Intro Однажды, перед некоторыми из нас встаёт проблема впарить троян жертве, у которой конечно же стоит антивирус. Перед нами три шага к успеху: впарить, обойти антивирь, засесть в системе. Способы впаривания уже вполне рассмотрены на Ачате. Посполним пробелы =] Если ты продвинутый кодер, скрыть или написать троян для тебя не проблема. Или у тебя много WMZ ? В разделе объявлений куча соответсвующих предложений(если, конечно, не кинут). Однако не все мы дети банкира, и не у всех имеется талант и время на языки программирования. Сейчас мы рассмотрим, как можно скрыть трояна(или ещё какого виря), пользуясь лишь популярными прогами и гуглом для их поиска. Infected! 1) Азы троянизации. 2) Кручу-верчу, Кинуть хочу. - трояны - упаковщики - криптовальщики - защита - хекс-редактор - редактор иконок - клей - инсталятор 3) Полезные ссылки. =============..:: Азы троянизации ::..=============== Протроянивание жертвы - один из самых эффективных методов в достижении различных целей. Однако, сейчас только у самого ленивого юзверя не стоит антивируса. А уж если ты хочешь кидануть админа или вражину-хакерюгу, то задача серьёзно осложняеться. Рассмотрим особенности, которые полезно знать любому кулл-хацкеру в создании троев. Намба_1_ Чем больше ты знаешь о жертве - тем лучше. Разводи его(её) как хочешь, но узнай, какой у неё: - антивирус - фаервол - аська-клиент - почтовик - браузер и остальное по вкусу. Зачем? Зная ПО компа жертвы, мы заложим в троян именно нужные функции и обеспечим гладкость всего процесса. Об особенностях софта далее и пойдёт речь. Намба_2_ Многофункциональные трои, имеющие билдер(Pinch, Xinch, A-311), позволяет включать и исключать различные способности в создаваемом коне. Способность есть код, а код может быть в базе сигнатур антивируса. Следовательно, троян, при различных комбинациях заложенных в него функциях может как палиться, так и не палиться ОДНИМ И ТЕМ ЖЕ ативирём. А значит, надо делать всё по минимуму и проверять антивирусом до полной беспалевности. Вот, сами смотрите. Берём ксинч. Указывем ему тащить пароли - компилим - проверяем нодом - "бла-бла-модифиц.-Pinch". А теперь компилим с функцией ирка-бота - проверяем Нодом - "бла-бла-ирка-бот..." Вот так вот. Мне достаточно одного бэкдора+отключение фаервола. Благо, Аутпост любезно предоставил список (защита у него такая от конкурентов =] ). Названия процессов популярных фаерволов, спасибо Аутпосту!.. : iamapp=atguard LoadBlackD=black blackice=black blackd=black TrueVector=za vsmon=za Symantec Core LC=nis SndSrvc=nis KPF4=kerio Look 'n' Stop=lns looknstop=lns ARMOR2NET=armor SmcService=sygate mpfexe=mcafee mpfservice=mcafee mpfagent=mcafee mpftray=mcafee mpfconsole=mcafee Secuties Personal Firewall=buhl ;bdlite=bitdefender ;bdmcon=bitdefender bdoesrv=bitdefender rfw=R-Firewall SophosFirewall=sophos Конект на порт при знании консольных команд - это по хакерски =] Да, это долго и гемор, но обычно того стоит. При желании можно собрать аналогичный список антивирей. Намба_3_ При пассивном просканивании антивирусом трой может не палиться, но будет обнаружен, будучи запущенным. Как проверить? Только эмпирически(те опытом). Создадим аналогичного троя, только без автозапуска и прочих остаточных явлений для системы. Включим антивирь и запускаем. Так и не заорал - значит точно всё путём. Намба_4_ Антивирус антивирусу рознь. То, что нашёл один - не заметит другой. В нашем случаем вирус известен и внесён в базы, а значит придётся его прятать. Здесь нам и потребуеться точно знать фирму антивиря жертвы, чтобы учесть его инидивидуальные особенности(читай, глюки). Ну, например, Нод плохо понимает MEW, и *.dll c изменённой точкой входа. А Доктор Веб испытывает трудности с AsProtect. Намба_5_ Самой важной проблемой являеться проверка троя на работоспособность после упаковки. Проверить можно только на себе, запустив его. Как правило, троян теряет работоспособность после нескольких упаковок\криптовок\защит. Есть очень много несовместимых комбинаций. Подход к каждому трою сугубо индивидуальный. На выяснение всех комбинаций и проверку уходит львиная доля времени. Это самая сложная и долгая часть в скрытии троя. Иногда потратив часы так и не добиваешься беспалевности, испробовав все варианты. Терпение - самое важное ПО =] =============..:: Кручу-верчу, Кинуть хочу. ::..