информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
А чем плохи BHO в этом приложении? Объясните, плз. 28.10.03 10:57  Число просмотров: 1922
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 28.10.03 10:58  Количество правок: 1
<"чистая" ссылка>
<hacking>
Вопрос по троянам? 20.06.03 08:48  
Автор: KUVasiliy Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я чайник, у меня такой вопрос - почему трояны вешаются на свои какие то порты 27894 допустим. Лучше ж было бы если они вешались на допустим 110, ведь этот порт всегда открыт в файрволе?
Универсальный back door 21.10.03 22:23  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Может, конечно, это и не новость, но меня тут нечаянно осенило.
Заранее сори, если говорю прописные истины.

0. Имеем сетку (которую хотим поразить) в которой в инет ходят с Виндовых машин,
ОС роутера и наличие прокси и файрволов - значения не имеет.

1. Троян как-то запускается на машине, имеющей доступ в инет,
через какую-нибудь дыру в браузере или другими способами.

2. Все что делает этот троян, так это просто как-то висит в памяти
(за основу можно взять какой-нибудь bo2k) и посылает http-запросы через
указанные промежутки по указанному адресу.

3. Http-запросы - на наличие "обновления", т.е. выложенного exe-шника, если есть новый
exe-шник то его скачиваем и запускаем.

4. Оператор этого трояна просто каждый раз пишет новый exe-шник, взависимости от
того, что он хочет сделать... и выкладывает его на указанный адрес.

Возможности неограничены ничем!
Если все делать аккуратно, то таким back door можно пользоваться очень долго!

Вопрос: Нафига тогда нужны файрволы? Http-то, будет всегда открыт, пусть даже через прокси...
Ой, sem4a ниже об этом писал 22.10.03 10:04  
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 22.10.03 10:04  Количество правок: 1
<"чистая" ссылка>
Извините - был невнимателен.
Вообще подход мне нравится...

http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=6&m=90552
Во первых файрволы просто не дадут левому приложению лезть на 80-й порт 21.10.03 22:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Вопрос: Нафига тогда нужны файрволы? Http-то, будет всегда
> открыт, пусть даже через прокси...
Во-вторых файрволы ведут логи. На самом деле не нужно так мудрить. Если это локальный (персонал) файрвол, то с ним можно делать все что угодно, в том числе и включить в конфиг тот же bo2k на родном порту. Но это будет заметно, хотя средний пользователь не так часто лазит в сетап. Можно также пропатчить exe-шник или работать ниже фильтр-дривера файрвола и вообще много чего можно сделать.
Операционка - вот лучший троян !!! ;-)))) 22.10.03 21:45  
Автор: Ilich Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я согласчен, что файрвол может не допустить доступ левого приложения к 80-ому порту, поэтому надо сделать так, чтобы запрос нашего приложения воспринимался как запрос броузера. Предлагаю сделать следующее. Для начала надо написать трояна, который будет постоянно сидеть в памяти. Идея с постоянно обновляющимся экзешником мне понравилась, хотя есть в ней некоторый минус - некоторыве эукзешники могут весить довольно много, и поэтому их загрузка может тормозить нормальную работу пользователя. Значит надо сделать так, что инет не тормазися, а это, по-моему, можно сделать только используя текстовые файлы, т.е. сам троян меняться не будет, так как он будет использоваться в качестве интерпритатора команд, которые будут закачаиваться ввиде командных файлов из сети. Теперь осталась последняя проблема - как сделать так, чтобы фрайвол пропустил наш трафик. Я хочу попробовать написать примочку в IE, которая будет закачивать файлы из сети. Получатся следующий алгоритм действий:

1. Сажаем троян на компе у юзера.
2. Троян вешает на IE протрояненую прошивку, которая будет чскачивать командные файлы для трояна из сети.
3. Каждый раз, когда жертва заходит в Интернет, троянский модуль для Ищака проверяет, нет ли новых командных файлов. Если такие имеются, то он их закачивает и передает интерпретатору команд для последующего выподлнения.

В итоге и троян будет работать, и фрайвол будет трафик пропускать. А вообще у меня только что возникла мысля о совмещении интерпретатора комманд и проги для закачки скриптов в одном модуле для IE. А вообще в качестве интерпретатора команд можно использовать хоть функцию system() в C++ => будет использоваться командный интерпретатор операционной системы. Блин, с такими размышлениями можно прийти к мысли, что ОПЕРАЦИОЛННАЯ СИСТЕМА - САМЫЙ ГЛАВНЫЙ И ОПАСНЫЙ ТРОЯН НА НАШИХ КОМПАХ !!!! ;-)))
"Зачем нам кузнец?" (с) 23.10.03 09:11  
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 23.10.03 09:17  Количество правок: 2
<"чистая" ссылка>
> некоторыве эукзешники могут
> весить довольно много, и поэтому их загрузка может
> тормозить нормальную работу пользователя. Значит надо
> сделать так, что инет не тормазися, а это, по-моему, можно
> сделать только используя текстовые файлы, т.е. сам троян
> меняться не будет, так как он будет использоваться в
> качестве интерпритатора команд, которые будут закачаиваться
> ввиде командных файлов из сети.

Не надо интерпретаторов! Это тоже место и время будет занимать. Во-первых скачивать можно кусками, во-вторых чтобы это не было екзешником в явном виде - можно его как-то закодировать (хоть в base64) и вкладывать его в реальную[ые] страничку[и] между <font color=white></font> и располагать на narod.ru (или что-то в этом роде)... Плюс начинать что-то прокачивать, только если юзер тоже че-то качает...

