سورس یک تروجان ساده

[محمد حسینی]

آقا این روش که بیایم تو برناممون آنتی رو دیسیبل کنیم عملیه ؟
چون من یادمه قبل از اجرای فایل آنتی ویروس ویروس رو میگیره دیگه فرصتی نیست که ویروس اجرا بشه و آنتی رو غیر فعال کنه....

پوسته نویسی برای همینه دیگه.

برای مخفی کردن پروسه ها هم میتونه مفید باشه.

اگه احتیاج داری سورسش تو سایت هست. البته منم از جزئیاتش سر در نیاوردم.

[veyskarami]

روشی که برای مخفی کردن پروسس ها به کار میره خیلی سادست .
روش هایی که از متد اینکتشن استفاده کردن (اونایی که من دیدم) به این شکل بوده که بعد از باز کردن پروسه مورد نظر (مثلا task manager) می خوایم فایلون از اون لیست مخفی بمونه .
پس قبل از هرکاری باید آیتم مورد نظر رو از داخل تسک منیجر پاک کنیم . ولی از اونجایی که محتویات لیست ویو های ویندوز از طریق SendMessage قابل خوندن نیست مجبوریم کاری کنیم که خود برنامه محتویات رو بخونه و اون آیتم رو پاک کنه.
پس در نتیجه مجبوریم از روش اینجکتشن استفاده کنیم . در این روش با باز کردن پروسه مورد نظر (همون taskmanager) یه فضا در اون پروسه تخصیص می دیم و بعد از اون دستور SendMessage رو برای بدست آوردن شماره آیتم در اون فضای ایجاد شده تزریق می کنیم سپس بعد از اینکه شماره آیتم رو بدست آوردیم دوباره با دستور SendMessage اون آیتم رو از لیست مورد نظر حذف می کنیم .

[Payman62]

سلام.
من منظورم تزریق پروسه به یه پروسه دیگه مثل اکسپلورر بود. این روش که شما گفتی چون هر ثانیه تسک منجر ریفرش میشه باز پروسه بر میگرده. پس مجبوری هر ثانیه این کار رو تکرار کنی که باعث میشه تسک منجر چشمک بزنه.
ولی اگه به اکسپلور تزریق کنی دیگه نیاز نیست هر ثانیه حذفش کنی و چشمک هم نمیزنه.

[lord_viper]

با اجازه اقای ویس کرمی
اینجکشن یا تزریق کد باینری برنامه به فضای ادرسی برنامه های دیگه(یه نمونش همین ترینرهای بازیها)
برای دور زدن firewallبا اینجکشن اول باید پروسهای رو پیدا کنین که به اینترنت دسترسی داشته باشهمثلاinternetexplorer بعد با استفاده از توابع apiتو پروسه مورد نظرت به اندازه کدت فضا در نظر میگیری به وسیله writeprocessmemory تو فضای ایجاد شده کدتو تزریق میکنی و با استفاده از remoute thread کدتو اجرا میکنی حالا کدت تو پروسه جدید در خال اجراست و firewallها فکر میکنن که internetexploreمیخواهد میل بزنه یا فایل بفرسته و.... واسه همین جلوشو نمیگیره وحتی مستونین یک ارتباط 2 طرفه هم برقرار کنین و اطلاعات دریافتی رو با readprocessmemoryاز فضای ادرسی internetexplorer بخونین(اگه کتاب windowsinternal نوشته mark.h رو بخونین خیلی کمکتون میکنه)

[veyskarami]

سلام.
من منظورم تزریق پروسه به یه پروسه دیگه مثل اکسپلورر بود. این روش که شما گفتی چون هر ثانیه تسک منجر ریفرش میشه باز پروسه بر میگرده. پس مجبوری هر ثانیه این کار رو تکرار کنی که باعث میشه تسک منجر چشمک بزنه.
ولی اگه به اکسپلور تزریق کنی دیگه نیاز نیست هر ثانیه حذفش کنی و چشمک هم نمیزنه.

مطالب lord_viper کاملا درسته.
ببین روش ساده تر اینکه که با تابع KillTimer تایمری رو که باعث ریفرش شدن تسک منیجر مشه رو متوقف کنی.
اینجوری کارت خیلی ساده تر پیش میره

[Payman62]

سلام.
گفتم که آرش اون روش باعث چشمک زدن تسک منجر میشه. خیلی تابلو میشه.

[veyskarami]

مگه منظورت ریفرش شدن لیست ویو ی تسک منیجر نیست؟
خوب اینم کدش:

کد:

Procedure KillTaskTimer();
var
THwnd:Hwnd;
Begin
THwnd:=FindWindow('#32770',Windows Task Manager');
KillTimer(THwnd,0);
end;

حالا اگه پروسیجر رو توی یه تایمر بذاری با هر بار باز شدن تسک منیجر از حالت ریفرش خارج میشه

(بخشید با دلفی نوشتم کدش خیلی سادست خودت می تونی به ویژوال تبدیلش کنی.)

[Payman62]

سلام.
ببخشید اشتباه گفتم. چشمک زدن برای زمانیه که هر ثانیه پروسه رو از لیست حذف میکنیم و با ریفرش شدن لیست باعث چشمک زدن میشه.
ولی اگه تایمر تسک منجر رو از کار بندازی دیگه چشمک نمیزنه. ولی یه موضوع دیگه باعث شک میشه. تب performance که داخلش در صد استفاده cpu و ram رو میبینی ثابت میمونه. طرف وقتی به این تب میاد اگه کمی وارد باشه فورا شک میکنه که چرا نمودار ها ثابتن. من قبلا میخواستم وقتی طرف به این تب میاد با settimer تایمر تسک منجر رو دوباره فعال کنم ولی نشد.

[veyskarami]

اصلا چرا از روت کیت استفاده نمی کنی؟

[Payman62]

سلام.
آنتی گیر میده شدید.

[arash-soft]

بابا این بنده خداه منظورش اینکه شما سورس یه پسورند سندرساده رو بهش یادبدید.