how to create back shell

[ksenofor]

Хочется понять, как работают бэкшеллы - как они обходят всякого рода firewall'ы, выдавая себя за нормальные программы.

[blackblock]

Back-connect? Там смысл обхода фаерволов в том, что на сервере фаерволом закрыты на вход все порты, кроме разрешенных. Поэтому код не открывает порт на сервере и ждетна него коннекта, а сам коннектится к заданному адресу с портом, т.к. исходящие соединения с сервера обычно разрешены.

[ksenofor]

Back-connect? Там смысл обхода фаерволов в том, что на сервере фаерволом закрыты на вход все порты, кроме разрешенных. Поэтому код не открывает порт на сервере и ждетна него коннекта, а сам коннектится к заданному адресу с портом, т.к. исходящие соединения с сервера обычно разрешены.

А антивирус как определяет, что сейчас происходит что-то не то: "ресурсы вашего компа кто-то использует с помощью такого-то троя"? - залитый троян это соединение и создает, я так понимаю.

[JKornev]

А антивирус как определяет, что сейчас происходит что-то не то: "ресурсы вашего компа кто-то использует с помощью такого-то троя"?

Мониторится система, поведение программ, трафик. Например дроппер пытается выполнить бекконнект, АВ перехватывает эту попытку, смотрит к примеру что экзешник подозрительно маловат в размере и выполняет более глубокий анализ. Хотя для некоторых АВ маленький размер программы работающей с сетью это уже повод детекта

[ksenofor]

Ок. А как in most of cases сделать back shell невидимым для антивируса? Интересуют программы, с помощью которых можно сформировать такой шелл, и другие, которые его надёжно спрячут. :)

[blackblock]

Так тебе back-connect или передать награбленные пароли с компа на сервер, чтоб антивирус не спалил?
in most of cases компы за натом и back-connect там не нужен.

[ksenofor]

И как с этим жить - в случае с NAT'ом бэк шелл невозможен (а как же скайп, который успешно все NAT'ы пробивает)?
Хочется получить полноценный шелл, для удаленного управления враждебным компьютером.
Пока разбираюсь, для общего развития. Хочется узнать, как это делается.

[blackblock]

Это я что-то затупил.
Вот для ознакомления https://fuckav.ru/showthread.php?t=16678

[ksenofor]

А че эт некоторые антивирусы его не видят?
Он же настолько очевидные вещи делает, неправильные, что... можно диву даться.. полностью.
Или UAC всех ламеров спасаед, при таком раскладе, от выполнения слишком бестолковых команд типа format c:/ и пр. гадостей?