GorluM
Сообщений: 312
Оценки: 0
Присоединился: 2004-04-07 23:41:00
|
quote:
Я про то как создать супер троян для windows xp. (К примеру наш файл csrss.exe это r_server.exe(ну Remote administrator server)) взять троян упаковать командой ntbackup(чтоб антивирусы не нашли) патом впихнуть его в ехе. Лаймер запускает TROY.exe и к примеру делается следующее 0) убиваются все фаирволы антивирусы и всякие проги наподобия этих…(разными методами terminate process, closehandle(с помощью функциий 'закрыть хэндл' можно убить процесс avp.exe каторый неубивается стандартным таск мэнеджером)) 1) создаётся папка в %systemroot%\system32 TROY 2) выставляются NTFS права [обзор папок/выполнение файлов] 3) извлекается из файла TROY.exe файл troy.bkf и выставляются для него права токлько для LOCAL SERVICE [обзор папок/выполнение файлов] и сразу расспаковыется файл troy.bkf командой ntbackup в папку %systemroot%\system32\TROY файл csrss.exe и выставляются права только для LOCAL SERVICE [обзор папок/выполнение файлов] 4) шифруется файл %systemroot%\system32\TROY\csrss.exe пользователем LOCAL SERVICE 5) запускается файл %systemroot%\system32\TROY\csrss.exe пользователем LOCAL SERVICE (а почему именно LOCAL SERVICE? потомучто все антивирусы запускаются в основном из под текущего пользователя и из под SYSTEM) 6) когда запускается файл %systemroot%\system32\TROY\csrss.exe скрываются Threads(задачи), Handles(хэндлы), Stack(стэки), Module (модули), процесс csrss.exe ключи реестра к примеру hklm\system\currentcontrolset\services\TROY (перед началом скрытия всего этого нада запретить доступ а потом скрывать всё это) (запрещается доступ ntfs права, в реестре права, на процесс csrss.exe права, на хэндлы, на задачи, а потом скрываются всякими методами) (запрещается доступ и скрываается можно сделать перехват API функций). 7) скрывается порт троянский к примеру 46778 TCP ТЕОРЕТИЧЕСКИ МОЖНО ЭТО СОЗДАТЬ А практически вот как скрывать хэндлы стэки? Крутой алгоритм. Правда, я не понял его целей. Пункты с 1 по 7 я бы предложил заменить просто более или менее адекватным руткит-кодом. С помощью перехватов скрыть все что можно. И все. Посмотри на www.rootkit.com
|