glider stealthen oder sonst was

bilbooo · 11/27/2006, 04:24

moin, da ich mitbekomme das manche probleme mim glider haben, bezügluich dem banrisiko, wollt iche uch mal nen link geben wo ihr tools findet die den glider auf eurem rechner verschwinden lassen und vieles mehr.

ich weiss net ob es hilft, keine ahnung wie der glider aufgebaut ist...hatte damals nur viel mit shell injection zutun, unter anderem auch in system prozessen... weiss nicht ob das bei dem glider so den mega vorteil bringt.

von daher geb ich euch mal den link, dazu meinen account und mein passwort.
jetzt fragen sich wohl die meisten wieso ich des mache.
ich machs weil ich mit dem zeug abgeschlossen habe.

also hier die sachen:

user: pillepalle
pw: gizmo

achja, so manche programme sind echt nix für scriptkiddies...

wer was über file injection, rootkits oder sonst was wissen möchte kann mir ne nachricht schreiben, bevor er selbst irgend nen scheiss baut...

xaladin · 11/27/2006, 07:39

glider hat ja selbst schon n modifiziertes rootkit dabei (der shadow mode)
das müsste man ggf davor ausmachen da es mit anderen rootkits vllt zu kompatibilitäts problemen führt

bilbooo · 11/27/2006, 07:46

was macht dieser shadow mode?

versucht er dann irgendwie im hintergrund zu laufen sodass man den schwer entdecken kann?

achja, rootkit würd ich net nehmen, und wenn dann solltet ihr nur die .exe hiden. wenn ihr die .ini oder so ne andere config file vom glider hided, dann kanns sein das er die config net läd...

xaladin · 11/27/2006, 07:58

Quote:

Originally posted by bilbooo@Nov 27 2006, 07:46
was macht dieser shadow mode?

versucht er dann irgendwie im hintergrund zu laufen sodass man den schwer entdecken kann?

achja, rootkit würd ich net nehmen, und wenn dann solltet ihr nur die .exe hiden. wenn ihr die .ini oder so ne andere config file vom glider hided, dann kanns sein das er die config net läd...

was der shadow mode genau macht wurde eigtl nie gesagt
gesagt wird eigtl immer nur sowas wie "nutzt ihn und die wahrscheinlichkeit gebannt zu werden sinkt sehr stark"

;]

und das man configs net mit nem rootkit verstecken soll , ist eigtl logisch=))

bilbooo · 11/27/2006, 08:08

hmm wenn das so ist, dann denke ich das die file selbst net hided wird...von daher kann man nen rootkit nehmen, wie hxdef, oder non public dinger...

es besteht jedoch die gefahr das morphine den glider schrottet, deswegen immer nen backup machen

kann mir wer sagen was des komische remote control auf sich hat?

evlt. könnte man den port, bzw. den connect auf ne andere .exe schieben sodass der glider aussen vor gelassen wird.

Quote:

und das man configs net mit nem rootkit verstecken soll , ist eigtl logisch=))

LOL hier gibts bestimmt zig skriptkiddies die so doof sind von daher^^

xaladin · 11/27/2006, 08:13

Quote:

Originally posted by bilbooo@Nov 27 2006, 08:08
hmm wenn das so ist, dann denke ich das die file selbst net hided wird...von daher kann man nen rootkit nehmen, wie hxdef, oder non public dinger...

es besteht jedoch die gefahr das morphine den glider schrottet, deswegen immer nen backup machen

rein theoretisch sollte man auch them*** [eigtl n stealther (wird meistens zum trojaner stealthen)] in verbindung mit dem ato*** rootkit (oder welches auch immer) nutzen können

edit: und was sollte es bringen wenn du es "vorschiebst"?

bilbooo · 11/27/2006, 08:18

wieso rootkit steathlen? ist doch der eigene rechner...

mit dem port....
stell dir vor du willst ne shell in nen systemprozess infecten...
nehmen wir an in die explorer.exe, der vorteil. der admin selbst checkt netmal das auf der .exe ne shell läuft, und wenn er den offnenport sieht, kann er wohl schlecht die explorer.exe beenden....

doofer vergleich, aber so in der art funzt des auch mim glider. sofern mir jemand des prinzip des remote controls erklären würde.

hmm, ich glaube dazu müsste aber der komplette glider in ne andere exe eingepackt werden. oder den glider modden

xaladin · 11/27/2006, 08:26

Quote:

Originally posted by bilbooo@Nov 27 2006, 08:18
wieso rootkit steathlen? ist doch der eigene rechner...

mit dem port....
stell dir vor du willst ne shell in nen systemprozess infecten...
nehmen wir an in die explorer.exe, der vorteil. der admin selbst checkt netmal das auf der .exe ne shell läuft, und wenn er den offnenport sieht, kann er wohl schlecht die explorer.exe beenden....

doofer vergleich, aber so in der art funzt des auch mim glider. sofern mir jemand des prinzip des remote controls erklären würde.

hmm, ich glaube dazu müsste aber der komplette glider in ne andere exe eingepackt werden. oder den glider modden

und ich meinte net das rootkit stealthen
sondern erst die glider exe mit them***
und dann die gestealthe exe vorsichtshalber nomma mit nem rootkit verstecken

dann würde ich mal sagen viel spaß beim glider modden ;>

bilbooo · 11/27/2006, 08:27

jo klar des sowieso...

na ich mach mich da net ran, brauch den glider net... will ja nur etwas helfen die bangefahr etwas zu sinken^^

vllt hilft ja das hier (kann nicht versprechen obs mim glider klappt, da es eigl nur für server gemacht ist):

download is irgendwo auf der seite, müsst mal gucken

Quote:

:: NTPacker v2
by ErazerZ
21st September 2005

:: How its works
The Server will be crypted and packed into stub's resource, the stub read the
data from Resource and write it into a new Process.

