|
12.07.2004 09:03:45
В общем объясняю.
Предположим у вас стоит IIS с открытым 80м портом. Сервак ломается, запускается hd, который перехватывает функции winsock. Когда к 80му коннектятся пользователи, hd перенаправляет этот трафик IIS'у. Когда на 80й приходит пакет от клиентской части hd (насколько я помню, там используется специальный ключ), то проверяется, используется ли правильный пароль для доступа, и если да, то запускается cmd.exe в папке temp, прибинденная stdio в данным этого "виртуального" сокета. Т.е. если ты коннектишься к 80му браузером - получаешь iis, а если bdcli100.exe, то шелл с правами system  |
|
|
|
|
|
12.07.2004 09:35:55
Только при всем при этом следует учесть, что большинство корпоративных сеток работают через NAT, а через такой шлюз сей зверь из вне непробьется...
|
|
|
|
|
|
12.07.2004 09:44:30
через нат есть другие варианты. например мой CAT (Client Access Trojan), пробивающий реверс-шелом практически любые файрволы, в том числе и требующие аутентификации (а-ля ISA) и ограничивающие сетевой софт (типа Outpost).
|
|
|
|
|
|
12.07.2004 09:51:41
Виндовыми нат-ами не пользуюсь.... |
|||
|
|
|
|
12.07.2004 09:58:03
А что ты думаешь, UNIX'овый обойти тяжелее
)))???? |
|
|
|
|
|
12.07.2004 12:02:54
Да ну что вы как дети малые. Почтовые червяки уже давно используют шифрованные архивы. Что мешает такое же сделать для EXE-упаковщиков? Или просто, не вмешиваясь в код, сделать троян из двух частей - одна упакованная любым архиватором с паролем, а другая - кусок распаковщика (хоть обычный unrar, исходники которого доступны всем) со встроенным хранилищем пароля. Даже если вы его (пароль) по-XOR-ите, антивирус нужно будет обновлять раз в час, чтобы все возможные варианты ваших задумок учесть. А при упаковке со скрытием списка архива вообще ни один антивирус не берет. [IMG][/IMG] |
|||||
|
|
|
|
12.07.2004 12:29:16
McNet
Нда... хороший способ... Главное - совсем легко провернуть [IMG][/IMG] А ещё ты забыл, что если стоит антивирусный монитор, то при открытии запароленного архива и попытке запустить файл всё будет проверено антивирусом ещё ДО запуска. Так что твой мотод ОЧЕНЬ лажовый! Лучше обработать трой так, чтобы он не палился offtopic Дополню тебя: в описанном тобой случае для шелла будет юзаться 80 порт. Следовательно, ничего подозрительного не будет обнаружено.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
|
|
12.07.2004 13:27:01
А еще есть древние архиваторы  Например, старая версия UPX для винды, которая не поддерживает распаковку в принципе... По крайней мере, клиент NetBus, упакованный им, не обнаруживается никаким сканером и не вызывает сработки монитора при запуске |
|||
|
|
|
|
12.07.2004 15:52:12
Shanker
Ты ещё про msblast.exe и teekids.exe вспомни... а всего то взяли да УПИКСОМ паканули... [IMG][/IMG] |
|
|
|
|
|
12.07.2004 21:48:35
McNet
Как это: "не поддерживает распаковку"? А как же он тады в память записывается, если н6е распаковывается? Гость UPX уже давненько многими антивирями поддерживается! Так что быть того не может
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
||||
|
|
|
|||
