1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Троянизация на коленке

Тема в разделе "Чужие", создана пользователем googie, 20 фев 2013.

  1. TopicStarter Overlay
    googie

    googie Команда форума

    Регистрация:
    27 июл 2012
    Сообщения:
    824
    Симпатии:
    616
    Intro

    Однажды, перед некоторыми из нас встаёт проблема впарить троян жертве, у которой конечно же стоит антивирус.
    Перед нами три шага к успеху: впарить, обойти антивирь, засесть в системе. Способы впаривания уже вполне рассмотрены на Ачате.
    Посполним пробелы =]

    Если ты продвинутый кодер, скрыть или написать троян для тебя не проблема. Или у тебя много WMZ ?
    В разделе объявлений куча соответсвующих предложений(если, конечно, не кинут).
    Однако не все мы дети банкира, и не у всех имеется талант и время на языки программирования.

    Сейчас мы рассмотрим, как можно скрыть трояна(или ещё какого виря), пользуясь лишь популярными прогами и гуглом для их поиска.

    Infected!

    1) Азы троянизации.
    2) Кручу-верчу, Кинуть хочу.
    - трояны
    - упаковщики
    - криптовальщики
    - защита
    - хекс-редактор
    - редактор иконок
    - клей
    - инсталятор

    3) Полезные ссылки.



    =============..:: Азы троянизации ::..===============

    Протроянивание жертвы - один из самых эффективных методов в достижении различных целей.
    Однако, сейчас только у самого ленивого юзверя не стоит антивируса.
    А уж если ты хочешь кидануть админа или вражину-хакерюгу, то задача серьёзно осложняеться.
    Рассмотрим особенности, которые полезно знать любому кулл-хацкеру в создании троев.

    Намба_1_
    Чем больше ты знаешь о жертве - тем лучше. Разводи его(её) как хочешь, но узнай, какой у неё:
    - антивирус
    - фаервол
    - аська-клиент
    - почтовик
    - браузер
    и остальное по вкусу.

    Зачем? Зная ПО компа жертвы, мы заложим в троян именно нужные функции и обеспечим гладкость всего процесса.
    Об особенностях софта далее и пойдёт речь.

    Намба_2_
    Многофункциональные трои, имеющие билдер(Pinch, Xinch, A-311), позволяет включать и исключать различные способности в создаваемом коне.
    Способность есть код, а код может быть в базе сигнатур антивируса. Следовательно, троян, при различных комбинациях заложенных в него функциях может как палиться, так и не палиться ОДНИМ И ТЕМ ЖЕ ативирём. А значит, надо делать всё по минимуму и проверять антивирусом до полной беспалевности.
    Вот, сами смотрите. Берём ксинч. Указывем ему тащить пароли - компилим - проверяем нодом - "бла-бла-модифиц.-Pinch".
    А теперь компилим с функцией ирка-бота - проверяем Нодом - "бла-бла-ирка-бот..."
    Вот так вот.
    Мне достаточно одного бэкдора+отключение фаервола. Благо, Аутпост любезно предоставил список (защита у него такая от конкурентов =] ).
    Названия процессов популярных фаерволов, спасибо Аутпосту!.. :

    iamapp=atguard
    LoadBlackD=black
    blackice=black
    blackd=black
    TrueVector=za
    vsmon=za
    Symantec Core LC=nis
    SndSrvc=nis
    KPF4=kerio
    Look 'n' Stop=lns
    looknstop=lns
    ARMOR2NET=armor
    SmcService=sygate
    mpfexe=mcafee
    mpfservice=mcafee
    mpfagent=mcafee
    mpftray=mcafee
    mpfconsole=mcafee
    Secuties Personal Firewall=buhl
    ;bdlite=bitdefender
    ;bdmcon=bitdefender
    bdoesrv=bitdefender
    rfw=R-Firewall
    SophosFirewall=sophos


    Конект на порт при знании консольных команд - это по хакерски =] Да, это долго и гемор, но обычно того стоит.
    При желании можно собрать аналогичный список антивирей.

    Намба_3_
    При пассивном просканивании антивирусом трой может не палиться, но будет обнаружен, будучи запущенным.
    Как проверить? Только эмпирически(те опытом).
    Создадим аналогичного троя, только без автозапуска и прочих остаточных явлений для системы.
    Включим антивирь и запускаем. Так и не заорал - значит точно всё путём.

