Nowe metody ukrywania aplikacji

[Magnefikko]

Witam!
Wydawać by się mogło, że metoda dodawania naszej aplikacji do rejestru jest nieco przestarzała i dość przewidywalna. Mówimy oczywiście o wirusach/trojanach/keyloggerach/programach propagandowych PiS'u na Windowsa. Podyskutujmy sobie więc o nowych metodach ukrywania plików ;-)

[hide:5886359eb8]Najprostrzą metodą według mnie jest znalezienie sobie pliku i nazwanie naszego syfu bardzo podobnie, np. llsas.exe ,ale długo to się nie utrzyma. Najskuteczniejsze byloby dopisywanie się aplikacji do plików, systemowych czy innych, jednak jest to dość trudne. Wymyśliłem (nie wiem czy pierwszy) metodę uproszczoną: program zabija proces exploler.exe, zmienia nazwę pliku exploler.exe na np. shostv.exe, a sam kopiuje się do c:windowsexploler.exe . Oczywiście na samym starcie działania uruchamia shostv.exe, czyli nasz podmieniony exploler. Sinis wymyślił dla "Win Demonica" dopisywanie się do autoexec.bat, ale na np. Windowsie XP nie uświadczysz takiego pliku ;-)[/hide:5886359eb8]

Dorzućcie parę swoich pomysłów (w znaczniku hide), lub skomentujcie w.w.

Pozdrawiam

 

[Kanciastoporty]

najwyzej sie powtorzy

[hide:eb0ca90e17]dopisanie odpowiedniej linijki w pliku system.ini, win.ini czy cos takiego (juz nie pamietam

), albo boot z uslugii (wspominal o tym hunter)[/hide:eb0ca90e17]

 

[PHmaster]

[hide:392d5516bd]steganografia, czyli ukrywanie informacji w dźwiękach i obrazach[/hide:392d5516bd]
to wprawdzie jest ukrywanie informacji, ale też przydatne

 

[jurgensen]

[hide:026e72c6d6]Ale czytałem kiedyś (chociaż nigdy nie próbowałem) dopisać program do klucza HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionWinlogon, nie wiem, czy skutkuje, bo nie próbowałem, ale ponoć nie jest pokazywane w narzędziach konfiguracji systemu[/hide:026e72c6d6]

 

[Kanciastoporty]

ja nie doczytalem tematu, myslalem ze chodzi o ukrywanie jezeli chodzi o autostart, ale co tam ;] tez troche pasuje

[hide:e1fc4aa527]Ale czytałem kiedyś (chociaż nigdy nie próbowałem) dopisać program do klucza HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionWinlogon, nie wiem, czy skutkuje, bo nie próbowałem, ale ponoć nie jest pokazywane w narzędziach konfiguracji systemu[/hide:e1fc4aa527][/b]

ale log z np hijackthisa pokaze

 

[sinis]

[hide:4014bb335c]Można podmienić albo dopisać do jakiegoś pliku, który jest odpalany razem z systemem.[/hide:4014bb335c]
Co do postu Magnefikko: autoexec.bat jeszcze dodupiłem do rejestru xD

 

[grzonu]

[hide:c224c27ae9]ja jednak zawsze dodaje do rejestru klucz. albo nazwa procesu svchost czy services[/hide:c224c27ae9]

 

[adikx]

[hide:f161f0e241]Ukrywanie trojana i dodawanie go do rejestru jest przestarzałe i chyba każdy o tym wie.[/hide:f161f0e241]

 

[mejoza]

[hide:3b7309337c]w C# jest możliwość wkompilowania exe'ka i nie tylko w tworzony projekt.[/hide:3b7309337c]

 

[31337]

[hide:2593e02ed0]dll spoofing, trudne do wykrycia[/hide:2593e02ed0]

 

[_MaVeR_]

Jak komentowac to trzeba zobaczyc ...

[hide:19d4cbcb5d]Fajny sposob na ukrywanie mial BBOYMario w nastyxp ;] zobaczcie sobie ...[/hide:19d4cbcb5d]

 

[3rr0rx]

zeby nie bylo...[hide:8cd2ad3d56]
Autostart z CD.[/hide:8cd2ad3d56]

 

[HeadShot]

Zobaczmy co pisze ;]

edit:

[hide:6bd53bfb66]