=============== 1) Трояны Выбирают обычно по функциям: Pinch, A-311, Xinch, Lamers Death, Netbus, GST, Anti-Lamer BackDoor и др. Важно помнить, что не все трояны легко спрятать. Чем функциональней билдер, тем больше комбинаций и шансов на успех. 2) Упаковщики Это программы вроде винрара или 7-зипа, только предназначены для особых типов файлов (*.exe, *.dll) сохраняя их работоспособность. После упаковки троян становиться меньше. Так же видоизменяеться его код. Важно то, что не каждый антивирус может распаковать упаковщик. А значит не может востановить исходный код и сравнить с вирусными сигнатурами. В рекламе на сайтах можно найти, какие упаковщики поддерживает конкретный антивирь(и запаковать теми, которые не поддерживает =] ) Pklite, Lzexe, Diet, Exepack, CPAV, UPX, AsPack, FSG, MEW, Petite, Neolite, eXPressor, ARM Protector, SLVc0deProtector, WinUpack Узнать,чем запакована прога, можно PEiD Если требуеться наоборот распаковать, можно воспользоваться хорошим и универсальным Quick Unpack, или найти что-либо ещё. Практически на все простые упаковщики есть распаковщики. 3) Криптование Крипторы шифруют код программы, видоизменяют его, часто путают, усложняют, "замусоривают", делают невозможным определение типа упаковщика. Одни и теже команды можно расписать совершенно непохоже. После обработки трой может стать больше по размеру, но перестать палиться. AFIX!, topo, Morphine, HidePE, Stealth PE 4) Защита Защитные программы, как правило, включают в себя и упаковщики, и крипторыи, и разные анти-крякерские приёмы. Они же позволяют встроить в прогу триальные ограничения и привязку к железу. (хыхы, триальный трой =] "У вас осталось 10 дней!") Вобщем, тоже вариант шифрования трояна. Аrmadillo, AsProtect, DotFix FakeSigner, Obsidium, ORiEN, PE_Compact, SoftwarePassport, , VMProtect Не на все протекторы есть распаковщики. Но крутые крякеры рулят) 5) Хекс-редактор Хекс-редактор это типа блокнот, только позволяет редактировать документ в 16-ти разрядных кодах. Это требуеться для корректного отображения содержимого файла. Нафиг оно надо? Многие антивири затыкаються, стоит лишь изменит пару байт на мусор вначале троя. Трой после этого обычно всё равно работает, а антивирус замолкает. Biew, Hiew, WinHex 6) Редактор иконок Прилепить липовую иконку к трою? Да не вопрос!!! Можно выдать трой за прогу, на за новую аську к примеру. Часто делают так: "Текстовый документ.txt (100 пробелов) .exe" "Track_5.mp3 (100 пробелов) .exe" "Новая папка (100 пробелов) .exe" "readme.txt (100 пробелов) .exe" Самые эффективные - иконка от 7-зип архива или самораспаковавающегося рар-архива(расширение не надо подделывать, оно *.exe и так) Icon sushi, Icon+, Program Icon Changer 7) Клей О, да! Один из самых популярных способов впарить трой под видом полезной проги. Склеивает *.exe и произвольные(ый) файлы. Поведую известную штуку, о которой не всем известно. Делом в том, что на выходе клея получаеться екзешник. Это не есть хорошо - опытный чел углядит расширение. Но! Прикол в том, что если склеить трой с скринсейвером и переименовать скленный файл в *.scr - всё будет работать! Да в жизни никто *.scr проверять на вири не станет!!! (хотя я бы и *.txt проверил =] ) ARP, MicroJoiner, SuperGlue32(SG32), KL Фигово то, что некоторые клеи и их продукты считаються хак-тулзами и антивирусы их видят. 