|
Trojan Новый уровень!
| |
| xXxSh@dowxXx | Дата: Понедельник, 14.05.2012, 16:56 | Сообщение # 1 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Всем доброго времени суток!
Задался я таким вопросом, почему все клиент-серверные приложения компилируют именно в .exe (исполняемый файл), почему например нельзя написать ту же серверную часть (которая будет работать на стороннем компе) в виде DLL библиотеки, неужели это невозможно?,вроде бы нет для нас ничего невозможного разве не так? 
Сами посудите, эту же DLL можно внедрить для работы в любой процесс, да и антивирусы поутихнут 
Так вот, если у кого то имеется исходничек, или какой нибудь пример подобного творения, выложите пожалуйста, а я пока пошел бродить по просторам "Googla" в поисках истины 
|
| |
| |
| Волк-1024 | Дата: Понедельник, 14.05.2012, 17:13 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Идея стара как мир. И в большинстве случаев она себя изжила. И к тому же очень палевная, любой более-менее нормальный антивирус\фаерволл обнаружит постороннюю либу в АП процесса. И кто будет поддерживать автозагрузку данной либы при старте системы? Опять же exe. (не всчет 0day)
А по теме: http://wasm.ru/article.php?article=apihook_1 и http://wasm.ru/article.php?article=apihook_2
+ от меня:
Сообщение отредактировал Волк-1024 - Понедельник, 14.05.2012, 17:25 |
| |
| |
| XSPY | Дата: Понедельник, 14.05.2012, 19:21 | Сообщение # 3 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| Нет,не изжила!Если написать нормальные руткит,сплойт и грамотно все продумать-очень даже неплохо будет...
|
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 14.05.2012, 20:16 | Сообщение # 4 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| XSPY если есть сплоит то бэкдур тогда нафиг не нужен...
Волк-1024 вот как раз не во всех процессах антивири палят либу, а на счет авторазгрузки даже можно не париться, есть уже не мало способов и скрытых и беспалевных...
|
| |
| |
| Волк-1024 | Дата: Понедельник, 14.05.2012, 21:06 | Сообщение # 5 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Quote если есть сплоит то бэкдур тогда нафиг не нужен...
И кстати тот код и код на Васме будут работать лишь для юзермодных процессов...
Quote Если написать нормальные руткит,сплойт
"Если" этим всё сказано.
Сообщение отредактировал Волк-1024 - Понедельник, 14.05.2012, 21:14 |
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 14.05.2012, 22:07 | Сообщение # 6 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (Волк-1024) Не вижу связи... Что-то путаете. smile
Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Да Бэкдоры могут использовать уязвимости и сплоиты под них для проникновения на уязвимую машину, НО, Бэкдор по своей сути в основном служит для получения полного контроля и в дальнейшем более удобного управления удаленной машиной, либо сбор информации, а если говорить о сплоитах, то имея хорошую уязвимость и грамотный сплоит мы и так получаем управление (командную строку) в свои руки, а там уже и Бэкдоры и любые другие примочки можно заливать и использовать, так в чем же тут должна быть связь, это абсолютно разные вещи?
Хотя вы же и сами все прекрасно знаете дорогие читатели
По сути темы, было бы интересно взглянуть на пример серверной части какого нибудь простейшего троянца в виде dll, а о том как она будет запускаться, куда инжектиться и как будет работать ее автозапуск, это уже другой вопрос...
Сообщение отредактировал xXxSh@dowxXx - Понедельник, 14.05.2012, 22:18 |
| |
| |
| C@T | Дата: Вторник, 15.05.2012, 00:46 | Сообщение # 7 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| ну во первых дллку можно запустить также как и ехе, т.е переименовав в .cpl файл , дальше любую длл можно запустить через rundll32.exe , поэтому проблема с автозапуском тоже отпадает, а так по сути длл ни чем не лучше ехе файла, инжект можно сделать и шелл кодом, прикол инжектов я почему то последнее время перестал понимать, т.к фаерволы их палят очень хорошо, а от проактивки винды они на спасают, если нужен перехват АПИ, то самый лучший способ это драйвер, а из дллки драйвер не сделаешь
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 15.05.2012, 12:43 | Сообщение # 8 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| C@T ну да ты прав, драйвер это самый, на данный момент, лучший способ, из тех что я когда либо видел, но писать драйвера не сколько муторно сколько не хватает знаний 
а на счет палевности инжекта антивирусами или фаерами, это не всегда так печально, например я тестировал кейлоггер в виде dll внедренной в процесс, и как ни странно (тестировались антивирусные продукты от Жени Каспера), ни каспер, ни какие либо другие средства проактивной защиты никаких действий не заподозрили, и так же было с перехватом функций браузеров, для блокировки сайта той же внедренной в процесс dll, та же ситуация, проактивки молчат, но это скорее исключение из правил...
|
| |
| |
| XSPY | Дата: Вторник, 15.05.2012, 18:30 | Сообщение # 9 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| xXxSh@dowxXx, а почему? разве у сплойта есть функи бекдура?
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 15.05.2012, 21:30 | Сообщение # 10 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| XSPY у сплоита есть функции получения командной строки, а если мы имеем доступ к командной строке, то мы можем и фтп хост поднять, залив на него бэкдор, или включить службу телнета зарание зарегистрировав в системе нового администратора, тут уже и бэкдор не понадобится, главное это командная строка, да бэкдор удобней, так сказать для лентяев, и ip не нада узнавать и многое другое, но дело то не в этом, а в том что сплоит так же дает нам полный доступ с правами админа...
|
| |
| |
|
