Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[Win32] не трой а бекдор :) 09.06.02 19:42 Число просмотров: 1086
Автор: BXS Статус: Незарегистрированный пользователь
|
> а нахрен огород городить, я реализовал это все проще,
> смотри, в каждом файле есть таблица импорта, она обычно
> небольшая, берем находим свободное место в файле, а его там
> обычно дохрена, ( это чтобы неувеличивать размер exeшника),
> туда копируем таблицу иморта, и дописываем свой импорт,
> какую нить библиотечку где наш троян, правим коне чего, и
> вуаля, я таким образом при старте трояна своего заражал
> сразу эксплорер, сперва загружал троян вместо шела, изменял
> explore.exe, кидал в винду библиотечку и все, комп мой,
> причем далеко некаждый ламер сможет этот троян убить, и еще
> плюс, все запросы на открытия порта и тп, идут от имени
> эксплорера, сырцы могу кинуть если интересно.
из соображений корректности:
я говорил не про трой а про бекдор. в этом принципиальные различия. трой - выдает себя за одно а делает еще и другое. а бекдор - это самый обычный бекдор :) которого и не видно.
за предложение разумееца спасибо.
на исходники я бы взглянул чтоб посмотреть как ты работаешь с импортом.
но все же идея нескоко иная была.
во-1, внедряца в эксплорер - это уже старый фокус... если не ошибаюсь еще с чернобыля. посему этот метод уже устарел и его можно теоретически заподозрить/найти итд... короче нужно писать глубже куданть. хорошо бы в кернел. но как правильно замечено на UINC'е - писать в верхние адреса (как раз где висит кернел и юзер.длл) низя ((((
но сам понимаешь что раз незя - то хочеца еще больше :))) к тому же если это реалиовать, то и все библиотеки под рукой!! кроме кернела то собсно ничего и не надо....
во-2, с такой фигней могут быть проблемы на NT и 2000 маздае...
наконец, хотелось написать тулзу которая бы заменила в 98 винде таск менеджер и добавила бы новых фич: добавление/удаление потоков в чужих процессах, перенос потока из одного процесса в другой итд.... но это пока мне представляеца фантастикой...
что касаеца всяких троянов/бекдоров итд:
я не хочу лепить очередной клон чиха и ему подобных...
хочеца для начала написать зверя который бы динамически по памяти гулял и менял свои "несущие потоки"... т.е. из одного процесса в другой ...итд....
я уверен что такое уже реализовано и без меня, но хотелось бы попробовать свои силы...
да и над всякими супер-гипер-мега-турбо-ультра-синхро-анти-хак тулзами постебаца. :))
а следующим шагом было бы полное локальное сокрытие - никаких портов открытых не видно итд...
кстати интересно но я в сети нигде не видел разговоров об использовании мейлслотов для троянов... а кстати очень зря..
для локалки то лучше и не придумать.... хрен ты заметишь что на тебе висит мейлслотовый бекдор.... три порта по дефолту открыты и хосты постоянно чото сливают, пингуют - поэтому активность не заметишь..
а кроме как посмотреть все unnamed objects в системе и размер используемой памяти - хрен ты его поймаешь просто так... (даже мало кому взбредет в голову это делать... и вообще мало наверное кто слышать про мейлслоты...) а если он приаатачен к такому авторитетному процессу как кернел.... :) а если он и называеца типа DispatchObjectWindowHandler или чтонть типа - то уж он там будет год сидеть.. не меньше :)).
короче идей много...
как только смогу чтонть представить на суд публике - скину соответствующую мессагу на форуме.
вот.
но что то я отвлекся...
если не сложно, кинь на мыло сорцы: b-x-s@yandex.ru
сенкс..
|
|
|
подробно о проекте
Анализ криптографических сетевых...
