Visual Basic, .NET, ASP, VBScript
 

   
   
     

Форум - Офф-топ

Страница: 1 | 2 |

 

  Вопрос: Рекните плиз. Добавлено: 25.05.08 06:10  

Автор вопроса:  Smith | Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой. | ICQ: ненавижу 
Речь идёт не о вирусе, сам повесил бы вирусописателя.

Прога киллер инфы нежелательного контента.

Задача: замаскировать киллера в ХР так, чтоб опытнейший юзер не нашел.

Моя идея:
Камуфляж под монитор раскладки. Автозапуск гарантирован, но есть и недостатки.

Бъанальная защита файлов, и как с настоящим монитором быть? Дописать в хвост киллера или держать где-то под другим именем?

У кого какие будут рекомендации, соображения или может кто-то уже придумал метод поизощреннее, любезнейше прошу плиз вэлком коммин зи битте

Ответить

  Ответы Всего ответов: 18  

Номер ответа: 1
Автор ответа:
 



Администратор

ICQ: 278109632 

Вопросов: 42
Ответов: 3949
 Web-сайт: domkratt.com
 Профиль | | #1
Добавлено: 25.05.08 12:04
Дописать в хвост не так просто... Надо писать адреснонезависимый код, добавлять секцию... Когда ты попытаешься дописать свою прогу в авторан, проактивка каспера тут же начне орать, учти. Тут все не так уж просто, на самом деле. Если хочешь подробнее - в аську.

Ответить

Номер ответа: 2
Автор ответа:
 Wolf4D



Вопросов: 20
Ответов: 131
 Web-сайт: www.madnesstudio.ru
 Профиль | | #2
Добавлено: 25.05.08 15:36
Запустить как службу; или замаскировать под какой-нибудь ctfmon (убив оригинал, возможно).
Или поставить какую-нибудь защиту на убивание процесса - типа как у Касперского; или написать резидента, который бы смотрел, запущен ли процесс - и в случае его остановки запускал опять. В последнем случае можно сделать двоих резидентов, ещё и запускающих друг друга в случае остановки одного из них... Убить обоих получится невероятно сложно :)

Ответить

Номер ответа: 3
Автор ответа:
 D o c a l



ICQ: 408802757 

Вопросов: 76
Ответов: 985
 Web-сайт: www.doc-source.pp.net.ua/
 Профиль | | #3
Добавлено: 25.05.08 16:22
Защиту файлов винды обойти очень просто в систем 32 есть папочка где сохраняютса оригиналы.В случае подмины имено отсюда берутса файлы для восТановления.Выход менять 2 файла сразу.

Ответить

Номер ответа: 4
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #4
Добавлено: 25.05.08 19:30
>Палач
Я топором рублю код :)
после компилации copy /y /b %AppName% + Orig_ctfmon.exe ..\%AppName%, а программа копирует часть своего тела в новый файл.

Знаю, что добавлять в реестр это битая тема, поэтому и задумался о захвате монитора.
И что всё непросто тоже знаю, поэтому и создал топик. :)

Ну ради такого дела поставлю таки эту пАСЬКУду.

>;Docal
Уже пробовал dllcache оседлать. Это у вас в ломаных осях такие трюки на ура проходят :) У меня замена обоих файлов как и положено вызывает сообщение системы защиты файлов "Вставьте диск ХР". Я уже и либу менял, чёт не помогает.

>Wolf4D
Не плагиать :)
Моя идея:
Камуфляж под монитор раскладки

нельзя его просто убить и забыть, иначе как раскладку переключать?

Страховка процессами друг друга, об этом я ещё не подумал, спасибо!



В дополнение к вопросу:

Скрывать процесс и задачу я умею, пользуюсь модулем от sne, вопрос не в этом.

За критику не обессудьте, истина рождается в споре.

Мне нужны Ваши советы, спасибо за участие.

Ответить

Номер ответа: 5
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #5
Добавлено: 25.05.08 20:12
>Wolf4D
Основная задача не втом как защититься, а в том как не спалиться ;)

Ответить

Номер ответа: 6
Автор ответа:
 Wolf4D



Вопросов: 20
Ответов: 131
 Web-сайт: www.madnesstudio.ru
 Профиль | | #6
Добавлено: 25.05.08 22:35
2 Smith:
Хороший плагиат - подсказываю тебе твоё же решение с объяснениями :)
Раскладку переключать, раз пошла такая пьянка, может тот же самый резидент, отлавливая определённые комбинации клавиш.
Вообще, у среднестатистического опытного пользователя стооооолько различных процессов... Если появится ещё один, названный, к примеру, "Служба контроля распределения памяти Microsoft Framework" (четвёртый же пришедший в голову бред) - я думаю, пользователь немного испугается его удалять - вроде как и появился из ниоткуда, никто о нём не знает... А название внушает - вдруг удалишь, а вылетит всё-таки Framework :)
P.S. Такой способ защиты ещё придумал - убийство процесса приводит к неработоспособности какой-либо программы. Вроде как через него запускаются некоторые другие нужные вещи в автозагрузке. А нет его - и оно само не стартует...