8) Как сервис Все системы защиты давно научились мониторить ключевые места автозапуска троянов. Только самый ленивый пользователь не скачал какой-нить там Starter, выдающий список всех автозапускаемых программ. А вот в службы лезет не каждый. Многие даже и не знают как в них залезть и что это такое. (Алё! если ты один из них, тебе сюда: "Панель управления"->"Администрирование"->"Службы") Как создать службу? Да в реестре её надо прописать. По аналогии можно взять одну из служб и посмотреть все ключики. Вот программа помогающая создать запуск проги как сервис FireDaemon-Pro. Проследить операции рег-монитором и всё. В Хакере (сен 2005) есть офигенная статья по автозапуску троянских приложений. Слабонервным не читать!!! Я теперь побаиваюсь левых файлов. 9) Инсталяторы Самый изящное впаривание трояна - через инсталятор. Т.е. создать инсталятор на какую-нить прогу и зарядить туда трояна. Бдительность жертвы при этом минимальна и обратно пропорциональна интересности встроенной проги. ExeShield Deluxe, Inno Setup, MAKEMSI, MSIBuilde, NetScat Installer, NSIS, Nullsoft Ins Sys, Wise Ins Sys =============..:: Полезные ссылки ::..=============== Даёшь трояны в массы?! 1) http://www.google.com =] 2) http://kickme.to/armMUPs подборка софта 3) http://www.compression.ru/ всё о упаковщиках 4) http://www.team-x.ru/xforum/index.php?act=ST&f=40&t=3559 подборка софта 5) http://www.wisesoft.ru Хакер(#080, #081, #082)
Отлично, только ты забыл написать "ДЛЯ НОВИЧКОВ". А то как-то странно плохо попадает под шаблон... http://forum.antichat.ru/thread9930.html http://forum.antichat.ru/thread14387.html http://forum.antichat.ru/thread12818.html
Всё круто конечно. Один вопрос только. А у тебя стоял Блэк айс? Ты видел как он реагирует на любой новый запущенный процесс? А так вроде ничего. В целом молодец.
Мне вот интересно, до сих пор много людей устраивают массовые рассылки троянов или только когда есть конкретная жертва?
Чувак, да ты крут. Незнаю как ты собрался вырубить Outpost 3.0 но ты гонишь. Даже если ты его вырубишь (например через дебаг-хендлы) то у тебя вообще сеть станет недоступна) офигеть ты сам то пробовал обойти аутпост? таких способов нету. а всякое гавно вроде пинча, "типа" обходит фаервол, просто работая через гейт, или внедрение кода в другой процесс доверенный. ну и что? даже если удастсья внедрить код (два способа - получение хендлов csrss.exe и анхук system service table) незаметно для контроля компонентов - ты думаешь фаервол не будет показывать соединения этих процессов с сервером где висит гейт? да у меня сосед каждую секунду смотрит в аутпост, и вручную все разрешает. если только каких то лохов так разводить. есть способ обойти фаервол но я ещё в паблике кода не видел (пытаюсь такой драйвер сделать). аутпост ставит дофига хуковэ а ну конечно ещё способ такой что vbs скриптом вырубить аутпост или поставить его в режим бездействия. да работает, только если мой сосед увидит что у него аутпост в режиме бездействия он просто сразу провод выдернет из сетевухи. а если уж увидит что какойто левый троян пытается вырубить аутпост - вообще питание от системника выдернет. вот такие у нас соседи. жалко конечно что люди занимаются поиском всяких "хакерских" троянов, чужих пакеров а не пытаются скажем, поотлаживать аутпост, попробовать написать дровишки, и т д... Как понять не станет? Это обычный EXE файл. Если у жертвы нет мозгов то она с детства инвалид и ему трояны не надо впаривать. Можно просто пароли так попросить...
Не обязательно иметь жертвую. Некоторые просто практикуются, некоторые веселятся. Очень хороший способ позларадствовать.
