|
Требуется помощь с трояном
|
|
| Волк-1024 | Дата: Понедельник, 25.07.2011, 15:35 | Сообщение # 1 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Здравствуйте! Не знал где тему создать. Если что, извините. Вобщем c февраля этого года я по немногу пишу backdoor. И дело в том, что я хотел реализовать одну такую фичу как перезапись троя. Т.е если в компе уже сидит этот трой, но он "чужой", то его можно будет перезаписать своим. Но загвостка вся в том, что при реализации данной функции убивается почти вся самозащита... При этом его может убить почти любой недоантизверь... И что я только только не делал... Результат - дохлый трой. Его защита это перехват API функций. Кстати на этом сайте я нашел один интересный код... За что поплатился...
О чем это я? Ах да!
Вопрос: стоит ли пытаться реализовать эту функцию при потери защиты?
И еще вопрос. Какую защиту ему ставить? Скрытие из диспа или запрет на вырубание процесса? Или
может сразу все: скрытие с харда+скрытие от диспа+запрет на вырубание, но это трудно и +вес к файлу.
И еще. Можно ли избежать использование dll при хуках?
Заранее благодарен.
Pascal, C\C++, Assembler, Python
|
| |
| |
| gravitas | Дата: Понедельник, 25.07.2011, 22:36 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Конечно, чем больше защиты - тем лучше.
Quote (Волк-1024) о загвостка вся в том, что при реализации данной функции убивается почти вся самозащита...
В чем же вся проблема? Или у вас перезапись троя занимает целые часы?
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| Волк-1024 | Дата: Понедельник, 25.07.2011, 22:50 | Сообщение # 3 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Спс. Но просто при снятии перехвата трой беззащитен и...
Quote Конечно, чем больше защиты - тем лучше.
Ок. Значит функцию можно выкинуть.
Теперь про Quote Можно ли избежать использование dll при хуках?
Ибо извлечение из себя файла... Эвристика палит...
Желательно с примером или ссылкой где описывается это.
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Понедельник, 25.07.2011, 22:52 |
| |
| |
| dolphin | Дата: Понедельник, 25.07.2011, 23:50 | Сообщение # 4 |
Администратор
Сообщений: 906
Статус: Offline
| Quote (Волк-1024) Можно ли избежать использование dll при хуках?
На что нужен хук конкретно можно?
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Волк-1024 | Дата: Вторник, 26.07.2011, 00:14 | Сообщение # 5 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| В данный момент на что угодно... Хоть на клаву. Мне главное разобраться как это сделать без библиотеки.
Pascal, C\C++, Assembler, Python
|
| |
| |
| dolphin | Дата: Вторник, 26.07.2011, 00:18 | Сообщение # 6 |
|
Администратор
Сообщений: 906
Статус: Offline
| Как то давно писал статью, как раз по твоему вопросу http://delfcode.ru/blog/keyloger_bez_dll_vesom_1869_bajt/2010-08-30-6 , на клаву кстати можно обойтись простым таймером без использования хуков
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
Сообщение отредактировал dolphin - Вторник, 26.07.2011, 01:22 |
| |
| |
| Волк-1024 | Дата: Вторник, 26.07.2011, 00:27 | Сообщение # 7 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| О! Спасибо огромное! Буду разбираться...
Pascal, C\C++, Assembler, Python
|
| |
| |
| C@T | Дата: Среда, 27.07.2011, 17:31 | Сообщение # 8 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| Quote (Волк-1024) Можно ли избежать использование dll при хуках?
можно, нужно только написать шелл код который можно будет проинжектить в чужей процесс + появляется возможность внедрения в такие процессы как Winlogon (можно еще заставить винлогон открывать хендел твоего файла, если он не открыт или закроется, чтобы избежать удаления файла)
p.s я про хуки API функций говорю, хотя так можно реализовать и хук для событий клавиатуры или какогото сообщения, но это уже подут похоже на извращение
|
| |
| |