Ответить

Номер ответа: 7
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #7
Добавлено: 25.05.08 23:13
Не плагиать :)

знаеш что обозначает этот значок?
Разумеется в пределах этого топика, первым эту идею описал я, в вопросе.

Вернемся к вопросу.
Задача: замаскировать киллера в ХР так, чтоб опытнейший юзер не нашел.


Не уточнил, моя ошибка, исправляю.

В моём понятии опытнейший пользователь тот, кто знает какие процессы в его винде за что отвечают.

Ответить

Номер ответа: 8
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #8
Добавлено: 25.05.08 23:19
Я понял что ты предложил описание моей же мысли и пошутил на счет плагиата.
Самозащита не главная цель.

Вопрос как замаскироваться на практике оборачивается решением нескольких задач.

Ты описал решения для задачи самозащиты процесса.

Ответить

Номер ответа: 9
Автор ответа:
 Wolf4D



Вопросов: 20
Ответов: 131
 Web-сайт: www.madnesstudio.ru
 Профиль | | #9
Добавлено: 25.05.08 23:23
В моём понятии опытнейший пользователь тот, кто знает какие процессы в его винде за что отвечают.

Ну, со справочником, Starter'ом и какой-то там матерью опытный пользователь способен различить нужные процессы.
Вопрос как замаскироваться на практике оборачивается решением нескольких задач.

Но - вспомните о социальной инженерии - опытнейший пользователь поостережётся убивать процесс с внушительным и пугающим именем (особенно если имя это совершенно неизвестно - типа "Контроллер структуры исполнения приложений Visual C++";) - я считаю себя достаточно опытным пользователем, так как могу админить небольшой такой парк машин - но этот процесс я убивать поостерегусь - больно серьёзно назван!

Ответить

Номер ответа: 10
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #10
Добавлено: 25.05.08 23:58
Вульф я тоже знаком с психологией, немного с философией и лучше всех знаком с местным менталитетом. И работаем мы в самых разных местах.

Мы опять спорим о разном.

Мой процесс вообще не виден в диспетчере задач, ни в списке задач, ни в списке процессов.

Маскировка под монитор мне нужна больше для автозапуска.

Теперь начнем с начала.

1. Киллер впервые запускается (с админкой)
2. Килит процесс монитора.
3. Удаляет его копию из dllcache (чтоб не восстановился автоматом).
4. Переименовывает его.
5. Копирует себя в сис32 и в dllcache под именем монитора, одновременно прикрепляя к своей копии переименованное тело (чтоб потом запускать его на радость юзеру).

В этот момент в игру вступает система защиты файлов “sfc”. Это и есть палево.

Неужели отлов окна sfc это единственный путь? Это фактически самая суть вопроса.

Ответить

Номер ответа: 11
Автор ответа:
 Боцман



ICQ: 295725312 

Вопросов: 53
Ответов: 830
 Web-сайт: Rus-Skipper.narod.ru
 Профиль | | #11
Добавлено: 25.05.08 23:59
Ну, со справочником, Starter'ом и какой-то там матерью опытный пользователь способен различить нужные процессы.
К опытным себя не отношу, но 17 процесов ХР помню остальнык при подоздрении убаваю без страха, по принцыпу я порадил я и убъю(из старого анекдота, чем я тебя породил тем и убъю) Вылезет косяк тогда и разберусь. Тут кто то на форуме посоветовал PROWiSe Manager лично мне понравилось, и стартер не надо. Что напрягает разное количество svchost_ов, может под этим имени и расположить, я бы лично грохать не стал бы.

Ответить

Номер ответа: 12
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #12
Добавлено: 26.05.08 00:01
Если взглянуть на главный вопрос с другой стороны, то он звучит иначе.

Как винда отличает СВОИ файлы от НЕСВОИХ?

и следовательно

Как оперативно замаскироваться под СВОЙ файл.

Ответить

Номер ответа: 13
Автор ответа:
 Боцман



ICQ: 295725312 

Вопросов: 53
Ответов: 830
 Web-сайт: Rus-Skipper.narod.ru
 Профиль | | #13
Добавлено: 26.05.08 00:02
Вау писали вместе, если не виден, то тогда ответ снимается.

Ответить

Номер ответа: 14
Автор ответа:
 Smith



ICQ: ненавижу 

Вопросов: 28
Ответов: 317
 Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой.
 Профиль | | #14
Добавлено: 26.05.08 00:05
Отчегоже? Ответ в тему, как яркий пример действий опытнейшего пользователя винды :)

Ответить

Номер ответа: 15
Автор ответа:
 D o c a l



ICQ: 408802757 

Вопросов: 76
Ответов: 985
 Web-сайт: www.doc-source.pp.net.ua/
 Профиль | | #15
Добавлено: 26.05.08 00:33
А зачем вообще что то менять если твой процес не виден?

Ответить

Страница: 1 | 2 |

Поиск по форуму



© Copyright 2002-2011 VBNet.RU | Пишите нам