Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=120ac109b6d5de220d104965f2ed687e profile.php?mode=register&sid=120ac109b6d5de220d104965f2ed687e faq.php?sid=120ac109b6d5de220d104965f2ed687e memberlist.php?sid=120ac109b6d5de220d104965f2ed687e search.php?sid=120ac109b6d5de220d104965f2ed687e index.php?sid=120ac109b6d5de220d104965f2ed687e

Foren-Übersicht » Microsoft Betriebssysteme » Dateiendungen (ausführbar) Gehe zu Seite 1, 2  Weiter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
Dateiendungen (ausführbar)
BeitragVerfasst am: 20.11.2006 16:18 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Hallo Leute!

Folgende Frage benötige ich für den Opensource Trojaner:

Inwiefern eignet sich .pif als Dateiendung?
Leider krieg ich da immer das MS-DOS Logo was ziemlich nervt.

Ist es möglich ne eigene Datei-Endung zu schaffen so, dass die auch am fremdPC ausgeführt wird?

Vielen Dank
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 20.11.2006 17:36 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Nein, Windows kann bur .bat, .cmd, .pif und .exe ausführen

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 20.11.2006 18:53 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Eigene Dateieindungen kannst du meines Wissens nicht "erschaffen".

Die Richtlinien zur Softwareeinschränkung bieten dir z.B. auch eine Liste der Dateien, welche standardmäßig ausgeführt werden.

Dazu öffnest du die Sicherheitsrichtlinien (secpol.msc) -> Rechtsklick auf "Richtlinien zur Softwareeinschränkung" - dann kannst du da ein neues Regelset erstellen. Anschließend öffnest du rechts "Designierte Dateitypen".
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 20.11.2006 19:47 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




xD Du kannst eine Lücke in der Windowsdiashow finden und den Trojaner dadurch installieren lassen xD quasi durch ne bilddatei
Wenn du das exploit geschrieben hast bitte posten Razz

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 21.11.2006 10:27 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Puh ich glaub das is mir noch zu hoch^^.

Hmm Black ich weiss zwar ned ob du noch mitmachst aber ich hab bis jetzt folgende Vorschläge: (Um die Firewall (nur Personal) zu umgehen)

Auto-Klicker-(beherrsche ich noch nicht, sind aber höchstens 30 Zeilen Code)

dll-injection
dns-tunneling

Wobei es folgende Probleme gibt:

Beim Autoklicker weiss ich nicht ob es noch aktuell ist.
Bei der dll injection kommt zonelarm schon drauf (war zwar die einzige laut einem Artikel den ich glesen hab.)
Beim dns Tunneling gibt es kein Problem und das dürfte auch in Zukunft kein Problem sein NUR:
Wie schaff ich dann Daten raus?
Denn ne dns Anfrage hat ja vermutlich ein Limit hat.

Hat jmd sonst noch ne Idee Daten zu versenden?

Hmmm dann wär da noch die Möglichkeit einer remote-wwwsh (is mir aber nicht so symphatisch)

Hmmm oder wir könnten die Firewall selbst angreifen sprich den Dienst beenden und/Dateien unschädlich machen (was aber vermutlich auch keine so gute Idee sein wird, weil sich die Firewall dagegen Vorkehrungen getroffen haben werden, auch wenn die bei einer PFW vermutlich eh nicht so gut sein werden wie bei den Pro-Versions.

Hmm naja wie gsagt: Hat noch jmd ne Idee die FW abzuschalten bzw zu umgehen?

Bzw gibts viell doch ne Möglichkeit via DNS-Tunneling auch größere Sachen zu versenden?



Lg
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 21.11.2006 10:50 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beiträge: 369
Wohnort: /offtopic




Zu der Firewall:

Du könntest probieren, dass der Dienst der Firewall beim nächsten Systemstart einfach nicht geladen wird.

Das heißt, der Trojaner schaut, wenn Firewall an, dann Systemstart manipulieren, wenn aus, dann freier Spielraum.

Es wäre zum Beispiel eine Möglichkeit, diese Funktion so einzubauen, dass sie auf ein Systemshutdown reagiert, wo die Firewall evtl. schon abgeschaltet ist oder nicht genügend Zeit hat, eine Gegenmaßnahme auszuführen.

Ich hab btw. keine Ahnung, wie eine Firewall in solchen Situationen reagiert.

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 21.11.2006 11:48 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Hmmm ok DNS-Tunneling ist NICHT mehr aktuell....
Schade war eig zu geil, hab beim Test ohne FW auch Daten versenden können aber als ich sie eingeschaltet habe wurde das sofort geblockt und abgefragt.

Hmmm dll injection wird vermutlich auch erkannt wenns eine erkennt ziehen andere Hersteller oft mit

Autoklicker: Dürfte noch funzen.



@4lx

Jap das hab ich auch vorghabt nur hab ich zu wenig Ahnung von der Win32API um das zu realisieren (den Dienst abzuschalten)
Schade denn das würde eig klappen.

Hmm da bin auf eure Hilfe angewiesen bzw auf google ; ich werd eh noch nach ner Lösung suchen.
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 21.11.2006 13:46 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beiträge: 369
Wohnort: /offtopic




Hä DNS-Tunneling ist einfacher als nen Dienst zu killen?^^
Welche Sprache denn? (Das hab ich nicht mitbekommen...)

Hast du eigentlich schon eine Sicherheitslücke, über die du den Trojaner einschleusen möchtest? Dafür würde sich das Metasploit Framework sehr empfehlen...

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 21.11.2006 14:43 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Hmm kA obs einfach er is, aber DNS-Tunneling is von Aufbau eig ziemlich einfach.

Einen Dienst zu beenden dürfte glaub ich schwerer sein (hoffe ich sag nix Falsches, nur bin eben wie gesagt nicht so gut mit der Win32API vertraut)

Lg

Meta-Sploit Framework?

Was ist das denn?

mfg
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 21.11.2006 14:59 Antworten mit Zitat
madhead
Anmeldedatum: 02.11.2006
Beiträge: 52




Mit was Programmierst du den trojaner?
Mit C# ist das easy einen Dienst zu beenden

_________________
Es gibt genau 10 Arten von Menschen, die einen verstehen Binärcode die anderen nicht.
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 21.11.2006 16:10 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Mit C
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 21.11.2006 17:12 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Wie kommst du eigentlich darauf einfach beliebig irgendwelche Dienste beenden zu können?

Du benötigst zum Beenden eines entsprechenden Prozesses/Dienstes unter Windows die Berechtigung dazu; diese hast du in der Regel, sofern du Mitglied der lokalen Administratorgruppe bist.

Gehst du von einem Ottonormalverbraucher aus, der Administratorrechte zum Arbeiten verwendet? Dieser Ottonormalverbraucher hat in der Regel auch einige Sicherheitsprogramme laufen, welche ihm mit seinem Komplett-PC mitgeliefert wurden, die sich oft auch als Administrator nicht beenden lassen oder einen entsprechenden Kennwortschutz implementieren.

Das alles betrifft jedoch nur Schutzprogramme, die auf dem lokalen Computer installiert sind, beispielsweise eine Personal Firewall. Was machst du nun, wenn der User nicht über eine Internetverbindung verfügt, wie es bei einem handelsüblichen DSL-Router, den inzwischen dank der Provider fast jeder Benutzer hat, der Fall ist. Solch ein Router lässt keine eingehenden Verbindungen zu, was wiederum bedeutet, das du einen Server stellen musst, mit dem sich ein Client verbinden kann
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 21.11.2006 17:36 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Ohne mal auf die Fragen einzugehen (falls ich gemeint war):

Zu den Schutzprogrammen:

Die da wären?

Lg
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 21.11.2006 17:52 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Zitat:
Ohne mal auf die Fragen einzugehen (falls ich gemeint war)


Programmiert das hier sonst jemand außer du? Wer ist dann wohl gemeint... überleg mal.

Schutzprogramme?
Wie kommst du jetzt darauf? Du hast mit Zone Alarm doch schon eines genannt; andere, die sich nicht einfach deaktivieren lassen, sind z.B. Produkte von Kaspersky oder Symantec.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 21.11.2006 17:57 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




k ich hab dich nicht angegriffen und war auch sonst immer höflich zu dir deswegen komm bitte einen Gang runter, es kann auch sein dass mich täusche kommt aba ein bisschen aggresiv rüber.
Wenn ich mich täusche dann vergiss das was ich grad gesagt habe.

K erm

Zitat:

Mit was Programmierst du den trojaner?
Mit C# ist das easy einen Dienst zu beenden


deswegen die Frage wen du meinst.

Zitat:

Dieser Ottonormalverbraucher hat in der Regel auch einige Sicherheitsprogramme laufen, welche ihm mit seinem Komplett-PC mitgeliefert wurden


Hast du schon mal nen Komplett PC gekauft/bei nem Freund gesehen der ab Werk/Verkauf mit Sygate etc ausgestattet war?

mfg
Benutzer-Profile anzeigen Private Nachricht senden
Dateiendungen (ausführbar)
Foren-Übersicht » Microsoft Betriebssysteme
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 2  
Gehe zu Seite 1, 2  Weiter
  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum