Хотелось бы протестировать заготовку троя, на обнаружение защитами и работоспособность на разных системах.
// тестировал ADMIN XP SP2 , Outpost Firewall Pro ver. 4.0.1007, NOD 32
Исхоник могу выложить.
Запускать лучше под отладчиком
OS (W98 не работает) XP >
Язык – MASM
Создает файл c:\___tst.txt
Запускает NotePad.exe c созданным текстом
Проверяет запушенные NotePad , инжектится в первый найденный, от туда мессагу
Больше ничего не делает (пока).
Технологии
Одна секция PE
Нет импорта, нет страницы данных
Антисплайсинг API
Привилегии debug
http://xserg11.narod.ru/TESTS.rar (1,7кб)
+ Обновил
Антивирус Касперского 6.0 не ловит // поновее пока нет
гм...тестил под ХРюшей Sp2 + каспер, запускаю она ничего не делает и не создаёт, это знаеш ли настараживает, пока ничего в инет не стучалось...но всё же...кстати каспер тоже молчит...
!_filin_!
Это Каспер ее драйвером подлавливает, а какая программа это сделала определить не может. Либо вообще не работает. Попробуй запусти сначала NotePad.exe а потом TESTS.
То что, Больше ничего не делает , это точно.
Ps
Ignore memory access violations in KERNEL32 галочку лучше поставить.
На четырех компьютерах запускал. Работает.
Буду ставить каспера и пробовать обходить.
Последний раз редактировалось Xserg; 28.05.2007 в 22:02..
Программа использует API, для инжекта в чужой процесс.
WriteProcessMemory
CreateRemoteThread
И это может быть не блокнот , а winlogon, svchost, csrss
Каспер при полной настройке, жутко ругается, на эти команды.
А вот на
SetWindowsHookExA(x,x,x,каспер) не ругается.
------------------------------------------
ht tp://xserg11.narod.ru/tst.rar
исходник программы TESTS.exe
// В ней есть ошибки с получением привелегий, и еще мелкие, отлаживаю …
Последний раз редактировалось Xserg; 31.05.2007 в 21:42..