quote:


Я про то как создать супер троян для windows xp. (К примеру наш файл
csrss.exe это r_server.exe(ну Remote administrator server))
взять троян упаковать командой ntbackup(чтоб антивирусы не нашли) патом
впихнуть его в ехе.
Лаймер запускает TROY.exe и к примеру делается следующее
0) убиваются все фаирволы антивирусы и всякие проги наподобия
этих…(разными методами terminate process, closehandle(с помощью функциий
'закрыть хэндл' можно убить процесс avp.exe каторый неубивается стандартным
таск мэнеджером))
1) создаётся папка в %systemroot%\system32 TROY
2) выставляются NTFS права [обзор папок/выполнение файлов]
3) извлекается из файла TROY.exe файл troy.bkf и выставляются для него права
токлько для LOCAL SERVICE [обзор папок/выполнение файлов] и сразу
расспаковыется файл troy.bkf командой ntbackup в папку
%systemroot%\system32\TROY файл csrss.exe и выставляются права только для
LOCAL SERVICE [обзор папок/выполнение файлов]
4) шифруется файл %systemroot%\system32\TROY\csrss.exe пользователем LOCAL
SERVICE
5) запускается файл %systemroot%\system32\TROY\csrss.exe пользователем LOCAL
SERVICE (а почему именно LOCAL SERVICE? потомучто все антивирусы запускаются
в основном из под текущего пользователя и из под SYSTEM)
6) когда запускается файл %systemroot%\system32\TROY\csrss.exe скрываются
Threads(задачи), Handles(хэндлы), Stack(стэки), Module (модули), процесс
csrss.exe ключи реестра к примеру
hklm\system\currentcontrolset\services\TROY (перед началом скрытия всего
этого нада запретить доступ а потом скрывать всё это) (запрещается доступ
ntfs права, в реестре права, на процесс csrss.exe права, на хэндлы, на
задачи, а потом скрываются всякими методами) (запрещается доступ и
скрываается можно сделать перехват API функций).
7) скрывается порт троянский к примеру 46778 TCP
ТЕОРЕТИЧЕСКИ МОЖНО ЭТО СОЗДАТЬ
А практически вот как скрывать хэндлы стэки?