Phanonra
Banned
-
07/11/2013
-
1
-
205 bài viết
Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...
Hiện tại 100% antivirus chưa detect ra được các bác ạ ...
Dung lượng chuẩn chưa pack:
---> Target: 1,883 kb
---> Host: 6,426 kb
Thể loại:
---> Hard code backdoor, multi script.
Tính năng:
---> Anti-vir không phát hiện.
---> Không chụp được gói tin.
---> Tự động patch water-mark nếu bị phát hiện và gửi water-mark key mới về server.
---> Keylogger , gửi nhận file, chỉnh sửa registry, process view, xem màn hình, remote cmd, update.
---> Tự động chạy theo thời gian định. Giả sử giờ "Hack của bạn" là 1:00 sáng đến 5:00 sáng, virus sẽ tự chạy vào lúc 1->5h sáng, thời gian còn lại thì tự động delete và không hoạt động, đến giờ làm việc tự động "Xuất hiện" và "Chạy"
---> Kiểm tra server trước khi kết nối. nghĩa là server đang hoạt động thì mới tạo connection, nếu server không chạy thì thôi ko chạy
---> Trong thời gian hoạt động, virus sẽ tự động tắt nghỉ 15 phút / lần để thay đổi process name liên tục để tránh bị truy quét.
............... nhiều tính năng nữa đang tiếp tục code .
Thiết lập cấu hình chạy đa quyền với quyền cao nhất là System tự động loại bỏ khỏi taskmanager và kiểm tra các user nào đang chạy virus:
Định nghĩa: Nếu virus đang chạy ở 1 user tên là user1 trong group policy là USERS , thì giả sử bạn gửi lệnh CMD đến virus chỉ có thể thực thi dưới quyền USERS, Update này mình sẽ làm thêm virus chạy ở quyền SYSTEM và tự động chạy ở các quyền khác nếu logon phòng trường hợp bảo mật ko thực thi đc lệnh vì thiếu quyền --> "Access denined."
Vài hình ảnh test :
DD/MM/YYYY
10/11/2013 :
+ Hiện tại xử lý thành công lỗi kết nối , phân chia lại packets rõ ràng, mỗi chức năng mỗi packet gửi đi tương ứng với 1 cấu hình mã hóa riêng, mỗi chức năng mỗi packet trả về tương ứng tiếp với 1 cấu hình mã hóa khác, nói chung là tất cả đều mã hóa riêng cái này đơn giản nhưng chán ở chỗ nó hơi bị phức tạp bù lại nếu chụp đc data transfer để đọc đc packets trong plain text thì có vẻ là một cực hình haha
+ Chắc phải sắm thêm cái winlicense để pack thôi ^^
+ Sau một hồi làm phép , bị SYMANTEC phát hiện ra kết nối lạ, tại hạ đã nghĩ ra một mẹo đơn giản nên SYMANTEC không thèm đụng vô luôn ^_^ đó là chạy kèm cùng windows update ... packets y chang windows update A (đầu) B (thân) C (đuôi) | A&C y chang windows update , B đc đính kèm theo trao đổi client server
14/11/2013
[video=youtube;tJYOSe-XqOg]
15/11/2013
Tự chiếm quyền các session
thêm param để chạy cho nhanh đỡ click vì mình remote server = iPad
chỉnh sửa lại cái phím bấm cho hợp thời đại "Hack to go" hoặc "Hack while walk" hỗ trợ sử dụng các dòng remote desktop = máy tính bảng ... (không phải click chuột phải ... tap chuột trái là đc )
Cập nhật tính năng update và tự động update
17/11/2013
Chỉnh sửa lại tí ... IP ai mà IP wan (thường là server đặt ở data ... cho màu xanh lá cây), IP ADSL (máy sài mạng cà phê, nhà ...) thì cho mày xanh dương để phân biệt thôi (chỉ áp dụng cho IP Việt NAM .) còn IP Quốc tế thì chung hết 1 màu đỏ.
22/11/2013
Sử dụng hàm API của windows để tắt firewall hoặc thậm chí, nếu target là server và restrict remote IP, có thể add thêm rule vào fw thay thế cho cách cổ điển không hoạt động hiệu quả trên srv2012r2.
