Ergebnis 1 bis 10 von 10
  1. #1
    Trojaner
    Registriert seit
    28.09.2010
    Beiträge
    53

    Standard [C#] Keine nötigen Schreibrechte unter Win7

    Hallo,
    ich bin soweit fertig mit dem Code meines neuen Rat's. Jedoch bin ich gerade am überlegen wie ich den am besten harmlos aussehen lassen könnte.
    Da ich nicht darauf aus bin mir irgendwelche willkürlichen Vics in Chats etc zu suchen sondern ich den wenn überhaupt an bestimmte Personen verschicken würde, bräuchte ich natürlich einen guten Vorwand.
    Eigendlich hatte ich vor die Dateiendung .scr mit einem Icon eines Bildes zu verwenden und das Bild dann auch beim Start aufzurufen. Gleichzeitig hätte der Trojaner sich in ein anderes Verzeichnis droppen sollen. Nun hab ich blöderweise gerade festgestellt das unter Win7/Vista dank der Benutzerkontensteuerung kaum Schreibrechte vorhanden sind
    Deshalb, kennt jemand eine Codelösung (oder sonst eine Lösung) um sich die Schreibrechte für z.B. C:\Windows zu "erschleichen"?
    Adminrechte beim Start zu fordern fällt weg dar es die .scr enttarnen würde

  2. #2
    Capt'n Crunch
    Registriert seit
    10.07.2008
    Beiträge
    999

    Standard

    appdata oder temp ist nicht schlecht, ggf eigene datein
    bitcoin. Banking Is Necessary. Banks Are Not. - by Lincoln6Echo

    Das ganze Mysql usw is mir zu viel arbeit um es zu lernen

  3. #3
    Stiller Leser
    Registriert seit
    14.10.2010
    Beiträge
    4

    Standard

    Temporäres Verzeichnis ist allerdings schlecht, da dort die relevanten Daten nur Zeitweise gespeichert werden, bevor das Verzeichnis geleert wird.

    Wenn mich nicht alles täuscht, müsste eine UAC-Umgehung viâ DEP Buffer-Overflow realisierbar sein.

  4. #4
    Trojaner
    Registriert seit
    28.09.2010
    Beiträge
    53

    Standard

    Temp und Eigene Datein sind in diesem Fall wohl nicht ganz so gut geeignet da Temp ab und zu geleert wird und man im Eigene Datein Ordner zu schnell über die Exe stolpern würde. Ich werde dann wohl %APPDATA% benutzen. Bezüglich DEP Buffer-Overflow, hat da jemand einen Link oder so zu? Per Google hab ich da nichts brauchbares gefunden.
    Ansonsten schonmal danke

  5. #5
    CIH-Virus Avatar von krusty
    Registriert seit
    12.10.2008
    Beiträge
    445

    Standard

    also mein rat (echelon) droppt in den temp ordner je nach Usereinstellung noch in den Appdata. Der Tempordner wird eignedlich fast nie komplett gelöscht, und wenn, dann werden Daten, die sich gerade in benutzung finden nicht gelöscht.
    So weit ich weiß funktioniert ein UAC bypass durch eine LL injetion in den winlogin prozess. Da du in .net keine injizierbaren dlls schreiben kannst dürfte die Opfion wohl wegfallen.

  6. #6
    eicar Avatar von sarex
    Registriert seit
    20.04.2009
    Beiträge
    311

    Standard

    ne meinung von mir^^ :
    lass das betriebssystem abfragen per if schleife wenn er xp benuzt kannst ja hinkopieren wo du lustig bist und wenn höher als xp also vista w7 lässt in appdata what ever droppen und beim nächsten pc start forderst admin rechte an und tarnst dein server als irgendein update darauf fallen auch die meisten rein ...

    mfg
    BM-Profil


  7. #7
    Trojaner
    Registriert seit
    28.09.2010
    Beiträge
    53

    Standard

    Eine If-Abfrage nach dem Betriebssystem ist im Dropper bereits drinn. Adminrechte erst nach dem Start einzufordern ist aber eine gute Idee. Mein Rat baut eh erst nach 2 Pc starts eine Verbindung zum Internet auf, irgendwie so in dem Dreh könnte man den Rat auch mit Adminrechten verschieben lassen.

  8. #8
    Stiller Leser
    Registriert seit
    14.10.2010
    Beiträge
    4

    Standard

    Zitat Zitat von Antrax Beitrag anzeigen
    Bezüglich DEP Buffer-Overflow, hat da jemand einen Link oder so zu?
    Artikel nicht direkt, könnte dazu aber eine kleine Zusammenfassung über das Wochenende schreiben.

    Zitat Zitat von krusty Beitrag anzeigen
    Der Tempordner wird eignedlich fast nie komplett gelöscht, und wenn, dann werden Daten, die sich gerade in benutzung finden nicht gelöscht.
    Stimmt, das habe ich nicht beachtet - aber noch besser wäre es, wenn die Datei zusätzlich noch "schreibgeschützt" wäre.

    So weit ich weiß funktioniert ein UAC bypass durch eine LL injetion in den winlogin prozess.[/QUOTE]

    Also ich kenne nur die Methode mit dem DEP Buffer-Overflow - aber eine DLL-Injection in den Winlogin Prozess würde nicht klappen, da evtl. die Rechte über diesen Prozess Benutzer spezifiziert angelegt und verwaltet werden.

  9. #9
    Trojaner
    Registriert seit
    28.09.2010
    Beiträge
    53

    Standard

    Dass gerade laufende Dateien nicht gelöscht werden hab ich auch nicht bedacht, von daher ist der Temp wohl doch ne ganz gute Alternative.
    @ SysLab, wenn du Bock und Zeit hast wäre ne Zusammenfassung sehr hilfreich

    Bin ebend durch Zufall auf eine weiterführende, ziemlich simple Lösung gekommen. Damit könnte man dann den Rat auch unter Eigene Datein speichern.
    Einfach einen versteckten Ordner per C# erstellen und darin dann den Rat laufen lassen.

    Source:
    Code:
    Directory.CreateDirectory(Directory);
    DirectoryInfo dirInf = new DirectoryInfo(Directory);
    dirInf.Attributes = FileAttributes.Hidden;
    Geändert von Antrax (22.10.2010 um 19:45 Uhr) Grund: Automerged Doublepost

  10. #10
    db
    Registriert seit
    07.06.2009
    Beiträge
    585

    Standard

    Wenn du wirklich gewillt bist, die UAC zu Bypassen und die nötigen Voraussetzungen (Wissen) mitbringst, kann ich dir die folgenden Artikel an's Herz legen. Letztenendes auch aus dem Grund, weil das Projekt höchstwahrscheinlich scheitern wird (bitte nicht übel nehmen).

    Vista UAC: The Definitive Guide - CodeProject

    Launch your application in Vista under the local system account without the UAC popup - CodeProject

    greetz
    c2x


Ähnliche Themen

  1. XBox 360 Controller unter win7 ultimate x64
    Von MasterOfPuppets im Forum Windows
    Antworten: 4
    Letzter Beitrag: 14.10.2010, 22:22
  2. PCTV Sat PCI Treiber unter Win7
    Von X4r3ownd im Forum Windows
    Antworten: 0
    Letzter Beitrag: 11.04.2010, 21:49
  3. Antworten: 1
    Letzter Beitrag: 30.03.2009, 00:26

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •