 |  | | Dateiendungen (ausführbar) |
|  |
 Verfasst am: 20.11.2006 16:18 |
 |
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
 |
|
Hallo Leute!
Folgende Frage benötige ich für den Opensource Trojaner:
Inwiefern eignet sich .pif als Dateiendung?
Leider krieg ich da immer das MS-DOS Logo was ziemlich nervt.
Ist es möglich ne eigene Datei-Endung zu schaffen so, dass die auch am fremdPC ausgeführt wird?
Vielen Dank |
|
|
|
|
| Verfasst am: 20.11.2006 17:36 |
|
|
| Phara0h |
|
 |
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 357 |
| Wohnort: /dev/RL |
|
|
|
|
|
|
| Nein, Windows kann bur .bat, .cmd, .pif und .exe ausführen |
|
_________________
 |
|
|
|
| Verfasst am: 20.11.2006 18:53 |
|
|
| Cerox |
|
 |
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Eigene Dateieindungen kannst du meines Wissens nicht "erschaffen".
Die Richtlinien zur Softwareeinschränkung bieten dir z.B. auch eine Liste der Dateien, welche standardmäßig ausgeführt werden.
Dazu öffnest du die Sicherheitsrichtlinien (secpol.msc) -> Rechtsklick auf "Richtlinien zur Softwareeinschränkung" - dann kannst du da ein neues Regelset erstellen. Anschließend öffnest du rechts "Designierte Dateitypen". |
|
|
|
|
| | |
| Verfasst am: 20.11.2006 19:47 |
|
|
| BlackLotus |
|
 |
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
|
|
xD Du kannst eine Lücke in der Windowsdiashow finden und den Trojaner dadurch installieren lassen xD quasi durch ne bilddatei
Wenn du das exploit geschrieben hast bitte posten  |
|
_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.
Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das 
http://blackwiki.bl.ohost.de |
|
|
|
| | |
| Verfasst am: 21.11.2006 10:27 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
Puh ich glaub das is mir noch zu hoch^^.
Hmm Black ich weiss zwar ned ob du noch mitmachst aber ich hab bis jetzt folgende Vorschläge: (Um die Firewall (nur Personal) zu umgehen)
Auto-Klicker-(beherrsche ich noch nicht, sind aber höchstens 30 Zeilen Code)
dll-injection
dns-tunneling
Wobei es folgende Probleme gibt:
Beim Autoklicker weiss ich nicht ob es noch aktuell ist.
Bei der dll injection kommt zonelarm schon drauf (war zwar die einzige laut einem Artikel den ich glesen hab.)
Beim dns Tunneling gibt es kein Problem und das dürfte auch in Zukunft kein Problem sein NUR:
Wie schaff ich dann Daten raus?
Denn ne dns Anfrage hat ja vermutlich ein Limit hat.
Hat jmd sonst noch ne Idee Daten zu versenden?
Hmmm dann wär da noch die Möglichkeit einer remote-wwwsh (is mir aber nicht so symphatisch)
Hmmm oder wir könnten die Firewall selbst angreifen sprich den Dienst beenden und/Dateien unschädlich machen (was aber vermutlich auch keine so gute Idee sein wird, weil sich die Firewall dagegen Vorkehrungen getroffen haben werden, auch wenn die bei einer PFW vermutlich eh nicht so gut sein werden wie bei den Pro-Versions.
Hmm naja wie gsagt: Hat noch jmd ne Idee die FW abzuschalten bzw zu umgehen?
Bzw gibts viell doch ne Möglichkeit via DNS-Tunneling auch größere Sachen zu versenden?
Lg |
|
|
|
|
| | |
| Verfasst am: 21.11.2006 10:50 |
|
|
| 4lx |
|
|
|
| Anmeldedatum: 02.01.2006 |
| Beiträge: 369 |
| Wohnort: /offtopic |
|
|
|
|
|
|
Zu der Firewall:
Du könntest probieren, dass der Dienst der Firewall beim nächsten Systemstart einfach nicht geladen wird.
Das heißt, der Trojaner schaut, wenn Firewall an, dann Systemstart manipulieren, wenn aus, dann freier Spielraum.
Es wäre zum Beispiel eine Möglichkeit, diese Funktion so einzubauen, dass sie auf ein Systemshutdown reagiert, wo die Firewall evtl. schon abgeschaltet ist oder nicht genügend Zeit hat, eine Gegenmaßnahme auszuführen.
Ich hab btw. keine Ahnung, wie eine Firewall in solchen Situationen reagiert. |
|
_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon
"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof |
|
|
|
| | |
| Verfasst am: 21.11.2006 11:48 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
Hmmm ok DNS-Tunneling ist NICHT mehr aktuell....
Schade war eig zu geil, hab beim Test ohne FW auch Daten versenden können aber als ich sie eingeschaltet habe wurde das sofort geblockt und abgefragt.
Hmmm dll injection wird vermutlich auch erkannt wenns eine erkennt ziehen andere Hersteller oft mit
Autoklicker: Dürfte noch funzen.
@4lx
Jap das hab ich auch vorghabt nur hab ich zu wenig Ahnung von der Win32API um das zu realisieren (den Dienst abzuschalten)
Schade denn das würde eig klappen.
Hmm da bin auf eure Hilfe angewiesen bzw auf google ; ich werd eh noch nach ner Lösung suchen. |
|
|
|
|
| | |
| Verfasst am: 21.11.2006 13:46 |
|
|
| 4lx |
|
|
|
| Anmeldedatum: 02.01.2006 |
| Beiträge: 369 |
| Wohnort: /offtopic |
|
|
|
|
|
|
Hä DNS-Tunneling ist einfacher als nen Dienst zu killen?^^
Welche Sprache denn? (Das hab ich nicht mitbekommen...)
Hast du eigentlich schon eine Sicherheitslücke, über die du den Trojaner einschleusen möchtest? Dafür würde sich das Metasploit Framework sehr empfehlen... |
|
_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon
"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof |
|
|
|
| | |
| Verfasst am: 21.11.2006 14:43 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
Hmm kA obs einfach er is, aber DNS-Tunneling is von Aufbau eig ziemlich einfach.
Einen Dienst zu beenden dürfte glaub ich schwerer sein (hoffe ich sag nix Falsches, nur bin eben wie gesagt nicht so gut mit der Win32API vertraut)
Lg
Meta-Sploit Framework?
Was ist das denn?
mfg |
|
|
|
|
| Verfasst am: 21.11.2006 14:59 |
|
|
| madhead |
|
 |
|
| Anmeldedatum: 02.11.2006 |
| Beiträge: 52 |
|
|
|
|
|
|
|
Mit was Programmierst du den trojaner?
Mit C# ist das easy einen Dienst zu beenden |
|
_________________
Es gibt genau 10 Arten von Menschen, die einen verstehen Binärcode die anderen nicht. |
|
|
|
| Verfasst am: 21.11.2006 16:10 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
|
|
|
|
| | |
| Verfasst am: 21.11.2006 17:12 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Wie kommst du eigentlich darauf einfach beliebig irgendwelche Dienste beenden zu können?
Du benötigst zum Beenden eines entsprechenden Prozesses/Dienstes unter Windows die Berechtigung dazu; diese hast du in der Regel, sofern du Mitglied der lokalen Administratorgruppe bist.
Gehst du von einem Ottonormalverbraucher aus, der Administratorrechte zum Arbeiten verwendet? Dieser Ottonormalverbraucher hat in der Regel auch einige Sicherheitsprogramme laufen, welche ihm mit seinem Komplett-PC mitgeliefert wurden, die sich oft auch als Administrator nicht beenden lassen oder einen entsprechenden Kennwortschutz implementieren.
Das alles betrifft jedoch nur Schutzprogramme, die auf dem lokalen Computer installiert sind, beispielsweise eine Personal Firewall. Was machst du nun, wenn der User nicht über eine Internetverbindung verfügt, wie es bei einem handelsüblichen DSL-Router, den inzwischen dank der Provider fast jeder Benutzer hat, der Fall ist. Solch ein Router lässt keine eingehenden Verbindungen zu, was wiederum bedeutet, das du einen Server stellen musst, mit dem sich ein Client verbinden kann |
|
|
|
|
| | |
| Verfasst am: 21.11.2006 17:36 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
Ohne mal auf die Fragen einzugehen (falls ich gemeint war):
Zu den Schutzprogrammen:
Die da wären?
Lg |
|
|
|
|
| Verfasst am: 21.11.2006 17:52 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Zitat: | | Ohne mal auf die Fragen einzugehen (falls ich gemeint war) |
Programmiert das hier sonst jemand außer du? Wer ist dann wohl gemeint... überleg mal.
Schutzprogramme?
Wie kommst du jetzt darauf? Du hast mit Zone Alarm doch schon eines genannt; andere, die sich nicht einfach deaktivieren lassen, sind z.B. Produkte von Kaspersky oder Symantec. |
|
|
|
|
| | |
| Verfasst am: 21.11.2006 17:57 |
|
|
| Lukas |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 257 |
| Wohnort: Wien |
|
|
|
|
|
|
k ich hab dich nicht angegriffen und war auch sonst immer höflich zu dir deswegen komm bitte einen Gang runter, es kann auch sein dass mich täusche kommt aba ein bisschen aggresiv rüber.
Wenn ich mich täusche dann vergiss das was ich grad gesagt habe.
K erm
| Zitat: |
Mit was Programmierst du den trojaner?
Mit C# ist das easy einen Dienst zu beenden
|
deswegen die Frage wen du meinst.
| Zitat: |
Dieser Ottonormalverbraucher hat in der Regel auch einige Sicherheitsprogramme laufen, welche ihm mit seinem Komplett-PC mitgeliefert wurden
|
Hast du schon mal nen Komplett PC gekauft/bei nem Freund gesehen der ab Werk/Verkauf mit Sygate etc ausgestattet war?
mfg |
|
|
|
|
| | |
| Foren-Übersicht » Microsoft Betriebssysteme |
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 2
Gehe zu Seite 1, 2 Weiter
|
|
|
|
|
