|
Trojan Hosts и редактирования реестра.
|
|
| -Drayver- | Дата: Среда, 02.03.2011, 20:09 | Сообщение # 1 |
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
| Подскажите как составить код етого трояна вместе с редактированием реестра?
Код Доступно только для пользователей Всмисле чтобы трой отредактировал файл hosts и сразу же изменил в реестре код для того чтобы жертва не могла самостоятельно изменить файл hosts после трояна.
Не полохо бы было и самоудаления.....
Сообщение отредактировал dolphin - Среда, 02.03.2011, 20:26 |
| |
| |
| dolphin | Дата: Среда, 02.03.2011, 20:30 | Сообщение # 2 |
Администратор
Сообщений: 906
Статус: Offline
| HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters ключ DataBasePath имеете в виду? Quote (-Drayver-) для того чтобы жертва не могла самостоятельно изменить файл hosts
Немного не понятно каким образом
|
| |
| |
| -Drayver- | Дата: Среда, 02.03.2011, 21:12 | Сообщение # 3 |
|
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
| Quote (dolphin) Немного не понятно каким образом
Сообщение отредактировал -Drayver- - Среда, 02.03.2011, 21:13 |
| |
| |
| dolphin | Дата: Среда, 02.03.2011, 21:24 | Сообщение # 4 |
|
Администратор
Сообщений: 906
Статус: Offline
| Можно поставить атрибуты скрытый, системный, архивный и только для чтения. Это повысит выживаемость думаю на 90%
|
| |
| |
| -Drayver- | Дата: Среда, 02.03.2011, 21:33 | Сообщение # 5 |
|
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
| Quote (dolphin) Можно поставить атрибуты скрытый, системный, архивный и только для чтения. Это повысит выживаемость думаю на 90% |
| |
| |
| dolphin | Дата: Среда, 02.03.2011, 22:52 | Сообщение # 6 |
|
Администратор
Сообщений: 906
Статус: Offline
| Quote (-Drayver-) Quote (dolphin)Можно поставить атрибуты скрытый, системный, архивный и только для чтения. Это повысит выживаемость думаю на 90% - ето все можно сделать через реестер? Это делается через setfileatribytes
|
| |
| |
| -Drayver- | Дата: Среда, 02.03.2011, 22:57 | Сообщение # 7 |
|
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
| Quote (dolphin) Это делается через setfileatribytes |
| |
| |
| XSPY | Дата: Четверг, 03.03.2011, 00:41 | Сообщение # 8 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| можно сделать копию файла хост,а когда его юзер изменит-обратно после перезагрузки восстановить его!
При етом файл-копия должен быть хорошо спрятан!
|
| |
| |
| gravitas | Дата: Четверг, 03.03.2011, 05:48 | Сообщение # 9 |
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Code SetFileAttributes(WinDir+'\system32\drivers\etc\hosts, faReadOnly+FaSysFile+FaHidden+faArchive); |
| |
| |
| XSPY | Дата: Четверг, 03.03.2011, 13:08 | Сообщение # 10 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| gravitas, а что даст атрибут архивный?(просто не понял сути я)
|
| |
| |
| gravitas | Дата: Четверг, 03.03.2011, 14:28 | Сообщение # 11 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| XSPY, это не ко мне, а к дельфину, ибо он сказал про архивный)) Я лишь показал как реализовать
|
| |
| |
| dolphin | Дата: Четверг, 03.03.2011, 16:52 | Сообщение # 12 |
|
Администратор
Сообщений: 906
Статус: Offline
| Quote (XSPY) а что даст атрибут архивный
Больше атрибутов меньше вероятности удаления
|
| |
| |
| XSPY | Дата: Четверг, 03.03.2011, 22:11 | Сообщение # 13 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| а-а,понятно)
|
| |
| |
| cool1 | Дата: Пятница, 04.03.2011, 12:47 | Сообщение # 14 |
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| Создай файл hosts и запиши в него типа такую инфу IP DOMAIN (ну как хостс обычный естественно программно) меняй ключ реестра который те давал долфин ну ставь значение пути к твоему хосту!
|
| |
| |
| -Drayver- | Дата: Пятница, 04.03.2011, 13:16 | Сообщение # 15 |
|
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
| Quote (cool1) Создай файл hosts и запиши в него типа такую инфу IP DOMAIN (ну как хостс обычный естественно программно) меняй ключ реестра который те давал долфин ну ставь значение пути к твоему хосту! |
| |
| |
| XSPY | Дата: Понедельник, 20.08.2012, 00:24 | Сообщение # 16 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| вопрос,а как сделать копию файла hosts,но с русской О,а не английской?мой код не пашет***
|
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 20.08.2012, 10:19 | Сообщение # 17 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (XSPY) вопрос,а как сделать копию файла hosts,но с русской О,а не английской?мой код не пашет
странный вопрос, а что обычное копирование уже не пашет?
|
| |
| |
| XSPY | Дата: Понедельник, 20.08.2012, 15:38 | Сообщение # 18 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| xXxSh@dowxXx, пашет,но нужно сделать второй файл... для бэкапа... я конечно,могу и копированием сделать,но хочеться попробовать этот вариант)
|
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 20.08.2012, 16:28 | Сообщение # 19 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (XSPY) пашет,но нужно сделать второй файл... для бэкапа...
прошу прощения, может быть я не совсем понял что Вы хотите, но обычным копированием можно хоть 100 файлов для бэкапа сделать 
не пойму в чем у вас проблема...?
Сообщение отредактировал xXxSh@dowxXx - Понедельник, 20.08.2012, 16:28 |
| |
| |
| XSPY | Дата: Понедельник, 20.08.2012, 19:35 | Сообщение # 20 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| xXxSh@dowxXx, смотри:
по задумке,я удаляю файл хостс,создаю его заново и пишу в нём "127,0,0,1",а сразу за этим мне нужно создать этот же файл hоsts,но с русской буквой "о" (или любого другого языка из списка,но я выбрал русский и украинский)...
Проблема в тои,что мой код спокойно удаляет оригинальный хостс и перезаписывает в него (оригинал) содержимое второго хостса,где будут храниться данные (ну например,если малварь какая-то заменит мне хостс,то моя прога эти данные сохраняет в том втором файле и восстанавливает оригинальный).
Вот как бы так...
Если надо,код приведу чуть позже...
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 21.08.2012, 09:57 | Сообщение # 21 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (XSPY) Если надо,код приведу чуть позже...
да конечно, если тебя не затруднит и в spoiler его...
|
| |
| |
