Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
AFX Rootkit
 
У нас в локалке у нескольких юзеров есть папка User в которой открыт доступ для копирования туда файлов.    
Я решил опробовать скинуть туда AFX Rootkit и запустить с параметром /i
Но не успел я скинуть как антивирус впалил и удалил мой рут кит   

Есть ли какой способ скрыть AFX Rootkit от антривируса?  
 
Какой антивирус?
 
Антивирус Дядюшки касперского Personal 5.0.227  
 
Останови сервис антивиря на удалённом хосте.
Или попробуй другой руткит...
 
Цитата
Waazaa! пишет:

Или попробуй другой руткит...

Что можеш посоветовать из этих других руткитов ток чтоб скрывали иконки в трее т.к мне он нужен для радмина а радмин иконку создает.
Чтоб в управлении был прост и через сеть можно было на чужом компе запускать (например используя параметр /i)
 
Если я не опшибаюсь, об этом было написано в одном из весенних выпусков ][.
А вообще, я думаю, NT Rootkit подойдёт...
И ещё, читай прошлые темы, там много написано!
 
Цитата
Dragon пишет:
 ...скрывали иконки в трее т.к мне он нужен для радмина а радмин иконку создает.
Чтоб в управлении был прост и через сеть можно было на чужом компе запускать (например используя параметр /i)

Стоп, если дело только в иконке в трее, то внимательно почитай мануал к РАадмину. Там есть такая фича, как сокрытие иконки в трее!!!
 
Есть-есть... можно создать .reg файл и иконки не будет. Да и антивирусы на него особо не ругаются... not a virus ведь...
 
Цитата
K0deR пишет:
Да и антивирусы на него особо не ругаются... not a virus ведь...
Все правильно. Но, как средство удаленного управления тазиком, местными (локальными) антивирями может рассматриваться как троян.
А фаеру, если такого приложения ему не ставили как хотя бы минимально разрешенного, и подавно покажется подозрительным.
 
Цитата
Waazaa! пишет:

А вообще, я думаю, NT Rootkit подойдёт...
Есть ли способ запускать этот руткит удаленно дапустим как AFX с индексом \i
Мне нужен имено такой способ запуска т.к заставить чел. запустить его самому это гон он посмотрит что за хз ехе и  не запустит а супер клей каспом палиться .
 
А ты наверно его в шару кидаешь и запускаешь не ч/з шелл а прям так...
ну удачи тебе...
 
Надо сначала получить доступ на выполнение комманд на удалённой тачке, а потом уж запускать через "шелл" с параметром /i.
 
Цитата
Dragon пишет:

Есть ли способ запускать этот руткит удаленно дапустим как AFX с индексом \i
Мне нужен имено такой способ запуска т.к заставить чел. запустить его самому это гон он посмотрит что за хз ехе и  не запустит а супер клей каспом палиться

Если чел не хочет запускать exe. В windows scr - это
заставка, однако scr - тот же самый exe,
просто изменено расширение. Далее, можно добавить иконку
к PE-файлу, тут подойдёт банальный RESTORATOR или уйма других тулз, ну и третий шаг - это упаковка и шифровка файла. Вообщем, добавил какую-нибудь иконку, переименовал
в scr, зжал и зашифровал, и сказал челу, чтоб он взглянул на новый скринсейвер.
 
Или как вариант - создать или скачать/украсть/отобрать
где-нибудь контейнер, обычно такие используются для транспортировки в комп троянов
и называются трянскими контейнерами. Суть в том, что
контейнер - это программа, кторая переносит в себе несколько других, иногда с возможностью сжатия/шифрования. Такую программу не составит труда написать самому, однако если умений в этой сфере немного можно и погуглить. Так вот, всем известный win-rar. В нём создаём
архивчик, да не простой а SFX, такой, который несёт в себе "мини win-rar" и позволяет распаковать файлы даж при отсутствии самого рара. Создаём такой, со скажем новой
прикольной софтиной. Далее берём и засовываем в контейнер
руткит и этот архив. В готовом контейнере меняем иконку
на иконку самораспаковывающегося рар архива, и собственно всё. Чел запустит контейнер, при этом контейнер распакует
и запустит руткит а потом и настоящий sfx архив совершенно незаметно. Вот так, ничего сложного...
 
Цитата
CyberPunk пишет:
Надо сначала получить доступ на выполнение комманд на удалённой тачке, а потом уж запускать через "шелл" с параметром /i.
Интересно, а если доступ к компу УЖЕ получен,
нафиг тогда сам руткит?
 
Цитата
slayeronline пишет:
Интересно, а если доступ к компу УЖЕ получен,
нафиг тогда сам руткит?

Ламеры бывают разные:
-могут баг закрыть
-могут трояня найти
-а некоторые даже знают что такое антивирус
Да и вообще каждый раз сплоит юзать это не руль.

Но меня всё время мучает одна проблема:
порт снаруже будет светиться всегда, хоть ты десять руткитов поставь...

Надо бы как-нибудь активировать руткит через стандартный порт, например чтоб он слушал порт после получения нестандартного ICMP-пакета, и в течение определённого времени.
ICMP все-таки редко блокируют...
Или, например, поюзать Message Queuing Service.

Вот уж недели полторы думаю, как бы это реализовать...
может у кого есть наработки?
 
Цитата
CyberPunk пишет:
Надо сначала получить доступ на выполнение комманд на удалённой тачке, а потом уж запускать через "шелл" с параметром /i.

Как можно получить удаленный доступ есль на компе фаервол и антивирь
 
-Найти сплоит для файрвола  
-И чистилку баз для Каспера (или другого Антивиря)
-Попросить ламера отключить файрвол на пару сек под предлогом того, что ты не можешь что-то там скопировать с его компа...
ИМХО уболтать его будет проще.
А антивирус не такая уж серьёзная проблема...
 
Нет я имею в виду вобще как его получить (прога какая или ещё что надо).
 
Говорят же
-Найти сплоит для файрвола
-Попросить ламера отключить файрвол на пару сек под предлогом того, что ты не можешь что то там скопировать с его компа...
Страницы: 1 2 След.
Читают тему