Вторник, 27.06.2017, 18:30 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Marra_Kesh, xXxSh@dowxXx 
delfcode » Обсуждения » Свободное общение » Trojan Новый уровень! (используем DLL)
Trojan Новый уровень!
xXxSh@dowxXxДата: Понедельник, 14.05.2012, 16:56 | Сообщение # 1
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Всем доброго времени суток!

Задался я таким вопросом, почему все клиент-серверные приложения компилируют именно в .exe (исполняемый файл), почему например нельзя написать ту же серверную часть (которая будет работать на стороннем компе) в виде DLL библиотеки, неужели это невозможно?,вроде бы нет для нас ничего невозможного разве не так? wink

Сами посудите, эту же DLL можно внедрить для работы в любой процесс, да и антивирусы поутихнут smile

Так вот, если у кого то имеется исходничек, или какой нибудь пример подобного творения, выложите пожалуйста, а я пока пошел бродить по просторам "Googla" в поисках истины biggrin
 
Волк-1024Дата: Понедельник, 14.05.2012, 17:13 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Идея стара как мир. И в большинстве случаев она себя изжила. И к тому же очень палевная, любой более-менее нормальный антивирус\фаерволл обнаружит постороннюю либу в АП процесса. И кто будет поддерживать автозагрузку данной либы при старте системы? Опять же exe. (не всчет 0day)

А по теме: http://wasm.ru/article.php?article=apihook_1 и http://wasm.ru/article.php?article=apihook_2

+ от меня:



Сообщение отредактировал Волк-1024 - Понедельник, 14.05.2012, 17:25
 
XSPYДата: Понедельник, 14.05.2012, 19:21 | Сообщение # 3
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Нет,не изжила!Если написать нормальные руткит,сплойт и грамотно все продумать-очень даже неплохо будет...
 
xXxSh@dowxXxДата: Понедельник, 14.05.2012, 20:16 | Сообщение # 4
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
XSPY если есть сплоит то бэкдур тогда нафиг не нужен...

Волк-1024 вот как раз не во всех процессах антивири палят либу, а на счет авторазгрузки даже можно не париться, есть уже не мало способов и скрытых и беспалевных...
 
Волк-1024Дата: Понедельник, 14.05.2012, 21:06 | Сообщение # 5
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
если есть сплоит то бэкдур тогда нафиг не нужен...
Не вижу связи... Что-то путаете. smile

И кстати тот код и код на Васме будут работать лишь для юзермодных процессов...

Quote
Если написать нормальные руткит,сплойт


"Если" этим всё сказано. biggrin


Сообщение отредактировал Волк-1024 - Понедельник, 14.05.2012, 21:14
 
xXxSh@dowxXxДата: Понедельник, 14.05.2012, 22:07 | Сообщение # 6
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Волк-1024)
Не вижу связи... Что-то путаете. smile


Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).

Да Бэкдоры могут использовать уязвимости и сплоиты под них для проникновения на уязвимую машину, НО, Бэкдор по своей сути в основном служит для получения полного контроля и в дальнейшем более удобного управления удаленной машиной, либо сбор информации, а если говорить о сплоитах, то имея хорошую уязвимость и грамотный сплоит мы и так получаем управление (командную строку) в свои руки, а там уже и Бэкдоры и любые другие примочки можно заливать и использовать, так в чем же тут должна быть связь, это абсолютно разные вещи?

Хотя вы же и сами все прекрасно знаете дорогие читатели biggrin

По сути темы, было бы интересно взглянуть на пример серверной части какого нибудь простейшего троянца в виде dll, а о том как она будет запускаться, куда инжектиться и как будет работать ее автозапуск, это уже другой вопрос...


Сообщение отредактировал xXxSh@dowxXx - Понедельник, 14.05.2012, 22:18
 
C@TДата: Вторник, 15.05.2012, 00:46 | Сообщение # 7
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
ну во первых дллку можно запустить также как и ехе, т.е переименовав в .cpl файл , дальше любую длл можно запустить через rundll32.exe , поэтому проблема с автозапуском тоже отпадает, а так по сути длл ни чем не лучше ехе файла, инжект можно сделать и шелл кодом, прикол инжектов я почему то последнее время перестал понимать, т.к фаерволы их палят очень хорошо, а от проактивки винды они на спасают, если нужен перехват АПИ, то самый лучший способ это драйвер, а из дллки драйвер не сделаешь smile
 
xXxSh@dowxXxДата: Вторник, 15.05.2012, 12:43 | Сообщение # 8
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
C@T ну да ты прав, драйвер это самый, на данный момент, лучший способ, из тех что я когда либо видел, но писать драйвера не сколько муторно сколько не хватает знаний sad

а на счет палевности инжекта антивирусами или фаерами, это не всегда так печально, например я тестировал кейлоггер в виде dll внедренной в процесс, и как ни странно (тестировались антивирусные продукты от Жени Каспера), ни каспер, ни какие либо другие средства проактивной защиты никаких действий не заподозрили, и так же было с перехватом функций браузеров, для блокировки сайта той же внедренной в процесс dll, та же ситуация, проактивки молчат, но это скорее исключение из правил...
 
XSPYДата: Вторник, 15.05.2012, 18:30 | Сообщение # 9
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
xXxSh@dowxXx, а почему? разве у сплойта есть функи бекдура?
 
xXxSh@dowxXxДата: Вторник, 15.05.2012, 21:30 | Сообщение # 10
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
XSPY у сплоита есть функции получения командной строки, а если мы имеем доступ к командной строке, то мы можем и фтп хост поднять, залив на него бэкдор, или включить службу телнета зарание зарегистрировав в системе нового администратора, тут уже и бэкдор не понадобится, главное это командная строка, да бэкдор удобней, так сказать для лентяев, и ip не нада узнавать и многое другое, но дело то не в этом, а в том что сплоит так же дает нам полный доступ с правами админа...
 
delfcode » Обсуждения » Свободное общение » Trojan Новый уровень! (используем DLL)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz