Воскресенье, 22.12.2024, 11:50 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: xXxSh@dowxXx, Anton93, Волк-1024  
Требуется помощь с трояном
Волк-1024Дата: Понедельник, 25.07.2011, 15:35 | Сообщение # 1
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Здравствуйте! Не знал где тему создать. Если что, извините. Вобщем c февраля этого года я по немногу пишу backdoor. И дело в том, что я хотел реализовать одну такую фичу как перезапись троя. Т.е если в компе уже сидит этот трой, но он "чужой", то его можно будет перезаписать своим. Но загвостка вся в том, что при реализации данной функции убивается почти вся самозащита... При этом его может убить почти любой недоантизверь... И что я только только не делал... Результат - дохлый трой. Его защита это перехват API функций. Кстати на этом сайте я нашел один интересный код... За что поплатился...
О чем это я? Ах да!

Вопрос: стоит ли пытаться реализовать эту функцию при потери защиты?
И еще вопрос. Какую защиту ему ставить? Скрытие из диспа или запрет на вырубание процесса? Или
может сразу все: скрытие с харда+скрытие от диспа+запрет на вырубание, но это трудно и +вес к файлу.
И еще. Можно ли избежать использование dll при хуках?
Заранее благодарен.


Pascal, C\C++, Assembler, Python
 
gravitasДата: Понедельник, 25.07.2011, 22:36 | Сообщение # 2
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Конечно, чем больше защиты - тем лучше.
Quote (Волк-1024)
о загвостка вся в том, что при реализации данной функции убивается почти вся самозащита...

В чем же вся проблема? Или у вас перезапись троя занимает целые часы?


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
Волк-1024Дата: Понедельник, 25.07.2011, 22:50 | Сообщение # 3
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Спс. Но просто при снятии перехвата трой беззащитен и...
Quote
Конечно, чем больше защиты - тем лучше.

Ок. Значит функцию можно выкинуть.
Теперь про
Quote
Можно ли избежать использование dll при хуках?
- тоже проблема.
Ибо извлечение из себя файла... Эвристика палит...
Желательно с примером или ссылкой где описывается это.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Понедельник, 25.07.2011, 22:52
 
dolphinДата: Понедельник, 25.07.2011, 23:50 | Сообщение # 4
Администратор
Сообщений: 906
Статус: Offline
Quote (Волк-1024)
Можно ли избежать использование dll при хуках?


На что нужен хук конкретно можно?


Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
Волк-1024Дата: Вторник, 26.07.2011, 00:14 | Сообщение # 5
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
В данный момент на что угодно... Хоть на клаву. Мне главное разобраться как это сделать без библиотеки.

Pascal, C\C++, Assembler, Python
 
dolphinДата: Вторник, 26.07.2011, 00:18 | Сообщение # 6
Администратор
Сообщений: 906
Статус: Offline
Как то давно писал статью, как раз по твоему вопросу http://delfcode.ru/blog/keyloger_bez_dll_vesom_1869_bajt/2010-08-30-6 , на клаву кстати можно обойтись простым таймером без использования хуков

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик


Сообщение отредактировал dolphin - Вторник, 26.07.2011, 01:22
 
Волк-1024Дата: Вторник, 26.07.2011, 00:27 | Сообщение # 7
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
О! Спасибо огромное! Буду разбираться...

Pascal, C\C++, Assembler, Python
 
C@TДата: Среда, 27.07.2011, 17:31 | Сообщение # 8
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (Волк-1024)
Можно ли избежать использование dll при хуках?


можно, нужно только написать шелл код который можно будет проинжектить в чужей процесс + появляется возможность внедрения в такие процессы как Winlogon (можно еще заставить винлогон открывать хендел твоего файла, если он не открыт или закроется, чтобы избежать удаления файла)

p.s я про хуки API функций говорю, хотя так можно реализовать и хук для событий клавиатуры или какогото сообщения, но это уже подут похоже на извращение


 
  • Страница 1 из 1
  • 1
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz