[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Маскировка троянов
PIONER37Дата: Суббота, 11.06.2011, 22:38 | Сообщение # 1
создатель сайта
Группа: Администраторы
Сообщений: 166
Награды: 3
Репутация: 49
Статус: Offline
Для начала создадим себе подопытный файл. Я воспользуюсь трояном PinchLD 1.0. Скомпилируем его с выводом паролей в файл. Получимли файл размером 24,0 КБ (24 576 байт). Он прекрасно палится веми антивирусами даже с базами годичной давности. Его ты мы и будем прятать.
Немного лирики. Антивирусы теперь все больше и больше продвигаются. Если спрятать сигнатуру не особая проблема, то они при включенном эвристическом анализе все равно не редко умудряются распознать троян.
Это связано с тем что почти все защиты хранят ключ с помощью которого шифруется файл внутри этого же файла. ( Сейчас уже есть исключения , когджа ключа нет, и он подбирается при запуске). Мы же воспользуемся тем , что подбирать пароли антивирусы пока не научились ( и научатся не скоро). Что мы сделаем: установим на программу пароль, так что бы без знания пароля, программу нельзя было запустить. Таких программ огромное колличество. Но почти все они при запуске будут выкидывать окошко в котором будут просить ввести пароль. Убедить жертву в том что так и надо довольно проблематично будет. Поэтому возьмем программу которая может приимать требуемый пароль в качестве параметра командной строки. Такая программа : Orien 2.12.
Собственно принцип я объяснил. Кому интересно разберется сам. А я продолжу наш пример. Запускаем Orien 2.12 и делаем следующее :
Для установки паролей поясню : щелкаем на одном из 4-х полей ввода пароля , печатаем пароль ( он сразу же скрывается за звездочками). Ставим галочку возле этого поля. Отмечаем пункты "Защита по паролю", "Скрыть", "Чтение из командной строки" (!!!!! это ВАЖНО ).
После выставления опций жмем кнопку "Старт" и если все прошло нормально получаем окошко
В итоге я получил файл размером 24,5 КБ (25 088 байт) ( совсем небольшой прирост). Проверяем его антивирусом , он не палится. Правда при попытке запустить его выскочит окошко "Неверный пароль".
Его можно убрать сняв сообветсвующую галочку на вкладке "Сообщения" программы Orien перед защитой.
Я советую это сделать , но суть не меняется.
И так без пароля наша программа ( троян) не работает. Открываем справку к программе Orien и читаем
Синтаксис командной строки загрузчика: Цитата:
example.exe !psw=123 !psw=234 !psw=000 !key=c:\progra~1\keyfile.dat /?
"example.exe" - запускаемый файл со встроенной защитой
"!psw=123 !psw=234 !psw=000" - в загрузчик передаются 3 пароля: "123", "234" и "000"
в нашем случае должно быть так : Код:
Pinch.exe !psw=123
запускаемый с такой командной строкой файл работает нормально , и по прежнему не определяется антивирусом.
Теперь проблема в том, как передать параметры при запуске файла на машине жертвы. Открываем статью "Непалящийся джоинер своими руками" и перечитываем. Действуем по аналогии.Создаем SFX архив с файлом Pinch.exe внутри
Собственно ничего чудодейственного. Но этот способ реально доступен любому и прост в применении. К тому же пока не предвидется борьба антивирусов с такой маскировкой.
Теперь о недостатках : спрятанный таким образом троян нельзя без переделки самого трояна засовывать в автозагрузку ( просто при запуске ему не будет передаваться пароль для распаковки) . Так что при компиляции того же Пинч забудьте о Автозагрузке во всех ее проявлениях.
Orien 2.12 sad sad sad sad


 
  • Страница 1 из 1
  • 1
Поиск: