Что нам понадобится
Для захвата чужих ботнетов нам потребуется постоянное соединение с Интернетом (например, DSL), но на худой конец сойдет и unlimited dial-up. Еще нам понадобиться непатченная W2K, играющая роль приманки. Большинство червей атакуют именно ее. Чтобы самому не стать жертвой атаки, приманку следует расположить либо на отдельной машине, либо на виртуальном узле, работающем под управлением VMWare.
Наблюдение за деятельностью атакующих и грабеж проходящего мимо трафика возьмет на себя любая система обнаружения вторжений, ну или на худой конец персональный брандмауэр типа SyGate Personal Firewall 4.х. Для некоммерческого применения он бесплатен. Более поздние версии не позволяют грабить содержимое пакетов без регистрации, и для наших целей уже не подходят. Еще потребуется антивирусный сканнер, нацеленный на поиск AdWare. Я рекомендую Microsoft AntiSpyware, бету-версию которого распространяется на свободной основе. Не надо плеваться. Да, Microsoft! Да, тормозит как бегемот и ведет себя как слон в посудной лавке, но другие работают еще хуже!
Исследование внутренностей червя не обходится без отладчика и дизассемблера, в роли которых обычно выступают Soft-Ice и IDA PRO. Это коммерческие продукты, но их легко найти в Осле, Sharez'е, IRC или на любом хакерском диске.
Управление ботнетом обычно осуществляется через IRC, а, значит, мы должны обзавестись ISSR или другим клиентом, распространяемым в исходных текстах и поддающиеся доработке. Популярный mIRC к таковым не относится и идет лесом, то есть на хрен. Еще нам потребуется богатый опыт работы с IRC, без которого в ботнет лучше не соваться.
Рисунок 2 внешний вид Microsoft AntiSpyware Beta 1
