+ Reply to Thread
Page 1 of 2 1 2 LastLast
Results 1 to 20 of 38

Thread: Живучесть бота

  1. #1
    rtkm's Avatar

    Default Живучесть бота

    Что посоветуете для живуости бота.
    Кроме как частого апдейта с фудд криптом.

    Буду очень благодарен за идеии.

    + Вопрос если в конец файла дописать мусор на 100-200 мб. Ав будет сканить этот файл или нет?
    и какие еще есть уловки для продолжение жизни бота?

    Бот тихый, устанавливается норм, стабильность отестировали , 5 суток высел на 4 разных виртуалках + на ноутах. утечек памяти нет, бот не вылетает.

    жду идей)
    Invia virtuti nulla est via.

  2. Пользователь сказал cпасибо:
    dukeBarman (20-06-2015)
  3. #2
    JKornev's Avatar

    Default Re: Живучесть бота

    Врятли мусор как-то повлияет на недетект, особенно если он в стабе, а не в секциях.
    High tech, low life

  4. #3
    yorowe's Avatar

    Default Re: Живучесть бота

    Возможно, поможет оригинальный способ грузить исполняемый файл. Например, недавно в нескольких модификациях Grand Theft Auto V нашли загрузчик кейлоггера. Работало это так: в папку с игрой кладётся библиотека с названием dsound.dll или dinput8.dll (игрой она хавается сама и на "ура"), эта библиотека в свою очередь грузит все файлы с расширением asi из папки с игрой. На самом деле asi - это dll с другим расширением. насколько я знаю, ав не реагировали.

    Ещё в иде исполняемый код лежит в каких-то wll-файлах.

  5. #4
    REU's Avatar

    Default Re: Живучесть бота

    Quote Originally Posted by yorowe View Post
    Ещё в иде исполняемый код лежит в каких-то wll-файлах.


    В иде это потому что в борланда можно было задавать расширение с каким создавать длл.

  6. Пользователь сказал cпасибо:
    Dark Koder (19-05-2015)
  7. #5
    yorowe's Avatar

    Default Re: Живучесть бота

    Quote Originally Posted by REU View Post


    В иде это потому что в борланда можно было задавать расширение с каким создавать длл.
    То есть там тоже внутри обычная dll-ка?

  8. #6

    Default Re: Живучесть бота

    Как вариант инжектиться в какие нибудь исполняемые файлы которые каждый раз при перезагрузки грузятся, и код который туда инжектится проверяет на целостность бота, если есть то завершает выполнение, если его нет то скачивает и устанавливает заново.

    А вообще очень много зависит от системы и условий.

  9. #7
    JKornev's Avatar

    Default Re: Живучесть бота

    Любые инжекты и dll hidjacking дохлые методы, всё что грузится через системный загрузчик проходит через коллбеки АВ
    High tech, low life

  10. Пользователь сказал cпасибо:
    BaronPabloz (20-05-2015)
  11. #8
    REU's Avatar

    Default Re: Живучесть бота

    Quote Originally Posted by yorowe View Post
    То есть там тоже внутри обычная dll-ка?
    Да.

  12. #9

    Default Re: Живучесть бота

    Хм... а если например не винду хучить а что нибудь популярное ? Что обычно есть, запускается каждый день и редко обновляется, может даже несколько прог. АВ врядли их проверяет, да и боты как я понял по первой точно не палятся.

  13. #10
    JKornev's Avatar

    Default Re: Живучесть бота

    Какая разница, когда проецируется секция с флагом SEC_IMAGE, в ядре дёргается коллбек, что драйвер АВ зареган на это событие сомнений быть не может, если только это не АВ Бабушкина. Так что грузи свою малварь хоть через ПО майкрософта, АВ это заметит и просканирует. Другое дело переписать системный загрузчик, не используя проекции SEC_IMAGE, ток это уже тема другого разговора
    High tech, low life

  14. #11
    Dark Koder's Avatar

    Default Re: Живучесть бота

    отреверси модули АВ и используй баги.ну или купи их )
    Magicus Technicus
    Магистр Кодерус


  15. #12

    Default Re: Живучесть бота

    Понял, а если не подгружать dll а в саму прогу записать его в свободное место (если оно имеется ?). Ну и да как вариант написать буткит, эту вещь детектят не все и не все АВ умеют лечить.

