در بازی ها، شبکه های اجتماعی و ... که به صورت غیرقانونی یعنی هک یا دزدیده شده اند. البته درک اینکه بروت چیست و چگونه کار می کند بسیار دشوار است، اما ما سعی خواهیم کرد این کار را انجام دهیم. اما ابتدا بیایید بفهمیم که چگونه از تبدیل شدن به قربانی بعدی مهاجمان جلوگیری کنیم.

زور وحشیانه چیست و چگونه از خود در برابر آن محافظت کنیم

بنابراین نرم افزار خاصی وجود دارد که به شما این امکان را می دهد تا با انتخاب ترکیبی از اعداد و حروف، رمزهای عبور صحیح را برای لاگین های موجود، ایمیل ها و ... پیدا کنید.البته یکسری امکانات در عملکرد این گونه برنامه ها وجود دارد. برای مثال، هر چه رمز عبور طولانی‌تر و پیچیده‌تر باشد، شکستن آن بیشتر طول می‌کشد و همه چیز می‌تواند به جایی برسد که نیروی brute force از کار بیفتد. در مورد زمان، مقدار زیادی به قدرت محاسباتی تجهیزات و اتصال به اینترنت بستگی دارد. بنابراین، این فرآیند می تواند از چند دقیقه طول بکشد و تا یک روز یا بیشتر طول بکشد.

احتمالاً قبلاً متوجه شده اید که نیروی اکانت بروت فورس چیست. در مورد امنیت، همانطور که در بالا ذکر شد، توصیه می شود رمز عبوری تنظیم کنید که به خاطر سپردن آن برای خودتان دشوار است. به عنوان مثال، RKGJH4hKn2. به جرات می توان گفت که هک کردن آن بسیار مشکل ساز خواهد بود. علاوه بر این، باید به خاطر داشته باشید که برای مثال، بسیاری از حروف یکسان، مانند اعداد، هیچ تاثیری ندارند. همه چیز باید گیج و مخلوط شود، توصیه می شود حروف بزرگ و کوچک را جایگزین کنید.

بیس Brute چیست؟

البته اگر دیتا نباشد برنامه کار نخواهد کرد. بنابراین، اگر او چیزی برای حدس زدن رمزهای عبور نداشته باشد، این کار را انجام نخواهد داد. پایگاه داده مجموعه ای از رمزهای عبور و ورود به سیستم است. هرچه این لیست گسترده تر باشد، احتمال هک شدن حساب بیشتر می شود. خیلی بستگی به این دارد که چه ترکیباتی در آن وجود دارد، یعنی هر چه با صلاحیت تر ترکیب شود، بهتر است. همچنین شایان ذکر است که پایگاه داده نه تنها شامل رمزهای عبور، بلکه لاگین نیز می شود، زیرا brute force که در زبان انگلیسی به معنای "نیروی بی رحم" است، می تواند هر دو را به طور همزمان انتخاب کند.

شایان ذکر است که خود فایلی که تمام رکوردها در آن ذخیره می شود بسیار بزرگ است. حداقل طول ترکیب 3 حرف و عدد و حداکثر 8-16 بسته به برنامه و نسخه آن است. انتخاب با حرف "A" شروع می شود و با آخرین حرف الفبای انگلیسی یا روسی پایان می یابد. این اساساً تمام اطلاعات موجود در پایگاه های داده است که ممکن است برای شما مفید باشد.

چه کسی و چرا به این نیاز دارد؟

پاسخ دادن به این سوال بدون ابهام دشوار است. افراد به دلایل زیادی سعی در هک کردن حساب ها دارند. این می تواند فقط برای سرگرمی، میل به خواندن نامه های دیگران، ارسال پیام های نامعتبر و غیره باشد. مسئله این است که این غیرقانونی است. علاوه بر این، می توان آن را یک سرقت واقعی دانست و باید پاسخگوی آن باشید. انجام چنین کارهایی اکیداً توصیه نمی شود، به خصوص که گاهی اوقات باعث اتلاف وقت می شود.

