poszukuje chętnych do projektu : "zdalny anty-syf"

[rzeszutek]

Witam wszystkich.
Zaczynaja się wakacje i wpadłem na dośc ciekawy pomysł (moim zdaniem), aby napisac zdalny odsyfiacz do komputera. Program działał by że tak powiem na dwa fronty

Z jednej strony działa by sam i wykorzystujac api hooking i sniffing wykrywał by i niszczył trojany, keyloggery i inny syf działajacy w um, a z drugiej odbierał by polecenia zdalne przez jakis protokół komunikacyjny typu IRC bądź GG. Program oczywiście był by widoczny dla potencjalnego użytkownika, który miał by nad nim pełna kontrole.

A więc poszukuje osoby które sa zainteresowane tym projektem, i sa zainteresowane napisaniem tego/bądź pomoca przy pisaniu. Wszelkie sugestie jak i krytyka mile widziane.
Jeśli chodzi o język/środowisko w jakim będziemy to pisać proponuje albo czysty c++ z użyciem WinApi bądź C++ Builder (O wyborze zadecydujemy wspólnie).

 

[killrathi]

kolejny trojan - tego wyroznia tylko dzialanie pod przykrywka usuwania smieci...
lepiej zajmij sie czyms innym bo to jest bez sensu - to o czym piszesz zalatwi kazdy antyvir i bez ingerencji osob trzecich...

 

[FDJ]

Originally posted by killrathi
kolejny trojan - tego wyroznia tylko dzialanie pod przykrywka usuwania smieci...
lepiej zajmij sie czyms innym bo to jest bez sensu - to o czym piszesz zalatwi kazdy antyvir i bez ingerencji osob trzecich...

Popieram.
Pomysl beznadziejny.

 

[fl3a]

killrathi: dlaczego tak to odbierasz? Przeciez rzeszutek wyraznie napisal funkcje tego programu! Jak ktos prosi o instrukcje obslugi keyloggera czy trojana badz promuje swoja tworczosc (kazdy wie o co mi chodzi!) to wszystko jest ok?! A jak ktos pojawi sie z czyms zupelnie innym to pojazd... Jak dla mnie jest to jedyny sansowny temat i pomysl od wiekow! Jesli wszystko bedzie przebiegalo z opisem to program stanie sie przydatnym narzedziem. Ciekawe tylko kto zglosi sie do wspolpracy? Moze wreszcie pora zajac sie czyms pozytecznym? Ja popieram projekt w 100% rzeszutek rewelacja pomysl!

 

[killrathi]

Originally posted by fl3a
killrathi: dlaczego tak to odbierasz? Przeciez rzeszutek wyraznie napisal funkcje tego programu! Jak ktos prosi o instrukcje obslugi keyloggera czy trojana badz promuje swoja tworczosc (kazdy wie o co mi chodzi!) to wszystko jest ok?! A jak ktos pojawi sie z czyms zupelnie innym to pojazd... Jak dla mnie jest to jedyny sansowny temat i pomysl od wiekow! Jesli wszystko bedzie przebiegalo z opisem to program stanie sie przydatnym narzedziem. Ciekawe tylko kto zglosi sie do wspolpracy? Moze wreszcie pora zajac sie czyms pozytecznym? Ja popieram projekt w 100% rzeszutek rewelacja pomysl!

male wyjasnienie - nigdy nie promowalem wskazanej przez Ciebie radosnej tworczosci i nie mam zamiaru tego robic. Dlaczego napisalem ze temat mi nie podchodzi? dlatego ze tego typu narzedzie nie bedzie mialo prawa bytu - wyjasnij mi skoro program a dzialac jako odpluskiwacz to musi miec wkompilowane pewne reguly, heurystyke i bank danych o zagrozeniach aby prawidlowo je interpretowac.... i tu wlasnie nie widze sensu podpinania do tego funkcji zdalnej administracji - program sam powinien wykonac cale zadanie w pelni automatycznie...
jezeli jednak niezbedna jest ingerencja czlowieka z zewnatrz - to wytarczy zdalny pulpit, remote administrator lub inny pc anywhere - a w tym przypadku implementacja w/w funkcji jest calkowicie zbedna.
Zanegowalem sens tego projektu z jednego konkretnego powodu - zalozenia sie wykluczaja.

 

[rzeszutek]

wyjasnij mi skoro program a dzialac jako odpluskiwacz to musi miec wkompilowane pewne reguly, heurystyke i bank danych o zagrozeniach aby prawidlowo je interpretowac.... i tu wlasnie nie widze sensu podpinania do tego funkcji zdalnej administracji - program sam powinien wykonac cale zadanie w pelni automatycznie...
jezeli jednak niezbedna jest ingerencja czlowieka z zewnatrz - to wytarczy zdalny pulpit, remote administrator lub inny pc anywhere - a w tym przypadku implementacja w/w funkcji jest calkowicie zbedna.[/b]

Większośc obecnych trojanów/keyloggerów da się wykończyć bez mniejszego problemu gdyz :
1. najcześciej działaja na protokole GG/IRC co można bardzo łatwo wykryć
2. większość komend zawiera w sobie specyficzne stringi więc wcale wielkiej bazy danych nie potrzeba
A zdalna administracja była by do tego dodatkiem, z mozliwością zdalnego dostępu do linii komend itp. Nad która użytkownik miał by pełna kontrole!

 

[fl3a]

killrathi nie mialem Ciebie na mysli piszac o promowaniu syfu. Wybacz ze to tak zabrzmialo ale po czasci wszyscy jestesmy temu przychylni poniewaz pozwalamy temu czemus istniec! Czy ktos wczesniej slyszal o takim projekcie? Tak niby zdalny pulpit wystarczy ale ile jest tego typu oprogramowania w stosunku do trojanow i keyloggerow? Warto zainwestowac w taki projekt nawet jak nie osiagnie takiej skutecznosci i fachowych rozwiazan co profesjonalne oprogramowanie! Dlaczego? Liczy sie idea i chec pokazania ze mozna programowac w innym kierunku. Jesli chodzi o autmatyke programu to jest ona jak najbardziej na miejscu. Dlaczego? Poniewaz to nie czasy Virii gdzie trzeba walczyc z poli czy metamorfizmem. Kazdy trojan keylogger i inny syf mozna w latwy sposob zaklasyfikowac do odpowiedniej kategori. Wezmy dla przykladu stringi. Tylko packer jest w stanie tu namieszac ale przeciez nie bedzie sie badalo exe'ka tylko obraz w pamieci... Spojrzcie na popularnosc Hijackthis'a taki prosty a tak pomaga... A przeciesz mozna go oszukac najprostszym hookingiem!

 

[Mo4x]

Originally posted by rzeszutek
1. najcześciej działaja na protokole GG/IRC co można bardzo łatwo wykryć
2. większość komend zawiera w sobie specyficzne stringi więc wcale wielkiej bazy danych nie potrzeba
A zdalna administracja była by do tego dodatkiem, z mozliwością zdalnego dostępu do linii komend itp. Nad która użytkownik miał by pełna kontrole!

1. No można wykryć, ale większość userów by sobie nie poradziła...
2. Jak ktoś jest mądry (tak jak Wspomagacz) to się przed tym zabezpiecza. Kiedyś zrobilem serwer Wspomagacza (tego 2k5 jeszcze) i wszedlem na numer gg servera, daje np. jakąś opcje a tu mi na gg przychodzi coś typu "Hv234xct35vbgy5hf" i tego typu rzeczy. Chyba ktoś mądry nie robiłby takich komend "opencd, closecd, wylacz_monitor" itp.
3. Chodzi Ci o jakąś zdalną pomoc? Można zrobić, ale żeby przed każdym krokiem był taki komunikat na lokalnym komputerze, czy dopuścić do wykonania procedury itp.
W C++ nie programuje, ale do projektu nic nie mam. Lepsze to niż następny keylogger czy trojan.
Podsumowując: popieram, ale nie będę mógł pomóc...

 

[rzeszutek]

1. No można wykryć, ale większość userów by sobie nie poradziła...[/b]

Własnie dlatego staram się zebrać ekipe do tego projektu i wyręczyć 'większość userów'

2. Jak ktoś jest mądry (tak jak Wspomagacz) to się przed tym zabezpiecza. Kiedyś zrobilem serwer Wspomagacza (tego 2k5 jeszcze) i wszedlem na numer gg servera, daje np. jakąś opcje a tu mi na gg przychodzi coś typu "Hv234xct35vbgy5hf" i tego typu rzeczy. Chyba ktoś mądry nie robiłby takich komend "opencd, closecd, wylacz_monitor" itp.[/b]

I na to znajdzie się sposób

3. Chodzi Ci o jakąś zdalną pomoc? Można zrobić, ale żeby przed każdym krokiem był taki komunikat na lokalnym komputerze, czy dopuścić do wykonania procedury itp.[/b]

Nie kazdy radzi sobie ze wszystkim na kompie i to było by chyba lepsze niż tłumaczenie czegoś na odległośc

I oczywiście jak napisałeś każda komenda musiała by przejśc autoryzacje usera

 

[V0lrath]

Moim zdaniem program zbyt ambitny - musiałby mieć funkcje i trojana i programu antywirusowego oraz anty-spyware (obecnie tym mogą zajmować się firmy, raczej nie grupy osó

.

Poza tym komu to mogłoby się przydać?
Zapewne adminowi, który mógłby zalogować się na komputer użytkownika i zrobić co trzeba.
Ale to zapewniają już obecne środki. Wystarczy program do zdalnego nadzorowania + program antywirusowy.

Za to interesujący byłby skaner sieciowy, który skanowałby porty wybranych komputerów w sieci i identyfikował. Ale takie już są: chociażby LANguard Network Scanner, można włączyć skanowanie na portach trojanów oraz pododawać te, których brakuje.

Hv234xct35vbgy5hf[/b]

Kto przez gg rozmawia takimi ciągami? Raczej tylko jakieś programy. Skąd wiadomo, że przez gg? Adresy, porty - filtr odpowiedni wystarczy założyć dla sniffera.

 

[fl3a]

V0lrath: Dobry admin nie dopusci by uzytkownik siedzial na koncie Admina! No chyba ze firma afiszuje sie pudelkami po oprogramowaniu AV ktore jest gowno warte. Czemu zatem te komercyjne cudenka sa takie glupie i nie potrafia UM procesu zabic albo dll'ki odladowac? Nikt nie powiedzial ze projekt musial by stanac na poziomie UM wystarczy dorzucic driver i wszystko kleka. Wtedy nie problem o kontrole watkow i blokade np. CreateRemoteThread... Tu trzeba tylko wyobrazni i checi. Zadanie jest faktycznie powazne bo uzytkownicy (biurkowi) zazwyczaj siedza na koncie Admina. Daje to duze mozliwosci szkodliwemu oprogramowaniu ale i jecze wieksze oprogramowaniu zwalczajacemu! Skaner portow rzeczywiscie byl by przydatny ale to chyba najprostsze zadanie.

Ciekawym rozwiazaniem byla by funkcja (modul) potrafiacy infekowac inne komputery w celu eliminacji potencjalnie zainfekowanych jednostek. Dlaczego stare robaki wciaz sa na szczycie list? Bo migruja... Jesli ktos jest w lanie i zostal zainfekowany czyms ta jakie jest prawdopodobienstwo ze inne komputery tez sa zarazone? Wiadomo wszystko za zgoda uzytkownika. Modul wykorzystuje luke powiadamia uzytkownika i pyta czy przeskanowac system. Znajdzie to zabija i podaje jakie laty trzeba zainstalowac i jak robic by zapobiegac podobnym incydentom... To nie futura to jest do zrobienia!

Nie bede kopiowal tekstu tylko linkiem zarzuce... Jak macie troche czasu to poczytajcie. Ciekawe czemu najmniej do powiedzenia mieli tworcy trojanow?!
- readme_1
- readme_2