You can choose between 3 crypting methods.
aPlib - Compress your server and crypt it, this method is popular, but
still undetected for alot AV's. Maybe it can happen that a AV
detect the aPlib compressed server. MicroJoiner use same packing
method.
XOR - Its crypt your server with a random Integer Value
(9 Bytes - eg. 123456789) - its always undetected for any AV.
aPlib + XOR - Compress first with aPlib and then XOR it again the
compressed data, too always undetected just its too compressed.

Injection into other Processes:
You can put any Filename you want to inject into (Max 50 chars).
It will create a new Process with a new ParentPID (not Explorer.exe) and inject into it.
If there is an error with injecting into a process, then it will load without injection
to other process. (Like normal stub without Injection).
You can use variables (which are listed in the program) in the injection directory.

Something you should know is:
This injection is very advanced. It patches the Process Environment Block
so if the Programm calls GetModuleFilename its return the Filename of
the loader (usefull for Bifrost, cos its read from end of file).
This is good because it allows RATs that do not have FWBP to have it added
when packed.

Environment Variables:
---------------------------
%windir% - C:\WINDOWS\
%temp% - C:\Documents and Settings\\Temp\
%homedrive% - C:\
%homepath% - Documents and Settings\\
%programfiles% - C:\Program Files\
%systemdrive% - C:\
%systemroot - C:\WINDOWS\
%username% - \
%userprofile% - C:\Documents and Settings\\
---------------------------
%browser% - C:\Program Files\Mozilla Firefox\Firefox.exe
---------------------------
Example:
%programfiles%Kazaa\Kazaa.exe - C:\Program Files\Kazaa\Kazaa.exe

:: Can I pack mine created stub?
Yeah, I tested it with FSG and its works fine.

:: Added / Fixed:
+ Now it will Inject the CreateProcessA API to Explorer.exe and run from there the Process.
So the new Process will have ParentPID from Explorer.exe.
+ %browser% Variable - auto detect the Default Webbrowser.
+ ExeCrypter, can crypt the Stub's by a Random 256 digit char. So your stubs will be always
undetected.
+ Bypassing Tiny Firewall 2005.
+ Server persistence (When someone close the server, its rewrite it on harddisk and rerun it)
( WARNING: You are not able to Uninstall your server then! It will ALWAYS rewritten to Disk
when Process close! And never use this function by RATs that use Install function
eg. copy to %windir% and execute from there. )
+ Some Hints in Builder.
# Fixed the WorkDirectory of the Created Process.

:: Informations
1) THIS WORKS ONLY ON A WINNT\2000\XP\(Vista?) SYSTEM!
2) NTPacker will allow your file to bypass a firewall (eg. Outpost) but some
can not. For example when using with Bifrost, you MUST pack the created
stub with fsg so that no warning is shown by Outpost. Or you allow Process
Injecting option.
3) For people who use Lithium or similar RAT's that use the same read/write
method, you should first crypt your file with the NTPacker and then
append the settings.

:: How to NTPack Bifrost:
First uncheck 'Autopack Server', write your settings. Click 'Build' button and wait for the
Messagebox 'If you want to pack the server with a custom packer, do that now. Press OK when done'
then open NTPacker and select your server and crypt it. When its crypted and NTPacker closed click
'OK' in the Messagebox..

:: Greets/Thanks goes to
neonew - Help with Process Environment Block (PEB)
uall - Source of uallCollection (Helped alot with PEB)
NicoDE - Source of InMemExe
StTwister - Source of ExeCrypter
Infiltration, x140d4n

:: Gate Of God Crew:
Coders: Vito, StTwister, InTeL, ErazerZ
Moderators: Ithcy, cybersoul, SpyDir, xtrm
Gfx: MaliciousScript, NightWolf

:: Beta-Testers:
Lord, cybersoul, SpyDir, StafraK, Vito, StTwister, InTeL

cya, ErazerZ

~~4C1D^~~ · 11/27/2006, 14:41

waere es nich moeglich glider ueber remote oder so laufen zu lassen? eigentlich zwar schwer, da er ausm memory liest, aber das kann jeder trojaner auch

bilbooo · 11/27/2006, 15:10

klar geht des, such dir nen server, mach dir nen eigenen server drauf, uploade den glider, fertig...

bringt nur nix da trotzdem auf deinem acc zugegriffen wird..

das einzigste was sich dran ändert ist die ip, mehr nicht

xaladin · 11/27/2006, 17:05

sollte es net ma undetected sein wenn man ne usb hdd hat?

bilbooo · 11/27/2006, 21:59

glaub ich weniger. ob ide oder usb, hdd is hdd