Dung lượng chuẩn chưa pack:
---> Target: 1,883 kb
---> Host: 6,426 kb
Thể loại:
---> Hard code backdoor, multi script.
Tính năng:
---> Anti-vir không phát hiện.
---> Không chụp được gói tin.
---> Tự động patch water-mark nếu bị phát hiện và gửi water-mark key mới về server.
---> Keylogger , gửi nhận file, chỉnh sửa registry, process view, xem màn hình, remote cmd, update.
---> Tự động chạy theo thời gian định. Giả sử giờ "Hack của bạn" là 1:00 sáng đến 5:00 sáng, virus sẽ tự chạy vào lúc 1->5h sáng, thời gian còn lại thì tự động delete và không hoạt động, đến giờ làm việc tự động "Xuất hiện" và "Chạy"
---> Kiểm tra server trước khi kết nối. nghĩa là server đang hoạt động thì mới tạo connection, nếu server không chạy thì thôi ko chạy
---> Trong thời gian hoạt động, virus sẽ tự động tắt nghỉ 15 phút / lần để thay đổi process name liên tục để tránh bị truy quét.
............... nhiều tính năng nữa đang tiếp tục code .
Thiết lập cấu hình chạy đa quyền với quyền cao nhất là System tự động loại bỏ khỏi taskmanager và kiểm tra các user nào đang chạy virus:
Định nghĩa: Nếu virus đang chạy ở 1 user tên là user1 trong group policy là USERS , thì giả sử bạn gửi lệnh CMD đến virus chỉ có thể thực thi dưới quyền USERS, Update này mình sẽ làm thêm virus chạy ở quyền SYSTEM và tự động chạy ở các quyền khác nếu logon phòng trường hợp bảo mật ko thực thi đc lệnh vì thiếu quyền --> "Access denined."
Vài hình ảnh test :
DD/MM/YYYY
10/11/2013 :
+ Hiện tại xử lý thành công lỗi kết nối , phân chia lại packets rõ ràng, mỗi chức năng mỗi packet gửi đi tương ứng với 1 cấu hình mã hóa riêng, mỗi chức năng mỗi packet trả về tương ứng tiếp với 1 cấu hình mã hóa khác, nói chung là tất cả đều mã hóa riêng cái này đơn giản nhưng chán ở chỗ nó hơi bị phức tạp bù lại nếu chụp đc data transfer để đọc đc packets trong plain text thì có vẻ là một cực hình haha
+ Chắc phải sắm thêm cái winlicense để pack thôi ^^
+ Sau một hồi làm phép , bị SYMANTEC phát hiện ra kết nối lạ, tại hạ đã nghĩ ra một mẹo đơn giản nên SYMANTEC không thèm đụng vô luôn ^_^ đó là chạy kèm cùng windows update ... packets y chang windows update A (đầu) B (thân) C (đuôi) | A&C y chang windows update , B đc đính kèm theo trao đổi client server
14/11/2013
[video=youtube;tJYOSe-XqOg]
15/11/2013
Tự chiếm quyền các session
thêm param để chạy cho nhanh đỡ click vì mình remote server = iPad
Mã:
var
i : Integer;
begin
for i := 0 to ParamCount do begin
if ParamStr(i) = '/@/Khoi_dong_tat_ca/@/' then begin
Starthostserver1.Click;
Khingmychktni1.Click;
end;
end;
end;
Cập nhật tính năng update và tự động update
17/11/2013
Chỉnh sửa lại tí ... IP ai mà IP wan (thường là server đặt ở data ... cho màu xanh lá cây), IP ADSL (máy sài mạng cà phê, nhà ...) thì cho mày xanh dương để phân biệt thôi (chỉ áp dụng cho IP Việt NAM .) còn IP Quốc tế thì chung hết 1 màu đỏ.
22/11/2013
Sử dụng hàm API của windows để tắt firewall hoặc thậm chí, nếu target là server và restrict remote IP, có thể add thêm rule vào fw thay thế cho cách cổ điển không hoạt động hiệu quả trên srv2012r2.
Chỉnh sửa lần cuối bởi người điều hành: