Moinsen, hier mal nen kleines Tut von mir wie ihr Wireshark "unsichtbar" für RATs machen könnt. Ihr könnt Wireshark, Network Analyzer und dumpcap auch anders nennen, solltet aber darauf achten, dass die länge des Wortes gleich bleibt. klick mfg xion
Moinsen, hier mal nen kleines Tut von mir wie ihr Wireshark "unsichtbar" für RATs machen könnt. Ihr könnt Wireshark, Network Analyzer und dumpcap auch anders nennen, solltet aber darauf achten, dass die länge des Wortes gleich bleibt. klick mfg xion
Mhh meinst du damit sachen wie "Anti-WIRESHARK" nicht funktioniert und man trotzdem Sniffen kann?
Mit dem Wissen steigt die Verantwortung
[spoiler]
<?php echo $ip; ?> Das ist wie wenn du am Frühstuckstisch sagen würdest Mama gib mir mal die X rüber!
interessantes Tut
an die Arbeit ihr Hobbysniffer
Geändert von Helopemo (09.07.2010 um 20:16 Uhr)
Super, dass dein erster Post direkt ein Tutorial ist!
Da können sich einige Neulinge mal ne Scheibe von abschneiden.
Verbesserungsvorschläge:
Ein Texttutorial wäre hier die bessere Wahl gewesen. Denn wie man Strings in einem Hexeditor ersetzt sollte jeder wissen.
Wenn schon unbedingt ein Video, dann lass bitte die Musik weg.
Außedem wäre es noch sehr wichtig zu erwähnen, warum das Ersetzen von Strings die Anti-Wireshark Funktionen überlisten (Funktionsweise erläutern!).
Natürlich kann man durch einfaches Ersetzen der Strings nicht alle Anti-Methoden umgehen. Doch da die meisten Antis wohl sowieso nur nach dem Prozess "Wireshark" suchen, hätte ein einfaches Umbenennen der .exe wohl ähnliche Auswirkungen.
- Einfaches umbenennen der exe funktioniert nicht, weil der name der dumpcap.exe in die wireshark.exe reingecoded wurde.
- ich würde sagen man kann 99% aller Anti-Wireshark Methoden damit austricksen.
Als Erkennungsmethode fällt mir dann nur noch der Promiscuous Mode Check ein, aber das macht doch kaum eine Malware. Schon gar nicht irgendetwas was auf free-hack und co. angeboten wird Oder natürlich Prozesse durchsuchen, aber das ist doch eher ne schlechte Lösung...
Der Video Tutorial erinnert mich irgendwie an das hier: hxxp://blog.raidrush.ws/2010/03/18/netzwerk-sniffer-modden/
Ich hab mein Wireshark auch so gemodded.
Ich präsentiere:
2 (hoffe ich) in der Umsetzung neue Anti-Wiresharks, die sich damit nicht austricksen lassen.
Das erste sollte ziemlich einleuchtend sein; hier wird nicht nach dem Fensternamen, sondern nach der Fensterklasse gesucht.
Das zweite ist wohl vom Ansatz her intelligenter würde ich behaupten. Hier hole ich mir zuerst eine Liste aller Prozesse, die man so sieht.
Im zweiten Schritt wird für jeden Prozess die Liste der Module durchsucht und nachgeschaut, ob man dort bekannte DLL's von Wireshark wiederfindet.
Das scheitert dummerweise, wenn Wireshark als Admin läuft (was es immer tut, wenn man Libpcap nicht mit dem System starten lässt - dies ist jedoch nicht Standard!). Das liegt daran, dass dann leider nur eine unvollständige Modulliste ausgegeben wird... sollte ich Zeit haben versuche ich vielleicht nochmal sowas zu schreiben, wobei ich dann den PEB und die darin referenzierte Modulliste selber parsen würde um wirklich alle Module zu finden.
Sich gegen die zweite Methode zu verteidigen (gesetzt ich hätte das Prob mit den Rechten schon behoben) ist zwar prinzipiell auch kein riesen Modding Aufwand, aber ich glaube keiner benennt die DLL's, die geladen werden sollen in der EXE und danach noch auf der Festplatte um - insofern müsste man da wenn man das nicht täte auch wirklich anfangen zu reversen um das schließen von Wireshark zu verhindern.
MfG. BlackBerry
PDFTT cr3w a.E. — ReiDC0Re, lindor, Sera, berry
please do feed the trolls crew and elk
Ehrenwerte Mitglieder im Ruhestand: OpCodez, SFX.
"Was sich blackberry gerade denkt" — Vorsicht! Frei laufender Wahnsinn!
Zitat von fuckinghot19: "PS: Blackberry ist auf FH der Trollkönig ^^."
An dieser Stelle danke ich all meinen Fans und Hatern gleichermaßen ^.^
@BlackBerry
Deine 1. Methode ist ja wohl sehr schlecht, weil dadurch auch sehr viele andere Programme erkannt werden?
Deine 2. Methode ist zwar ok, aber meine DLLs sind umbenannt... so viele DLLs gibt es da nämlich nicht die Wireshark eindeutig identifizieren. Das ist immer noch ein sehr geringer Aufwand.
Bin mal gespannt was nun als nächstes kommt (WinPcap?^^).
Geändert von G36KV (09.07.2010 um 21:46 Uhr)
Wird aber trotzdem vom istealer 6.x benutzt . D.h wenn man den im WS "analysieren" möchte, muss man sich auch hiergegen was überlegen. Wobei man da eher erst an der Anti-VM Maßnahme vorbei muss (2x RDTSC mit SUB Wert1, Wert2 und CMP,0x200 (was bei mir zumindest VirtualPC und VirtualBox auf dem Hauptrechner erkennt) - ohne Debugger/speziellen Treiber sehe ich da erstmal keine "Moddingmöglichkeit")
TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5