Originally posted by Gynvael Coldwind
pomysl jest taki...
mamy plik ktory chcemy wyslac.. zalozmy asdf.tar.gz i zalozmy ze zajmuje 20kb
bierzemy fotke z wakacji (taka w rozdzielczosci jakiejs takiej wiekszej, np 640x480) i konwertujemy do PNG, po czym tworzymy program ktory wykonuje nastepujace operacje
1. otwiera zdjecie.png i wczytuje do pamieci (do tablicy) bitmape
2. wczytuje do pamieci asdf.tar.gz
3. i teraz pomysl jest taki: skoro fotke bedzie ogladal czlowiek, to mozna sobie pozwolic na pewne niedokladnosci w wartosciach RGB bitmapy.. powiedzmy ze niedokladnosc ta bedzie wynosic max 1 na kazdy bajt rgb... bierzemy wiec pierwszy BIT pliku asdf.tar.gz, i wstawiamy go do najmniej znaczacego BITu pierwszego bajtu RGB... bierzemy drugi bit, i wstawiamy go do najmniej znaczacego bitu drugiego bajtu RGB i tak dalej
4. zapisujemy bitmape jako PNG
5. wysylamy ja na serv.. obserwujacy nie przejmie sie fotka z wakacji, a odbierajacy jakos (np sms/tel) dowie sie o przesylce

czemu PNG ? poniewaz jest to format z bezstratna kompresja.. w przypadku JPG dane by nam sie popsooly, a w przypadku RAW/TGA/BMP po prostu za duzo zajmowaly

fotka ofc musi byc 8 razy wieksza niz plik ktory chcemy ukryc
po za tym dodatkowo mozemy przechowac np w pierwszych 32 bitach fotki (tj 32 najmniej znaczacych bitach fotki) informacje o wielkosci pliku...

[/hide:6bd53bfb66]

 

[rafal]

[hide:e74d2b72b3]Najproszta metoda zawsze pozostanie dodanie czegos do rejestru bo taka operacja nie zwieksza zbytnio objetosci aplikacji. Niesmiertelna i pewna nazwa aplikacji to svchost w katalogu Windows w rejestrze mozna dodac to z parametrem zeby powaznie wygladalo i nazwac jakos ambitnie. Oczywiscie Firewalla to nie minie , ale na to tez sa sposoby [/hide:e74d2b72b3]

 

[zlylogin]

hmm...
pomysl bardziej na "utrzymanie sie" niz ukrycie....
niby oczywisty ale co tam

[hide:338e85c311]
robimy 2 programy
1-glowny, 2-straznik
w pierwszym potrzebne sa 2 watki... 1 do sprawdzania co 0-1s czy nikt niewywalil z rejestru naszego wpisu(1 i 2 programu), 2 watek do sprawdzania na liscie procesow czy program 2 jest odpalony.. jesli nie to odpalac go...

2 program ma tylko 1 zadanie... sprawdzanie na liscie procesow czy niezamknieta programu 1... i wrazie czego szybko go odpalic...

straznika mozna dac jako zasob.[/hide:338e85c311]

 

[rafal]

OK, bo widze ze robi sie tutaj nabijalnia postow....
Zrobimy tak, kazdy kto napisze durny post tylko po to by ujrzec ukryte wiadomosci dostanie warna ;-) nudzi mnie ciagle usuwanie tekstow typu : "chce to zobaczyc" itp.

 

[hxv]

wydaje mi się, że złylogin napisał to samo, ale nie widze, więc napisze

[hide:0b08a0d229]wystarczy plik nazwać services.exe, a nie będzie można zakończyć procesu przez ctrl+alt+del[/hide:0b08a0d229]

edit:

[hide:0b08a0d229]ciezkie do zrealizowania i na niektorych kompach trzeba zastosowac cos innego, ale:
muszimy zrobic liste sterownikow do karty graficznej/dzwiekowej czy jakis inny program, ktory moze zostac zainstalowany przez usera, a w normalnej pracy jest niewidoczy (tak, aby user byl przekonany, ze sam zainstalowal ten program, i doskonale wie co on robi) (mozna sprobowac nawet av ;]). Potem trzeba sprawdzic, czy user ma zainstalowany ktorys z programow z listy, jesli tak, to mozemy orginalnemu plikowi zmienic nazwe (trzeba tez autostart poprawic tak, aby sie nie kapnal) na bardzo podobna a naszemu trojanowi dac orginalna nazwe tego pliku. Oczywiscie im dluzsza mamy liste takich programow, to wieksza jest szansa, ze user ma ktorys z nich zainstalowany.[/hide:0b08a0d229]

 

[Jaco_cc]

A ja mam coś takiego:
[hide:4d3ba9ecd7]Jest to dobry sposób na ukrycie folderów, tak że praktycznie tylko twórca niewidzialnego folderu będzie mógł go otworzyć. Robimy nowy folder, wciskamy klawisz lewy alt, trzymając go wpisujemy z klawiatury numerycznej 0160 (musimy pamiętać żeby klawisz Num Lock był włączony), zwalniamy lewy alt i naciskamy Enter. Musimy jeszcze ukryć ikone folderu. Klikamy prawym klawiszem myszki na folder i wybieramy Właściwości, następnie przechodzimy do zakładki Dostosowanie i klikamy na Zmień Ikonę. Wybieramy takie puste miejsca (widoczna przerwa między innymi ikonami, domyślnie w 13 kolumnie), zatwierdzamy zmiany i gotowe. Uwaga: Gdy klikniemy na przycisk odśwież ikona folderu pokaże się na ułamek sekundy. Co prawda będzie widać nazwę folderu ale folderu nie

[/hide:4d3ba9ecd7]