    Намба_4_
    Антивирус антивирусу рознь. То, что нашёл один - не заметит другой.
    В нашем случаем вирус известен и внесён в базы, а значит придётся его прятать.
    Здесь нам и потребуеться точно знать фирму антивиря жертвы, чтобы учесть его инидивидуальные особенности(читай, глюки).
    Ну, например, Нод плохо понимает MEW, и *.dll c изменённой точкой входа. А Доктор Веб испытывает трудности с AsProtect.

    Намба_5_
    Самой важной проблемой являеться проверка троя на работоспособность после упаковки. Проверить можно только на себе, запустив его.
    Как правило, троян теряет работоспособность после нескольких упаковок\криптовок\защит. Есть очень много несовместимых комбинаций.
    Подход к каждому трою сугубо индивидуальный. На выяснение всех комбинаций и проверку уходит львиная доля времени.
    Это самая сложная и долгая часть в скрытии троя. Иногда потратив часы так и не добиваешься беспалевности, испробовав все варианты.
    Терпение - самое важное ПО =]



    =============..:: Кручу-верчу, Кинуть хочу. ::..===============

    1) Трояны
    Выбирают обычно по функциям:
    Pinch, A-311, Xinch, Lamers Death, Netbus, GST, Anti-Lamer BackDoor и др.
    Важно помнить, что не все трояны легко спрятать. Чем функциональней билдер, тем больше комбинаций и шансов на успех.

    2) Упаковщики
    Это программы вроде винрара или 7-зипа, только предназначены для особых типов файлов (*.exe, *.dll) сохраняя их работоспособность.
    После упаковки троян становиться меньше. Так же видоизменяеться его код.
    Важно то, что не каждый антивирус может распаковать упаковщик. А значит не может востановить исходный код и сравнить с вирусными сигнатурами.
    В рекламе на сайтах можно найти, какие упаковщики поддерживает конкретный антивирь(и запаковать теми, которые не поддерживает =] )
    Pklite, Lzexe, Diet, Exepack, CPAV, UPX, AsPack, FSG, MEW, Petite, Neolite, eXPressor, ARM Protector, SLVc0deProtector, WinUpack

    Узнать,чем запакована прога, можно PEiD
    Если требуеться наоборот распаковать, можно воспользоваться хорошим и универсальным Quick Unpack, или найти что-либо ещё.
    Практически на все простые упаковщики есть распаковщики.

    3) Криптование
    Крипторы шифруют код программы, видоизменяют его, часто путают, усложняют, "замусоривают", делают невозможным определение типа упаковщика.
    Одни и теже команды можно расписать совершенно непохоже.
    После обработки трой может стать больше по размеру, но перестать палиться.

    AFIX!, topo, Morphine, HidePE, Stealth PE

    4) Защита
    Защитные программы, как правило, включают в себя и упаковщики, и крипторыи, и разные анти-крякерские приёмы.
    Они же позволяют встроить в прогу триальные ограничения и привязку к железу. (хыхы, триальный трой =] "У вас осталось 10 дней!")
    Вобщем, тоже вариант шифрования трояна.
    Аrmadillo, AsProtect, DotFix FakeSigner, Obsidium, ORiEN, PE_Compact, SoftwarePassport, , VMProtect
    Не на все протекторы есть распаковщики. Но крутые крякеры рулят)

    5) Хекс-редактор
    Хекс-редактор это типа блокнот, только позволяет редактировать документ в 16-ти разрядных кодах.
    Это требуеться для корректного отображения содержимого файла.
    Нафиг оно надо? Многие антивири затыкаються, стоит лишь изменит пару байт на мусор вначале троя.
    Трой после этого обычно всё равно работает, а антивирус замолкает.
    Biew, Hiew, WinHex

    6) Редактор иконок
    Прилепить липовую иконку к трою? Да не вопрос!!!
    Можно выдать трой за прогу, на за новую аську к примеру.
    Часто делают так:
    "Текстовый документ.txt (100 пробелов) .exe"
    "Track_5.mp3 (100 пробелов) .exe"
    "Новая папка (100 пробелов) .exe"
    "readme.txt (100 пробелов) .exe"

