[TUT] O Metoda de a ascunde un trojan, keylogger sau rat

[OrIaX]

O metoda manuala de a ascunde un keylogger sau un RAT:

Autor: Or|aX pt rstcenter.com

Credits:helios [DD crew]

Nivel: Incepator – Intermediar

Ce iti trebuie:

Ollydbg (dissasembler)

Procdump

Server.exe ( serverul vostru “minune”)

Putina minte, atentie, intuitie

Atentie: acest tutorial este creat in scop educativ! Nu raspund pentru daunele pe care le produceti folosind aceasta metoda! Este posibil sa nu functioneze tot timpul. Exista o sansa sa va infectati singuri de aia e bine sa stiti si cum sa va devirusati!

Deschideti Ollydbg si incarcati server.exe (asta se face apasand tasta F3);

O sa va apare ceva de genul:

Ce este incercuit cu rosu este (EP)entry-point-ul vostru. In Olly o sa il vedeti marcat cu negru&gri. Notati EP.

Acum cautam un loc unde putem scrie codul nostru. Un Code Cave (CC). CC este un spatiu liber pe care il gasim de obicei la sfarsitul unui executabil.

Scroll pana la sfarsit. O sa vedeti ceva de genul:

Sau de genul:

Acum mergem la inceputul CC-ului apasam Space si scriem codul nostru :

Retn

Retn

Push ebp

Mov ebp,esp

Sub esp,8

Push (adresa EntryPoint-ului notata anterior) = 1314C3A4 in acest exemplu =Push 1314C3A4

Push (adresa primei functii Retn) = Push 1314C573

Mov eax, (adresa celei de a doua functii Retn) = Mov eax, 1314C574

Jmp eax

Codul nostru arata asa:

Retn
Retn
Push ebp
Mov ebp,esp
Sub esp,8
Push 1314C3A4
Push 1314C573
Mov eax, 1314C574
Jmp eax

Acum notati adresa Push epb = 1314C575

Right click : CopyToExecutable - All modifications – CopyAll

Right click : Save file : server2.exe

Am Terminat partea cu Olly.

Deschideti Procdump – PE Editor – server2.exe

Acum schimbam EP original cu cel creat de noi anterior (1314C575)

Formula de calcul pt noul EP:

Push ebp address – Image base = noul EP

1314C575 13140000 = 0000C575

Acum modificati EP – OK

Scanati server.exe

Scanati server2.exe

Sfarsit!

Nota : Valorile din acest tutorial sunt pt a exemplifica procedura ! Fiecare o sa aiba alte valori!

*Acest tutorial e monkey-based ! Ce fac eu faceti si voi urmarind si reproducand pasii ! Daca cineva e curios sa stie si ce se intampla de fapt sa spuna si o sa adaug si partea respectiva!

[fjtr]

Si runtime ?

[OrIaX]

Si runtime ?

Nu inteleg de ce oamenii isi fac mai multe id-uri.

Pt ce ?

On: Urmeaza Runtime, doar ca nu vad interesu` aici pt asa ceva

[fjtr]

Pt scantime vezi interesul iar pt runtime nu ...

Quote:

Nu inteleg de ce oamenii isi fac mai multe id-uri.

Pt ce ? "

De ce crezi tu ca am mai multe id-uri ? Vorba ta la urma urmei ... la ce mi-ar folosi ?Chiar sunt curios de ce ai zis asta.

Edited January 11, 2009 by fjtr

[OrIaX]

1 Pt scantime vezi interesul iar pt runtime nu ...

Quote:

Nu inteleg de ce oamenii isi fac mai multe id-uri.

Pt ce ? "

2 De ce crezi tu ca am mai multe id-uri ? Vorba ta la urma urmei ... la ce mi-ar folosi ?Chiar sunt curios de ce ai zis asta.

1. Ma refeream ca oamenii de pe aici nu prea ii intereseaza metodele de gen nici scan nici run au alte preocupari (nu toti dar o buna parte)

2. Trebuie sa fii atent la detalii:

Welcome to our newest member, fjtr

Foarte util tutorialul , parca lokipaki postase chiar un script ... sau link catre script pe site-ul lui ... foarte util

[fjtr]

Ai dreptate (mai bine nu ma bagam in seama) dar in apararea mea pot spune ca ala chiar a fost primul meu post pe rst , pana acum doar am urmarit.

On:

Astept cu interes metode criptare runtime !

[OrIaX]

simplu folosesti un Binder

[a13x4nd7u]

ON: Foarte bun tutorialul.

O idee ar fi ca sa incerc sa fac un program care sa caute entry point (sau sa il citeasca pur si simplu din header) si NOP-ii si sa iti faca toate aceste modificari.

Daca vi se pare buna ideea o sa incerc.

OFF: Stii ce imi place? Ca OllyDBG merge perfect cu Wine pe Linux.

[m32mark]

e foarte misto faza asta, eu zic (parerea mea) ca e superioara unui binder pentru ca iti aduce sadisfactia aia ca e facut de tine