Konan_Sun
Сообщений: 1
Оценки: 0
Присоединился: 2010-06-22 23:21:03.936666
|
Здравствуйте.
Сейчас пишу своего троянца.
Коротко о самой проге:
Реализация на C++ (VS2008). Хоть и на C++ - (так просто пока отлаживать удобнее) но могу перенести и на C. Все делаю на чистом API, для отладки подключил stdio)
Что сделано: функции управления удаленным компом - скачать, закачать, удалить, выполнить файл, запись и чтение из реестра - ну и по мелочам поиграть с сидюком, выйти из сеанса пользоваателя и послать "послание параллельных миров"))) (messagebox от окна с идентификатором 0)
Также сделал autorun - чарез подписывание к winlogon/userinit и скрытие от диспетчера задач - написал dll-ку - из нее вызываю ф-цию, которая ставит хук на ntquerysysteminformation)
Когда все отлажу - напишу ф-цию выполнения php запроса и скрипт на php чтоб принимать на внешний хост IP жертвы. Ну и наверное како-нибудь пустой драйвер (или не пустой а с ф-циями скрытия) чтоб попасть в 0ring и получить почти неуявимость)
Интернет соединение - на обычных сокетах, разберусь с этим - сделаю на сырых.
Архитектура - классическая) У меня - клиент, у жертвы - сервер.
Собственно вопросы:
1) Как соединиться с компом в другой подсети?
Т.е.: 2 варианта ip - локальный и internet
а) ip - локальный (в разных подсетях одного и того-же провайдера): есть например мой IP 10.4.23.11 и IP жертвы - 10.5.84.23
б) ip - inernet например мой IP 92.244.253.10 и IP жертвы - 94.141.49.211
Но соединение - не проходит ни в первом, ни во втором случае.
tracert <ip жертвы> из cmd - тоже не проходит - после 3-го или 4-го скачка - все остальное - таймауты((
Вопрос: Как сделать так, чтоб соединение происходило?
В sockaddr_in::sin_family - задаю AF_INET - вроде так должно быть.
Не, я конечно понимаю, что интернет IP - показывается как IP маршрутизатора, а маршрутизация из одной подсети в другую может и не пройти, но ведь есть куча программ удаленного администрирования, которые замечательно работают.
2) Как корректно прописать dll-ку в winlogon/notify? Чтоб она не только загружалась, но и события вызывались корректно? Пробовал как написано в rsdn, msdn - dll - загружается, но ф-ция обработчик события - не выполняется (Банальный тест на создание файла, а в идеале - должна через WinExec запускать троянца).
Хотя я ф-цию обработчик пишу по всем правилам - заголовок WLEventStartup(PWLX_NOTIFICATION_INFO pInfo) ну и разумеется экспорт.
Может у кого-то есть работающий пример - ключ реестра + исходники dll?
3) Скажите, что почитать, чтоб написать загрузчик троянца с сайта - ну т.е. не раз сталкивался с тем что захожу на сайт через осла IE - а там сообщение "ошибка безопасности java" и, даже если ничего не нажимать - файрвол начинает ловить кучу гадости в system32 и HKLM/…/run
Где такое взять (хотя бы исходники примера) и что почитать на эту тему?
4) Чтоб каспер не выдавал зеленые сообщения об исходящих соединениях - надо привилегии процесса повысить через установку системного драйвера - так я понимаю?
Всем спасибо)
Извиняюсь, если все написал по ламерски)
|
Вопросы по троянцу и соединении через сокеты в интенете. - 