    Самые эффективные - иконка от 7-зип архива или самораспаковавающегося рар-архива(расширение не надо подделывать, оно *.exe и так)
    Icon sushi, Icon+, Program Icon Changer

    7) Клей
    О, да! Один из самых популярных способов впарить трой под видом полезной проги. Склеивает *.exe и произвольные(ый) файлы.
    Поведую известную штуку, о которой не всем известно. Делом в том, что на выходе клея получаеться екзешник.
    Это не есть хорошо - опытный чел углядит расширение.
    Но! Прикол в том, что если склеить трой с скринсейвером и переименовать скленный файл в *.scr - всё будет работать!
    Да в жизни никто *.scr проверять на вири не станет!!! (хотя я бы и *.txt проверил =] )
    ARP, MicroJoiner, SuperGlue32(SG32), KL

    Фигово то, что некоторые клеи и их продукты считаються хак-тулзами и антивирусы их видят.

    8) Как сервис
    Все системы защиты давно научились мониторить ключевые места автозапуска троянов.
    Только самый ленивый пользователь не скачал какой-нить там Starter, выдающий список всех автозапускаемых программ.
    А вот в службы лезет не каждый. Многие даже и не знают как в них залезть и что это такое. (Алё! если ты один из них, тебе сюда: "Панель управления"->"Администрирование"->"Службы")
    Как создать службу? Да в реестре её надо прописать. По аналогии можно взять одну из служб и посмотреть все ключики.
    Вот программа помогающая создать запуск проги как сервис FireDaemon-Pro. Проследить операции рег-монитором и всё.

    В Хакере (сен 2005) есть офигенная статья по автозапуску троянских приложений. Слабонервным не читать!!! Я теперь побаиваюсь левых файлов.
    9) Инсталяторы
    Самый изящное впаривание трояна - через инсталятор. Т.е. создать инсталятор на какую-нить прогу и зарядить туда трояна.
    Бдительность жертвы при этом минимальна и обратно пропорциональна интересности встроенной проги.
    ExeShield Deluxe, Inno Setup, MAKEMSI, MSIBuilde, NetScat Installer, NSIS, Nullsoft Ins Sys, Wise Ins Sys

    (с)перто с античата, статья старая (2006), но основная мысля понятна. Софт типа хекс-редакторов можно найти на Please login or register to view links

    А вообще, универсальный взломщик = грамотное использование социальной инженерии
     
    • Like Like x 10
    Метки:
  2. pilomaniy

    pilomaniy

    Регистрация:
    11 фев 2013
    Сообщения:
    81
    Симпатии:
    27
    Спасибо за статейку помогло!
     
    • Like Like x 2
  3. smihd

    smihd

    Регистрация:
    29 окт 2012
    Сообщения:
    147
    Симпатии:
    94
    как раз искал прогу иконки менять
     
  4. Praimser

    Praimser aktivisius

    Регистрация:
    10 фев 2013
    Сообщения:
    224
    Симпатии:
    161
    Но проблем в том что крипторы быстро палятся
     
  5. TopicStarter Overlay
    googie

    googie Команда форума

    Регистрация:
    27 июл 2012
    Сообщения:
    824
    Симпатии:
    616
    ну так займись программированием и напиши безпалевный и никому не давай, дольше проживет
     
    • Like Like x 1
  6. viziter-msk

    viziter-msk

    Регистрация:
    22 окт 2012
    Сообщения:
    272
    Симпатии:
    59
    а есть еще какие то расширения кроме "файл в *.scr" ?
     
  7. TopicStarter Overlay
    googie

    googie Команда форума

    Регистрация:
    27 июл 2012
    Сообщения:
    824
    Симпатии:
    616
    .com как вариант, но врядли
     
  8. Praimser

    Praimser aktivisius

    Регистрация:
    10 фев 2013
    Сообщения:
    224
    Симпатии:
    161
    ктоб научил програмированию :(
     
  9. Lex

    Lex

    Регистрация:
    10 дек 2012
    Сообщения:
    56
    Симпатии:
    34
    Программированию вполне реально научиться самостоятельно. Главное, чтобы было желание ;)
     
  10. pilomaniy

    pilomaniy

    Регистрация:
    11 фев 2013
    Сообщения:
    81
    Симпатии:
    27
    Вот я на программиста пойду:eek:
     

Поделиться этой страницей

Загрузка...