حتی اگر حساب شما هک شده باشد، می توان آن را به سرعت و به راحتی بازیابی کرد. اگر هنگام ثبت نام داده های واقعی ارائه کرده باشید، انجام این کار به ویژه آسان است. در مورد حساب هایی که با عجله ایجاد شده اند، بازگرداندن آنها بسیار دشوارتر خواهد بود. اما، همانطور که تمرین نشان می دهد، چنین حساب هایی توسط هکرها ارزش گذاری نمی شوند. برداشتن حساب یا نامه شخصی که هیچ فایده ای ندارد فایده ای ندارد و نیازی به صحبت مجدد در مورد آن نیست.

چه کسی زور می کند؟

اگر بگوییم که این کار توسط به اصطلاح هکرها انجام می شود، اضافی نیست. این در مورد هک های مقیاس بزرگ صدق می کند. به طور کلی، چنین افرادی از این راه امرار معاش می کنند و این کار را بسیار ماهرانه انجام می دهند. و این طرح به شرح زیر عمل می کند. با استفاده از brute force، لاگین و رمز عبور (تعداد مشخص) انتخاب می شود و سپس کل کالا به صورت عمده به مشتریان فروخته می شود. یعنی خود هکرها عملاً از آنچه به صورت غیرقانونی به دست آورده اند استفاده نمی کنند، بلکه صرفاً آن را می فروشند. اما شما بپرسید خریدار کیست؟

این می تواند هر کسی باشد. تنها چیزی که می توان گفت این است که آنها مشغول خرید تعداد زیادی حساب هستند. این حساب‌ها سپس به کاربران عادی فروخته می‌شوند که از بازگشت به مالک اصلی خود متعجب می‌شوند. همین امر در مورد داده های شخصی سیستم های پرداخت (Webmoney، Qiwi) صدق می کند. علاوه بر این واقعیت که امکان دریافت مقدار مشخصی وجوه وجود دارد، چنین حسابی می تواند فروخته شود، این امر به ویژه در مواردی که گواهی های گران قیمتی وجود دارد که صلاحیت مالک را تأیید می کند، صادق است.

کمی در مورد سرورهای پروکسی برای نیروی بی رحم

هر هکری که به خود احترام می گذارد اول از همه به این فکر می کند که چگونه از خود محافظت کند. و از آنجایی که کاری که او انجام می دهد کاملاً غیرقانونی است، باید توجه ویژه ای به این امر شود. ما قبلاً می دانیم که نیروی بی رحم چیست و اکنون می خواهم به شما بگویم که یک سرور پراکسی چگونه کار می کند. این به شما این امکان را می دهد که در طول هک حساب کاربری شناسایی نشوید. به عبارت ساده، آدرس IP ناشناخته باقی می ماند. این محافظ اصلی برای افرادی است که اکانت دیگران را هک می کنند.

اما این همه ماجرا نیست. پس از هک شدن حساب کاربری، باید وارد آن شوید. اما حتی با نام کاربری و رمز عبور صحیح، گاهی اوقات انجام این کار آسان نیست. به عنوان مثال، تغییر آدرس IP مستلزم ارسال یک کد امنیتی به ایمیل یا تلفن شما است؛ چنین سیستمی با موفقیت توسط Valve به ویژه برای محافظت از محصول خود به نام Steam استفاده می شود. البته برای بروتوس از قبل مشخص شده است. بنابراین، ما می توانیم وارد هر حساب کاربری شویم و به هیچ وجه شبهه ای ایجاد نکنیم، که جرم را کامل می کند.

نیازی نیست یک بار دیگر تکرار کنید که رمز عبور باید طولانی و پیچیده باشد. همچنین استفاده از حساب کاربری خود در مکان های شلوغ یا محل کار، جایی که هر کسی می تواند از رایانه یا لپ تاپ استفاده کند، توصیه نمی شود. در مرحله اول، می توان از یک برنامه جاسوسی ویژه استفاده کرد که به یاد می آورد کدام کلیدها فشرده شده اند؛ همانطور که می دانید، تشخیص رمز عبور دشوار نخواهد بود.

اما این تمام چیزی نیست که باید بدانید. توصیه می شود رمز عبور را در مرورگر به خاطر بسپارید، زیرا ممکن است رهگیری شود. حساب‌هایی وجود دارند که با ورود به سیستم، بلافاصله پیامکی با کد تأیید در تلفن همراه خود دریافت می‌کنید. بنابراین، اگر وارد شد و کاری با آن ندارید، پسورد را تغییر دهید و توصیه می شود در اسرع وقت اقدام کنید.

تفاوت بین بروت و چکر چیست؟

بنابراین، بیایید اکنون بفهمیم که تفاوت بین این دو مفهوم چیست. بنابراین، ما قبلاً تصمیم گرفته‌ایم که brute force به شما امکان می‌دهد با جستجوی ساده از دیکشنری (پایه) یک ورود و رمز عبور را انتخاب کنید. بیایید نمونه ای از هک کردن یک سرویس ایمیل را بررسی کنیم. به عنوان مثال، ما دسترسی پیدا کرده ایم، اما بعد چه باید کرد؟ به عنوان یک قاعده، ما به اطلاعات مربوط به حساب‌های موجود در شبکه‌های اجتماعی، بازی‌های آنلاین، سیستم‌های پرداخت و غیره علاقه‌مندیم. بنابراین، چک‌کننده رمز عبور ایمیلی را که از قبل برای مسابقات در اختیار داریم، بررسی می‌کند.

به عبارت ساده، اگر به عنوان مثال با نصب شده در VKontakte مطابقت داشته باشد، بلافاصله آن را تشخیص خواهیم داد. می توان نتیجه گرفت که این ما را از سردردهای غیر ضروری محروم می کند. در نتیجه، فرآیند بیشتر خودکار است و عملاً نیازی به مشارکت ما ندارد. اکنون می دانید brute و checker چیست و این برنامه ها چگونه کار می کنند.

نتیجه

با توجه به مطالب گفته شده می توان به نتایج خاصی دست یافت. این حساب فقط باید در رایانه شخصی استفاده شود، زمانی که دسترسی افراد غیرمجاز منتفی باشد. همین امر در مورد اتصالات به وای فای رایگان نیز صدق می کند، زیرا احتمال رهگیری جریان داده و دزدیده شدن بعدی حساب شما وجود دارد. از آنجایی که قبلاً می دانید، Brute، دفاع از خود برای شما بسیار آسان تر خواهد بود. همانطور که می گویند، کسی که آگاه است، ساعد است. به یاد داشته باشید که میزان محافظت از حساب شما فقط به شما بستگی دارد. اگر همه چیز را به درستی انجام دادید، دیگر نیازی به نگرانی نیست، و بعید است که نیاز داشته باشید که بدانید حساب brute force چیست و تفاوت های ظریف نحوه عملکرد برنامه چیست.

سلام به همه! بالاخره وقت کردم یک مقاله طولانی بنویسم.

در آن من به شما نشان خواهم داد که چگونه BruteForce (محاوره ای "brut") بنویسید.

1) کمی تاریخچه

در ابتدای سال شروع به جستجوی اطلاعاتی در مورد نوشتن brute force در اینترنت کردم.

خیلی کم بود، حتی مجبور شدم چیزی از اسپانیایی ترجمه کنم =)).

اما من تسلیم نشدم و به جستجوی خود ادامه دادم و دو ماه پیش همه چیز را فهمیدم و یک بروت فورس ساده تک رشته ای نوشتم. اما از "غول هایی" مانند "Brutus AET2" دور بود. من شروع به جستجوی اطلاعات در مورد چند رشته ای کردم و جستجوی من با موفقیت همراه بود. در حال حاضر تمام اطلاعات جمع آوری شده است و من این مقاله را می نویسم تا کسانی که تصمیم به نوشتن یک نیروی بی رحم دارند مجبور نباشند در گوشه و کنار شبکه بخزند و اطلاعات جمع آوری کنند.

2) تئوری

در داستان قبلی ام بیش از یک بار کلمه brute force را ذکر کردم. چیست؟

من با یک مثال به شما نشان خواهم داد: فرض کنید رمز عبور ایمیل خود را فراموش کرده اید (به هر حال، اغلب این اتفاق می افتد).

می‌توانید از طریق یک سؤال امنیتی یا تلفن همراه رمز عبور خود را بازیابی کنید، اما اگر تلفن همراه ندارید و سؤال امنیتی می‌گوید "چند دندان روی پنجه راست گربه من وجود دارد؟"

آن وقت چه باید کرد؟ درست است، سعی کنید رمز عبور را حدس بزنید. اما چطور؟؟؟ دستی؟؟ البته نه، این همان چیزی است که brute force برای این ایجاد شده است، تا نیروی بی رحم را برای شما انجام دهد.

اصل کار ساده است: ما ایمیل خود را نشان می دهیم و لیستی از رمزهای عبور را وصل می کنیم. روی Start کلیک کنید و به کسب و کار خود ادامه دهید. وقتی رمز عبور صحیح پیدا شد، brute force آن را روی صفحه نمایش می دهد.

همه چیز خوب خواهد بود، اما اگر یک میلیون رمز عبور در فرهنگ لغت خود داشته باشیم چه؟ Brutus یک میلیون درخواست به سرور ارسال می کند و سرور فکر می کند که ما در حال هک کردن صندوق پستی شخص دیگری هستیم و به سادگی آدرس IP ما را مسدود می کند. پس چطور؟

برای این منظور سرورهای پروکسی ارائه شده است. من به شما نمی گویم که چیست، زیرا موضوع بسیار گسترده ای است. می توانید در مورد پروکسی ها بخوانید. به طور خلاصه: پروکسی ها آی پی ما را تغییر می دهند و جستجو ادامه می یابد.

آخرین نکته تئوری حالت های جستجو است.

تنها دو مورد از آنها وجود دارد: تک رشته ای و چند رشته ای.

در حالت تک رشته ای، brute force اولین رمز عبور را می گیرد و منتظر پاسخ سرور می ماند. وقتی پاسخ دریافت شد رمز بعدی و غیره را می گیرد.

در حالت چند رشته ای، brute force رشته های زیادی ایجاد می کند. در هر یک از آنها، brute force رخ می دهد، یعنی brute force نیازی به منتظر ماندن برای پاسخ از طرف سرور برای ادامه ندارد. به سادگی موضوع بعدی را ایجاد می کند و جستجو ادامه می یابد.

مثال: شما تصمیم می گیرید یک فیلم را از طریق تورنت دانلود کنید. شما یک فایل تورنت پیدا کردید و شروع به دانلود کردید. در حالی که دانلود در حال انجام است، به عنوان مثال، شما به Contact رفتید و با دوستان مکاتبه کردید. در یک تاپیک مرورگر در حال اجرا است، در دیگری تورنت با پشتکار یک فیلم را دانلود می کند و در سومین تاپیک آنتی ویروس در حال اسکن سیستم و غیره است.

امیدوارم واضح توضیح داده باشم

2) تمرین طولانی مدت

در حالی که در حال نوشتن یک بروت فورس ساده تک رشته ای هستیم (برای اینکه به مغزمان اضافه نشود) و در قسمت دوم در مورد ایجاد بروت فورس چند رشته ای و تغییر صحبت خواهم کرد.

proxy + من بخش هایی از کد را ارائه می کنم که می توانید در پروژه های خود استفاده کنید.

بنابراین! برو

VB.NET را باز کنید، یک پروژه معمولی ایجاد کنید و چیزی شبیه به این بسازید:

اکنون باید در مورد سرور تصمیم گیری کنیم و درخواست ها را "بوی" کنیم.

من با استفاده از Mail.ru به عنوان مثال به شما نشان خواهم داد:

با استفاده از آن، خواهیم دید که چگونه مجوز روی سرور رخ می دهد.

2) نسخه Stand-Alone برنامه را اجرا کنید: 3

3) به ایمیل Mail.ru بروید و داده ها را وارد کنید، اما هنوز وارد سیستم نشوید:

4) در HttpAnalyzer، روی مکث کلیک کنید.

به Mail Mail برمی گردیم و روی ورود کلیک می کنیم.

حالا برگردیم به اسنیفر. موارد زیر را رعایت می کنیم:

درخواست POST برای اسکریپت مجوز با رنگ آبی مشخص شده است.