  16. #13
    JKornev's Avatar

    Default Re: Живучесть бота

    Если честно я хз как АВ реагируют на выполнение из обычных страниц памяти (если ты их имеешь ввиду), думаю для них это заноза в заднице. Что касается буткита, то для того чтобы такое написать нужно более менее шарить в ядре ОСи. Для ботнета жирные буткиты не нужны, малваршики наоборот стараются снизить потребности своих поделок, чтобы работать в непривилегированной среде, т.к. захват привилегий это лишнее палево и геморо
    High tech, low life

  17. #14
    rtkm's Avatar

    Default Re: Живучесть бота

    а от юзера как прятать можно , без руткита допустим ( ав нету на тачке и т.д. ) и надо что бы бот долго жил.
    Invia virtuti nulla est via.

  18. #15

    Default Re: Живучесть бота

    Quote Originally Posted by JKornev View Post
    Если честно я хз как АВ реагируют на выполнение из обычных страниц памяти (если ты их имеешь ввиду)
    Ага, именно их.

    А для того что бы перезаписать бутлоадер нужны привилегии? Да и в принципе как я понял что бы малварь более менее жила, нужно закрепиться в системе а для этого нужно повышение привилегий , или я не прав ?

    а от юзера как прятать можно , без руткита допустим ( ав нету на тачке и т.д. ) и надо что бы бот долго жил.
    Ну какие то немного тепличные условия что ли. Тут все зависит от юзера, есть которые не обратят внимание если будет каждые 10 минут бсодиться все, а есть которые могут заметить любое странное поведение и найти причину. Но если в общем случае то наверное скрывать себя из трея, диспетчера задач.

  19. #16
    JKornev's Avatar

    Default Re: Живучесть бота

    Да и в принципе как я понял что бы малварь более менее жила, нужно закрепиться в системе а для этого нужно повышение привилегий , или я не прав ?
    Ну чтобы более мене жила я хз, но чтобы закрепится в системе неа
    High tech, low life

  20. #17

    Default Re: Живучесть бота

    А как тогда можно закрепиться в системе без повышения привилегий ?

  21. #18
    JKornev's Avatar

    Default Re: Живучесть бота

    Ну бонально автозапуск из ветки HKCU, заражение файлов, dll hidjacking и т.п. Исследуй систему, вопросы сами по себе отпадут.

    Я хоть и далёк от VX, но относительно темы, мне кажется прятать от юзера лучше всего малварь в DLL, так как если левый процесс сразу бросается в глаза, то заинжекченная DLL в контексте лигитимного процесса найти достаточно проблематично, + необязательно использовать работающий процесс, можно просто взять какой-то фоновый exe винды стартануть в нём вредоносный код без старта самого процесса. ИМХО трёп трёпом, а все эти техники надо отрабатывать на практике и наблюдать что лучше что хуже
    High tech, low life

  22. 3 пользователя(ей) сказали cпасибо:
    Dark Koder (20-05-2015) benedict (20-05-2015) ximera (20-05-2015)
  23. #19

    Default Re: Живучесть бота

    Quote Originally Posted by JKornev View Post
    Ну бонально автозапуск из ветки HKCU, заражение файлов, dll hidjacking и т.п. Исследуй систему, вопросы сами по себе отпадут.
    ну без повышения привелегий назаражать задача не тривиальная хотя вполне реально с мидла позаражать програм файлс...а если мы ниже мидла че делать? =)...собсна с какой стороны нужно исследовать систему и на какой предмет? сплоет искать?

  24. #20
    ximera's Avatar

    Default Re: Живучесть бота

    Не забывайте про детект в памяти, ав уже и такое умеют. =)
    Чтобы избегать ошибок, надо набираться опыта; чтобы набираться опыта, надо делать ошибки. © Лоренс Питер

    Неизбежное прими достойно. © Сенека Луций Анней

    Господи... храни сумасшедших. © Сумасшедший Фрэнки

+ Reply to Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
All times are GMT. The time now is 01:26
vBulletin® Copyright ©2000 - 2018
www.reverse4you.org