Wersja do druku
Jak widać na omawianym przykładzie "wyciagania hasel z pamieci + shellexecute+ dodawanie do rejestru +tworzenie swojej kopii" nie jest wykrywane przez antyviry, szyfrowanie stringów XORem takiego stanu rzeczy nie zmienia...Cytuj:
Blund Coder napisał
uhum : )Cytuj:
Blund Coder napisał
i wlasnie dlatego uwazam, ze ona OwnTibia nie jest napisana profesjonalnie, ani nawet na przyzwoitym poziomie ; )
@JoGi
nie podpowiadaj, to raz.
a dwa... nie potrzeba armaty zeby zabic pszczole xD
Wystarczy ze do mojego programu dokleje to:
i nod płacze...Kod:function Koduj(Input:string): String;
var
numer:integer;
znak:char;
wynik:string;
kod:integer;
begin
kod:=2;
for numer:=1 to length(Input) do
begin
znak:=Input[numer];
wynik:=wynik+chr(ord(znak) xor ord(kod));
end;
result:=wynik;
end;
@up
Ty chyba wymagasz pisania keya w assemblerze bo cos nie zadowolony jestes :p
Co w nim jest nie pro?
mistrzu...
nie sadzisz chyba, ze bedziemy Cie tu uczyc jak napisac Twojego keyloggera lepiej?
@down
rzeczywiscie, nie mam pojecia o programowaniu, przepraszam, ze osmielilem sie skrytykowac tak doskonalego keyloggera, przeciez to, ze wykryc go moze piecioletnie dziecko z hex edytorem nie swiadczy jeszcze o tym, ze nie jest mega_giga_uber_pro profesjonalnie napisany : )
Nie.Poprostu sądze ze nie masz pojecia o czym gadasz.Napisz swojego to zobaczysz co mozna wsadzic do keya a co nie jeśli chcesz zeby byl niewykrywalny
Nie wiem jak z keylogerami do tibi, ale w botach wszystkie funkcje jakie wymieniłeś są na porządku dziennym+ wiele innych...Cytuj:
Blund Coder napisał
"wyciąganie haseł z pamięci" - login grabery ( pobieranie całej zawartości Pstore ), kradzieże numerów kart kredytowych (monitoruje proces przegladarki, jeżeli wykryje połączenie https, w którym na stronie są określone wyrazy ( cvv, credit, security number, SSN, social security, date of birth, itp... ) to uruchamia keylogera) i wiele innych...
shellexecute - również sporo funkcji, w tym najczęściej wykonywana, czyli skanowanie w poszukiwaniu nowych celów...
dodawanie do rejestru - trzeba się przecież uruchomić ponownie w razie restartu :) - dodatkowo na rejestrze jest przeprowadzanych kilka innych operacji, jak np. kradziesz cd-keyów z gier i programów...
tworzenie swojej kopii - nie muszę komentować :)
Oprócz tych boty mają jeszccze wiele innych, jeszcze bardziej podejrzanych funkcji, jak np przełączenie karty siecioej w Promiscuous mode i nasłuch pakietów w poszukiwaniu określonych treści...
Oczywiście każdy string w binarce w postaci jawnej tworzy zagrożenie dla bezpieczeństwa całego botnegu, więc wszystkie są ukrywane - jak widać da się to pogodzić z niewykrywalnością, która zawsze sięga 100% w przypadku dobrych botów...
Jeszcze nie widzialem bota ktory startuje wraz z systemem bez zadnego okna,samymi podejzanymi funkcjami.Ostatnio robilem program ktory kominikuje sie przez serwery gadu gadu i po samym wrzuceniu komponentu na forme jakis tam av wykrywal go jako wira.Dlaczego ? Bo duzo trojanow komunikuje sie teraz przez te serwy i juz sam kod obslugi potokolu lapie.AV reaguja juz prawie na wszystko.