بیایید ببینیم چه داده هایی ارسال می شود:

ورود - ورود

دامنه - دامنه

رمز عبور - رمز عبور

Saveauth - آیا باید داده های خود را ذخیره کنیم (دقیقا مطمئن نیستم)

من نمی توانم در مورد آخرین پارامتر چیزی بگویم، اما ما به آن نیاز نداریم :n =)

بیایید سعی کنیم یک درخواست ارسال کنیم:

اگر همه چیز به درستی وارد شده باشد، به ایمیل خود خواهید رسید.

در غیر این صورت یک پیغام خطای ورود مشاهده خواهید کرد.

برای این کار به تب Cookies بروید. ما به سمت راست علاقه مندیم:

می بینیم که دو کوکی ایجاد می شود: Mpop و t.

"Set - Cookie" - فیلد هدر به سرور ارسال شد.

6) حالا بیایید داده های سمت چپ را وارد کرده و نتیجه را تجزیه و تحلیل کنیم.

می بینیم که کوکی ها ایجاد نمی شوند.

عالی! اکنون می دانیم که چگونه brute force را بنویسیم:

ابتدا، بیایید یک آرایه را اعلام کنیم که در آن رمزهای عبور را از فرهنگ لغت قرار می دهیم:

PassList عمومی به عنوان ArrayList جدید

کد دکمه "..." (سه نقطه):

Dim f As New OpenFileDialog "ایجاد یک گفتگوی باز فایل جدید اگر f.ShowDialog = Windows.Forms.DialogResult.OK و f.FileName<>"" سپس "اگر کاربر لیستی را انتخاب کرده است، PassList.AddRange(IO.File.ReadAllLines(f.FileName)) "خواندن تمام رمزهای عبور در آرایه txtPassList.Text=f.FileName" مسیر فایل را در جعبه متن پایان اگر

حالا کد دکمه Start Search:

اگر txtLogin.Text<>"" سپس " اگر یک لاگین وارد کرده اید، سپس Dim i As Integer = 0 " یک شمارنده برای جستجو برای i = 0 To PassList.Count - 1 " اعلام کنید تا زمانی که رمزهای عبور وجود دارد جستجو کنید System.Threading.Thread.Sleep(1000) Dim درخواست به عنوان Net. HttpWebRequest = Net.HttpWebRequest.Create("http://win.mail.ru/cgi-bin/auth?Login=" & txtLogin.Text & "&Domain=" & Split(txtLogin.Text، "@ ")(1 ) _ & "&Password=" & PassList(i)) " فرم درخواستی Dim Response As Net.HttpWebResponse "روش انتقال داده: Request.Method = "POST" "منع انتقال خودکار Request.AllowAutoRedirect = False "ارسال یک درخواست پاسخ = درخواست. i)) "نمایش رمز عبور صحیح Exit Sub" جستجو را پایان دهید If Next End If

اگر چیزی مبهم است، برای من بنویسید. من اطلاعات تماس خود را در زیر می گذارم.

ما یک فرهنگ لغت رمز عبور مانند:

[این رمز عبور صحیح است]

234411dsdfd

متن قرمز را به رمز عبور خود کپی کرده و تغییر دهید.

ما همه چیز را به برنامه وصل می کنیم:

برای شروع جستجو کلیک کنید.

اگر می بینید که پنجره رمز عبور انتخاب شده است، همه چیز کار می کند.

P.S بابت اشتباهات تایپی پوزش می طلبم.

P.P.S اگر چیزی مشخص نیست، پس بنویسید. همیشه خوشحالم که کمک می کند!

نظرات ()

کولخاتسکر

کد رو بهت میدم!!! اینها چه جور مردمی هستند؟!

چه چیزی آن را برجسته می کند؟؟

بنابراین، به VB.NET منتقل شد. لعنتی، همه همه چیز را برای هک می نویسند، پس اگر فقط می نوشتند، سعی می کردند کد را برجسته کنند!

یک درخواست بزرگ از نسل های بعدی: کد را انتخاب نکنید!!!

شما یک مگا قدرت بد هستید

حداقل منبع رو بذارید

درس بسیار مفید :) من همه این کارها را در ویژوال بیسیک 2008 انجام دادم، اگرچه کمی آن را ویرایش کردم.