hxv
Były Moderator
- Dołączył
- Sierpień 9, 2006
- Posty
- 797
Dobra, jak wiemy programy do zdalnej kontroli służą do (prawie) tego samego celu co trojany. Dodatkowo AV nie rzucają się że to syf bo to przecież znany program. Weźmy na przykład taki TightVNC, całkiem niezły gdyby nie okienko wyskakujące przy pierwszym uruchomieniu i ikonka w tray'u. No ale od czego mamy nasz kochany asm
Co będzie potrzebne:
- TightVNC
- debugger, w moim przypadku DeFixed
- monitor rejestru, ja użyje RegShot
- binder
- opcjonalnie PEiD
Uruchamiamy RegShot, klikamy "1st shot" -> "shot", czekamy aż zakończy się skanowanie (u mnie schodzi ~15s). Uruchamiamy WinVNC.exe który wypakowaliśmy z archiwum, powinno pojawić się okienko z konfiguracją. Wypadałoby trochę zmienić ustawienia:
- zakładka [Server]:
* odznaczamy "Remove desktop wallpaper" (czyli nie będzie usuwać tapety, może przez to trochę wolniej działać ale nasza ofiara się nie zorientuje).
* czyścimy oba hasła (zostawiamy puste pola)
* odznaczamy wszystkie pola w "Input handling"
- zakładka [Administration]
* odznaczamy "Disable empty passwords"
Klikamy "OK" i zamykamy program aby upewnić się że ustawienia zostały zapisane.
Wracamy do RegShot'a, klikamy "2nd shot" -> "shot" a gdy wszystko się zakończy "cOmpare". Po chwili w przeglądarce powinien pokazać się wynik. Przeglądamy logi aż znajdziemy 2 interesujące nas klucze:
HKLM\SOFTWARE\ORL\WinVNC3\
HKCU\SOFTWARE\ORL\WinVNC3\
Włączamy regedit i eksportujemy sobie te gałęzie do pliku. Żeby było wygodniej można je potem oczywiście połączyć.
Uruchamiamy ponownie WinVNC.exe, nie powinno wyskoczyć już żadne okienko. Wyłączamy program i kasujemy powyższe gałęzie. Znów włączamy i okienko się pojawia. Czyli narazie OK. Można jeszcze sprawdzić czy po dodaniu do rejestru wyeksportowanych wartości wszystko będzie dobrze.
Teraz przydałoby się usunąć ikonkę z tray'a i będzie (prawie) idealnie.
Sprawdzamy czy nie jest spakowany i ładujemy WinVNC do debuggera i wybieramy "Search for" -> "All intermodular calls". Musimy znaleźć funkcję która rejestruję ikonkę, będzie to (SHELL32.)Shell_NotifyIconA. Przechodzimy do miejsca gdzie jest wywołana, wygląda to mniej więcej tak:
Więc zmieniamy PUSH EBX i dalsze instrukcje na (w przypadku wersji 1.3.9, w innych wersjach adres może być inny) JMP 00410905. Zapisujemy zmiany w pliku i sprawdzamy czy działa. Jeśli wszystko jest dobrze zrobione to program powinien się uruchomić bez pokazywania ikonki.
Teraz pozostaje nam zbindować pliki: zmodyfikowany WinVNC.exe, VNCHooks.dll oraz program który doda odpowiednie wartości do rejestru, doda program do autostartu i uruchomi. Wystarczy napisać prosty sofcik który to zrobi (w porównaniu z pisaniem trojana to banalne) i jakoś to połączyć.
Gotowca (jak zwykle) nie ma i nie będzie, znów uprzedzam że nie będę pomagał z tym na gg/w jakikolwiek inny sposób jeśli nie masz pojęcia przynajmniej o podstawach.
Zapomniałbym, thx dla grzona
//prosiłbym o przeniesienie
Co będzie potrzebne:
- TightVNC
- debugger, w moim przypadku DeFixed
- monitor rejestru, ja użyje RegShot
- binder
- opcjonalnie PEiD
Uruchamiamy RegShot, klikamy "1st shot" -> "shot", czekamy aż zakończy się skanowanie (u mnie schodzi ~15s). Uruchamiamy WinVNC.exe który wypakowaliśmy z archiwum, powinno pojawić się okienko z konfiguracją. Wypadałoby trochę zmienić ustawienia:
- zakładka [Server]:
* odznaczamy "Remove desktop wallpaper" (czyli nie będzie usuwać tapety, może przez to trochę wolniej działać ale nasza ofiara się nie zorientuje).
* czyścimy oba hasła (zostawiamy puste pola)
* odznaczamy wszystkie pola w "Input handling"
- zakładka [Administration]
* odznaczamy "Disable empty passwords"
Klikamy "OK" i zamykamy program aby upewnić się że ustawienia zostały zapisane.
Wracamy do RegShot'a, klikamy "2nd shot" -> "shot" a gdy wszystko się zakończy "cOmpare". Po chwili w przeglądarce powinien pokazać się wynik. Przeglądamy logi aż znajdziemy 2 interesujące nas klucze:
HKLM\SOFTWARE\ORL\WinVNC3\
HKCU\SOFTWARE\ORL\WinVNC3\
Włączamy regedit i eksportujemy sobie te gałęzie do pliku. Żeby było wygodniej można je potem oczywiście połączyć.
Uruchamiamy ponownie WinVNC.exe, nie powinno wyskoczyć już żadne okienko. Wyłączamy program i kasujemy powyższe gałęzie. Znów włączamy i okienko się pojawia. Czyli narazie OK. Można jeszcze sprawdzić czy po dodaniu do rejestru wyeksportowanych wartości wszystko będzie dobrze.
Teraz przydałoby się usunąć ikonkę z tray'a i będzie (prawie) idealnie.
Sprawdzamy czy nie jest spakowany i ładujemy WinVNC do debuggera i wybieramy "Search for" -> "All intermodular calls". Musimy znaleźć funkcję która rejestruję ikonkę, będzie to (SHELL32.)Shell_NotifyIconA. Przechodzimy do miejsca gdzie jest wywołana, wygląda to mniej więcej tak:
Kod:
PUSH EBX;tu zaczniemy nadpisywac
PUSH EDI
CALL DWORD PTR DS:[<&SHELL32.Shell_NotifyIconA>]
TEST EAX, EAX
...; reszta kodu, dodanie opcji w menu itd.
POP EDI;tu musimy przeskoczyc
POP ESI
POP EBX
RET 8Teraz pozostaje nam zbindować pliki: zmodyfikowany WinVNC.exe, VNCHooks.dll oraz program który doda odpowiednie wartości do rejestru, doda program do autostartu i uruchomi. Wystarczy napisać prosty sofcik który to zrobi (w porównaniu z pisaniem trojana to banalne) i jakoś to połączyć.
Gotowca (jak zwykle) nie ma i nie będzie, znów uprzedzam że nie będę pomagał z tym na gg/w jakikolwiek inny sposób jeśli nie masz pojęcia przynajmniej o podstawach.
Zapomniałbym, thx dla grzona
//prosiłbym o przeniesienie