Napiszesz lepszego keya - niewykrywalnego to zwroce honor
nie mój - pierwsze lepsze ogłoszenie z forum:Cytuj:
Blund Coder napisał
Gotowy .exe - 80 euro, źródła - 500 euroKod:Never before released and undetected bot. Written totally from scratch over a long period of time with constant testing and usage. Now under a limited time binaries and sourcecode are offered to paying customers.
A small example of features included:
Runs as a service.
DCC.
Encrypted communication via IRC.
Rootkit driver: hides files and connections.
Direct kernel memory unhooking of functions and unlinking of processes (hiding).
Packetsniffer and keylogger, both full logging and logging of specific strings/values.
TCP/IP patcher.
Fast singlethreaded, multisocketed exploitscanner with various exploits included (smb, asn1, pnp, realvnc etc).
mIRC spreader, USB spreader.
Direct transfer shellcode.
AV-killer.
Botkiller/memoryscanner.
Injection techs.
E-Mail/CDKey/MSN/Clipboard grabbers.
SOCKS4/FTP/HTTP/IDENT daemons.
Bandwith/SYNACK/Troll/UDP flooders.
Speedtest
Persistant server: various techs. to make it harder to remove the bot.
Wormride: hooks into processes looking for transfers over winsock and replaces files with botfile!
Sysinfo/netinfo
Processlist/start/stop
Anti-debug techs.
Anti-sandbox tecs.
Highly modular: making it easy to add new exploits and functions without interrupting the base!
All strings in the bot are totally encrypted making it harder to see that the binary actually is a bot!
E-gold i Western union... chcesz kupić?
@UP
Chodzilo o keyloggera!
Teraz to ja sie nie moge powstrzymac.
Czyżby TBI byl keyloggerem? LOL?
Byla taka sytuacja ze chyba avast wykrywal TBI ale ktos zgłosil blad.Nie pamietam dokladine.
Do do Jogiego:
Skad wiesz czy ten keylogger jest niewykrywalny w 100%?
Ktos doda do bazy i masz po wydanej kasie.
Sprzedawcy na tym forum są weryfikowani i zanim takie ogłoszenie trafia do publiki to moderator sprawdza czy sprzedawca faktycznie ma "towar" i czy on jest zgodny z opisem.Cytuj:
Blund Coder napisał
A jeśli chodzi o drugie pytanie:
- bot herderzy po znalezieniu .exe starają się przy pomocy sandboxa przejąć kontrolę nad kanałem C&C i "ukraść" botnet - każdy na tyle głupi żeby publicznie na forum dać swojego bota straci cały botnet - albo zostanie on przejęty albo zamknięty zostanie serwer. Wysyłanie .exe do firm antyvirusowych nie przenosi żadnych zysków i nie jest praktykowane...
- jeśli chodzi o zwykłych użytykowników to pomyśl... exe nie jest w żaden sposób wykrywalne - dlaczego ktokowliek miałby wysyłać je?
Jeżeli już musisz gdzieś podać .exe ( IRC spread, mail spread )to stosujesz runtime packery ( NIE MÓWIĘ tu o upx, tylko o prywatnych, niewykrywalnych packerach).
ja pierdole ty jakies mega crazy informatyk jestes o.O jak czytam twoje posty to normalnie wyższa szkoła informatyki .o.OOOOO szacunek człowieku i to wielki za wiedzeCytuj:
JoGi86 napisał
Programik dobry nawet bardzo dobry
gorzej jak wizz zmieni adress pliku i klucz rejestru wtedy tym bananem bedzie mogli podetrzec se dupe ;d
Thanks !
Wreszcie hackerzy mogą possać ... :D
PzDr
Nie do końca ;)Cytuj:
jarosus napisał
Oprócz owntibi, zostaje jeszcze około 666^99999 innych keyloggerów ;)
VSK vip : |Cytuj:
Simsung napisał
Topic@
eee, chyba działa bo nic mi nie wykryło.
No to przejebane...Cytuj:
Azazel napisał