Когда идешь на какую-то страничку, то ведь постоянно цепляешь еще и рекламу... ну зацепишь еще (нечаянно) и страничку на народе... как это отследишь?

Сама прокачивающая прога и не должна меняться - ее задача только скачать и запустить.

> Теперь осталась последняя
> проблема - как сделать так, чтобы фрайвол пропустил наш
> трафик. Я хочу попробовать написать примочку в IE, которая
> будет закачивать файлы из сети.

Пропатчить ИЕ - это идеально! Как напишешь дай знать, плз.
Ширше мыслить надо 23.10.03 15:42  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> Пропатчить ИЕ - это идеально! Как напишешь дай знать, плз.
Вобщем все что вы тут писали - МС уже давно реализовали Ж). Надо ломать windowsupdate.microsoft.com и...
Тады уж не ломать, а подменять DNS-флудом 27.10.03 11:24  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Или ломать, но updater 27.10.03 12:29  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
dns круче 27.10.03 19:16  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 27.10.03 19:21  Количество правок: 1
<"чистая" ссылка>
теоретически так можно без лишних телодвижений зашпионить сразу все компы локалки сидящей за натом. хотя думаю в мс не такие лохи и какие нить меры приняли, цифровую подпись например
ЗЫ это все в порядке теоретических рассуждений Ж)
Все плохо 26.10.03 01:26  
Автор: sem4a Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Во первых Personal Firewalls проверяют изменился ли файл которий пытается подсоединится к 80 порту, и есле вы меняете IEXPLORER.EXE firewall среагитует.

Чтоб остатся не заметним давно уйе используют DLL injection (книга Windows programming Jeff Richter)
Ты имеешь ввиду BHO? 27.10.03 09:43  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>


http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwebgen/html/bho.asp
Ты имеешь ввиду БХО? 27.10.03 14:31  
Автор: sem4a Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Нет "DLL injection", поищи в интэрнэте,
А чем плохи BHO в этом приложении? Объясните, плз. 28.10.03 10:57  
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 28.10.03 10:58  Количество правок: 1
<"чистая" ссылка>
А что там искать... 27.10.03 14:45  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Ставишь WH_GETMESSAGE хук на всех. Шлешь мессагу нужному окну, твоя длл туда грузится, в DLLMain проверяешь в нужном ли ты процессе затем делаешь LoadLibrary на самого себя и радуешься жизни...
Есть и более гибкий метод... 27.10.03 17:42  
Автор: sem4a Статус: Незарегистрированный пользователь
<"чистая" ссылка>
этот метод описан в книге "Windows для профессионалов" вот примерно его методика.

ANSI:
// Получаем истенный адрес LoadLibraryA v Kernel32.dll
PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Karnel32")), "LoadLibraryA");
// Создаем поток в удаленном процессе, которий загруяет наш DLL
HANDLE hThread = CreateRemoteThread(hProccessRemote, NULL, 0, pfnThreadRtn, "C:\\MyLib.dll", 0, NULL);

Конечно в том виде что я здесь написал это угробит любой удаленный процесс, так как Адресс LoadLibraryА или LoadLibraryW будет не правельний нам надо получить этот адрес относительно удаленного процесса а не нашего, но это тоже решимо, посмотрите пример в книге.

Кстате угробить удаленнэй процесс тоже часто нужная штука, например Antivirus или Personal Firewall.

Таким образом мы можем внедрить свой DLL в тот же Antivirus и в тот же Personal Firewall. что даст нам вот что - Antivirus ни когда не поставит сам себя на карантин, а Personal Firewall почти всегда пропускает свой процесс на соединение без правила
А в чем гибкость то? 27.10.03 19:04  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 27.10.03 19:08  Количество правок: 2
<"чистая" ссылка>
Недостатки:
1)Под 9х не работает
2)Надо немного посношаться
Недостктки хука: имхо только один - не работает если чужой процесс не создает очереди сообщений. Разве такие бывают? А так имхо очень удобно - сама винда загружает нашу дллку и остается тока загрузить ее еще раз чтобы после выхода нашего инициализирующего процесса длл не выгружалась из захученного процесса. Далее после LoadLibrary сразу же снимаем свой хук, создаем свой поток и работаем в чужом процессе как в своем. Кроме того использование ReadProcessMemory и извраты с адресами потенциально может распознаваться всякими эвристиками как троянский прием - не так часто она юзается. Хуки же общеиспользуемая вещь.
=) 22.10.03 22:04  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
я регулярно вентилирую весь свой трафик, IE настроен на максимальную безопасность, все линки, по которым ИЕ ходит разрешаю (или запрещаю) ручками.
Во первых файрволы просто не дадут левому приложению лезть на 80-й порт 22.10.03 16:17  
Автор: sem4a Статус: Незарегистрированный пользователь
<"чистая" ссылка>
еще одно решение просто открыть невидемое окошко например IE и посылат запрос через него пользуясь IWebBrowser Interface'ом
Ага. Года полтора-два назад была программка too leaky 22.10.03 17:40  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> еще одно решение просто открыть невидемое окошко например
> IE и посылат запрос через него пользуясь IWebBrowser
> Interface'ом
Которая именно этим и занималась (отправляла на сайт инфу и получала, минуя файрвол). Но на нее я так понимаю все успешно забили до тех пор, пока не бабахнет. Короче все развивается по обычному для виндов сценарию :-)
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach