Поиск бэкдоров в плагинах
Поиск бэкдоров в плагинах
Очень большая проблема в интернете, это поиск чистых плагинов для сервера. Расплодилась большая масса плагинов с вредоносными кодами - бэкдорами. Данный вредоносный код может отправлять злоумышленникам данные вашего сервера, а в дальнейшем взломать его и нарушить работоспособность. Рекомендуется скачивать плагины с исходниками и заного их компилировать с помощью компилятора.
*Ссылки на все ресурсы и программы будут закреплены ниже
Что нам понадобится:
Любой текстовый редактор ( Рекомендую SubLimeText 3 )
Консольное приложение, которое даёт нам возможность получить дизассемблированный код плагина.
Cкачиваем программу AMXXDUMP
Распаковываем в любое место на жёстком диске.
Перемещаем нужный нам файл в место с AMXXDUMP
Открываем командную консоль ~ Пуск => Выполнить => Вводим команду "cmd"
В открывшемся окне вписываем "cd ПУТЬ ДО ПАПКИ С AMXXDUMP"
Вписываем в окно:
* Теперь давайте разберем что мы написали:
amxxdump - обращение к программе
-d -D - Флаги для декемпеляции, о них подробнее чуть позже
plugin_init - Функция для декемпеляции ( В большинстве случаев бэкдор содержится именно там )
grab.amxx - Название плагина помещенного вместе с AMXXDUMP
plugin_init.txt - Файл в которой будет помещен декемпелированный код
Давайте откроем файл и проанализируем что нам выдал декомпилятор
К примеру нам выдало bind, данная функция создаёт редирект на другой сервер, бэкдоры могут быть очень хорошо "запрятаны в код"
*Ссылки на все ресурсы и программы будут закреплены ниже
Что нам понадобится:
Любой текстовый редактор ( Рекомендую SubLimeText 3 )
Программа AMXXDUMP
Скачать программуЧто же такое AMXXDUMP?
Консольное приложение, которое даёт нам возможность получить дизассемблированный код плагина.
Cкачиваем программу AMXXDUMP
Распаковываем в любое место на жёстком диске.
Перемещаем нужный нам файл в место с AMXXDUMP
Открываем командную консоль ~ Пуск => Выполнить => Вводим команду "cmd"
В открывшемся окне вписываем "cd ПУТЬ ДО ПАПКИ С AMXXDUMP"
Вписываем в окно:
Код
amxxdump -d -D plugin_init grab.amxx > plugin_init.txt
* Теперь давайте разберем что мы написали:
amxxdump - обращение к программе
-d -D - Флаги для декемпеляции, о них подробнее чуть позже
plugin_init - Функция для декемпеляции ( В большинстве случаев бэкдор содержится именно там )
grab.amxx - Название плагина помещенного вместе с AMXXDUMP
plugin_init.txt - Файл в которой будет помещен декемпелированный код
Давайте откроем файл и проанализируем что нам выдал декомпилятор
К примеру нам выдало bind, данная функция создаёт редирект на другой сервер, бэкдоры могут быть очень хорошо "запрятаны в код"