Познавательно... весьма весьма... вот только хочу заметить... после 2х -3х пакеров трой уже не пашет... =( Если параметры сжатия и криптования не совместимы... и чаще всего все это палится на раз два.... А так статья хорошый! =) мне лично понравилась... главное идею уловили... =)
Я как-то читал итервью создателя антивируса касперского, так вот он сказал что если кто-то обнаружил вирус то он делится этой инфрмацией с другими создаелями анивирусников(колегами) все фишка втом что разный антивирусы иногда поразному датют названия вирусам + способы поиска и лечения иногда отличатся => так что лидирущие антивирусы всегда(99.9%) находят
пасс+линк ::Полный набор инструментов::. ========================================================================================== Analysis: OllyDbg 1.10 & Plugins - Modified by SLV *NEW* W32Dasm 8.93 - Patched *NEW* PEiD 0.93 + Plugins *NEW* RDG Packer Detector v0.5.6 Beta - English *NEW* Rebuilding: ImpRec 1.6 - Fixed by MaRKuS_TH-DJM/SnD *NEW* Revirgin 1.5 - Fixed *NEW* LordPE De Luxe B *NEW* Packers: FSG 2.0 MEW 11 1.2 SE UPX 1.25 & GUI *NEW* SLVc0deProtector 0.61 *NEW* ARM Protector v0.3 *NEW* WinUpack v0.31 Beta *NEW* Patchers: dUP 2 *NEW* CodeFusion 3.0 Universal Patcher Pro v2.0 Universal Patcher v1.7 *NEW* Universal Loader Creator v1.2 *NEW* aPatch v1.07 PMaker v1.2.0.0 *NEW* Tola's Patch Engine v2.03b ABEL Loader v2.31 Yoda's Process Patcher *NEW* Registry Patch Creator *NEW* ScAEvoLa's PatchEngine v1.33 *NEW* Dogbert's Genuine Patching Engine v1.41 *NEW* Graphical-PatchMaker v1.4 *NEW* The aPE v0.0.7 BETA *NEW* Liquid2 *NEW* PELG v0.3 *NEW* PrincessSandy v1.0 *NEW* HEX Editor: Biew v5.6.2 Hiew v7.10 *NEW* WinHex v12.5 *NEW* Decompilers: DeDe 3.50.04 VB Decompiler Lite v0.4 *NEW* Flasm Unpackers: ACProtect - ACStripper ASPack - ASPackDie ASProtect > Stripper 2.07 Final & Stripper 2.11 RC2 *NEW* DBPE > UnDBPE FSG 1.33 > Pumqara's Dumper FSG 2.00 > UnFSG MEW > UnMEW PeCompact 1.x > UnPecomp PEncrypt > UnPEncrypt PeSpin 0.3 > DeSpinner 0.3 tELock 0.98-1.0 > UntELock EXEStealth > UnStealth Xtreme-Protector / Themida > XprotStripper v1.1 *NEW* Morphine Killer 1.1 by SuperCracker/SND *NEW* ASPR Dumper v0.1 *NEW* Armadillo Process Detach v1.1 *NEW* Armadillo Dumper v1.0 *NEW* Armadillo Nanomite Fixer *NEW* Armadillo Distance Decryptor aka Jump Table Fixer *NEW* ArmTools (Translated!) *NEW* ArmInline v0.1 *NEW* Quick Unpack v1.0b3 *NEW* Procdump v1.6.2 *NEW* Keygenning: *NEW* TMG Ripper Studio 0.02 *NEW* Other: FileMon v7 (Patched) *NEW* RegMon v7 (Patched) *NEW* RSATool 2 DAMN HashCalc EVACleaner 2.7 Process Explorer Resource *Sansьrlendi* PUPE 2002 PointH Locator *NEW* ASPR CRC Locator 1.2 *NEW* PE Tools 1.5 RC5 *NEW* API Address Finder *NEW* Jump to Hex Convertor *NEW* PE GeNeRaToR 1.2.1 *NEW* Quick File Viewer v1.0.1 *NEW* PE Insight 0.3b *NEW* Crypto Searcher *NEW* PE Editor v1.7 *NEW* bkslash's Inline Patcher *NEW* Stud_PE v2.1 *NEW* Injecta v0.2 *NEW* PE Rebuilder v0.96b *NEW* PE Optimizer v1.4 *NEW* ToPo v1.2 *NEW* NFO Builder 2000 v1.02 *NEW* NFO File Maker v1.6 *NEW* TMG NFOmakeR v1.0 *NEW* hCalc *NEW* Pereb'е и ToPo 1.2 --из пакета удалите Пароль на архив: www.spynet.ru Скачать
Вот только есть одно большое НО. Серьёзно метод данной статьи не поиспользуешь. Друга-соседа попугать... и то слабовато... Всё усложняется тем, что каждый нелам ставит солидную защиту: фаервол+антиспай+антивирус+заплатки(есле винда или онавления ядер для лина)+новейшие обновления прог, работающих с сеткой.... Да... Против лома нет приёма... если нет другого лома ))
podkashey - допустим тебе нужны уины для флуда в асе (это конечно тупо)[ я личнок до 5 к собрал] или карты пособерать(только мало кто хчоет риссковать свободой своей) =)) вот тогда и впаривают трояны всем кому не трудно открыть окошко click there
Полный набор инструментов - это две руки и голова... А пользоваться готовой софтиной - сакс полный (мало ли, что можно написать, не всему же можно верить). Изучив PE - структуру того же xincha, можно обнаружить, что у него три секции, при чем с павильным подходом можно изменить сам PE так, что все три секции станут доступными для записи (включая код и данные..) А вот тут-то и открываются безмерные горизонты для любителей кодинга... Пиши - не хочу....
