайтеhttp://forum.xda-developers.com/ showthread.php?t=340667 совершеннобесплатноможноскачатьспециальнуюпрограммудлятрекинга, клиентскаячастькоторойустанавливаетсянакоммуникаторнабазеWM, асерверная— налюбойвеб-сервер. ДалееположениеобъектаможнопросмотретьчерезпрограммуGoogle Earth. Реальноработающеерешениедлябизнеса, котороесучетом открытыхисходниковнесложнодоработатьподсебя! z
Программы NetMonitor
Чтобы понимать, какую базовую станцию телефон использует в текущий момент, и получить ее параметры, понадобятся специальные программы. К сожалению, универсальной программы нет, поэтому для каждой платформы придется найти подходящий инструмент!
Symbian: FieldTest, CellTrack, Best GSMNavigator
Windows Mobile 2005: GPS Cell
Windows Mobile 5.0/6.0: NetMonitor32, WMCellCatcher, CellProfileSwitcher (замечу, что не все программы работают со всеми радио-прошивками)
О базовых станциях сотовых сетей
В статье я упоминал о неофициальных базах данных с расположением вышек различных сотовых сетей. В интернете существует немало проектов, где энтузиасты делятся собранной нетмониторами информацией. Из иностранных это — celldb.org/aboutapi. php, www.opencellid.org/api, http://gsmloc.org/code, cellid.telin. nl. Каждый из них имеет простой API для получения координат с помощью обычного HTTP-запроса, при этом в качестве параметров указываются традиционные MCC, MNC, Cell ID и LAC.
Отдельно хочу упомянуть наш русский проект Netmonitor.ru, в котором собрана инфа о большом количества БС Мегафона, МТС, Билайна, ТЕЛЕ2 и даже Skylink. К тому же, на сайте располагается еще и крупнейший форум для исследователей сотовых сетей.
XÀÊÅÐ 04 /124/ 09 |
029 |
|