Hallo FH'ler,

also ich bin gerade dabei einen kleinen Bot zu schreiben.

Also der Vic führt eine exe-Datei aus. Die soll dann eine php Datei parsen, die einen Socket öffnet und weiteres kann. Die Datei sollte kein Problem sein, nur wie kann ich das ganze auf eine exe-Datei beschränken. Meine erste Idee war eine Winrar Datei(also selbstextrahierend), doch die Datei Attribute sind dann von Winrar und weiteres weißt auch darauf hin. Außerdem braucht das Skript wohl wahrscheinlich Adminrechte und um die zu bekommen wäre es nicht sehr praktisch wenn man ne xyz.exe ausführt und dann da steht "php.exe braucht Adminrechte". Zudem muss ich den php Interpreter selbst ja auch irgendwo speichern und das wäre ziemlich auffällig mit den ganzen Ordner mit den dlls usw.

Hat jemand ne Idee oder gibt es bereits Lösungen? Es sollte möglichst etwas sein wo man das ganze aus "sicheren Quellen" zusammenbasteln kann und nicht irgend ein detected Tool was die Idee des mini Bots gleich auschließen würde.

Gruß
Anon12

Hm,
selbst gepackte Archive werden von Anti-Viren Progs gescanned und gefunden, auch wenn dies nur ne Verlinkung ist, das merken die Scanner.

FUD kriegste sie nur mit nem Crypter der Rar(nicht die Archiv-Endung) ist.

Adminright-ByPass gibt es auch soweit ich weiß zumindest Vista. Windows 7 bin ich eher noch nicht so schlau darin.

Ehrlich gesagt: keine gute Idee!

Eventuell findest du ja nen php2exe - aber ehrlich, arbeite dich lieber in C+Winsocks ein, das geht super!

Das mit dem PHP Interpreter lässt sich über Bamcompile lösen.
Das mit dein Adminrechten wird sich wohl nicht so einfach lösen lassen.

Also ein Archiv darf der Scanner ja ruhig finden, aber ich wüsste nicht was der so verdächtiges an einer php Datei und dem Interpreter finden soll.

Und C++ würde ich gerne machen, aber das ganze einarbeiten und dann auch noch spezifische Themen angehen wie socks wäre mir da viel zu umständlich und für einen kleinen Bot und meinen Kenntnissen unnötig.

Es geht mir um entweder eine php.exe die alle nötigen dinge(libs, php.ini usw) in einer datei hat oder eine Methode das ganze anders zu verpacken um es als exe zu benutzen.

Weiß vielleicht jemand mehr?

EDIT:
@BlackBerry (http://free-hack.com/member.php?u=43591)
Mit den Adminrechten meinte ich eigentlich, dass das RAR Archiv als solchen keine Adminrechte braucht. Die Programme die nach dem Entpacken genutzt werden aber schon, somit wäre ne Option "Immer Adminrechte erfragen" genau das richtige. Bamcompile hört sich schonmal gut an, aber wie siehts mit virenscanner aus?

Bamcompile an sich wurde als ich es benutzt habe als nichts spezielles erkannt. (zumindest nicht von Kaspersky; bei virustotal oder so habe ich das nie getestet, weil ich sowieso keine Malware geschrieben habe)

Da Bamcompile im Prinzip keine Malware ist und nicht dafür konzepiert wurde Malware zu entwickeln würde es mich wundern, wenn es als irgendwas erkannt werden sollte.

also ich habe mir eben aus den examples ordner eine exe compiled und die wurde als total verseucht eingestuft. Kann man was da machen? in den sources ist eine upx.exe und stub.exe könnte es sein das die verseucht sind oder woran liegts hier ein Bericht: http://www.virustotal.com/analisis/b5a853102fe4f9dafc893fd2fa7d851cedb6c1dd4916535663 edc969973518da-1265751191

Villeicht wird die Stub detected? xD
Du weiß was eine stub ist oder?
Also upx.exe glaube ich nicht, dass sie detected wird.

also von einer stub weiß ich nur, dass sie eine Art Bauplan für Trojaner Builds ist. Aber wäre nett wenn du genauer wirst, denn wozu braucht ein php2exe programm ne stub?

Bei mir sieht das so aus:
http://www.virustotal.com/analisis/b9653f92bae5bcce533b890fde16b790eec2f99fae013f2e76 3fb60cd88ca934-1265752809

C:\Users\Admin\Desktop>echo "<?php echo 'Hello, World!'; ?>" > a.php & bamcompile a.php

Naja da die stub nicht open source ist weiß ich ja nie was der typ dort reingebaut hat...
Muss man jetzt wirkliche FUD Methoden benutzen um eine ungefährliche Datei FUD zu kriegen? Da muss ja irgendwas ungewolltes drin sein, sonst würden die ja nicht Trojaner melden sondern was anderes...