|
| Trojansk Hest... - Hvor finder jeg en såda~ Fra : Nicolai |
Dato : 03-06-02 15:46 |
|
Hej!
Det er min plan at fremvise en trojansk hest i aktion til eksamen ifm. med min hovedopgave.
Jeg har ikke selv "leget" med sådan en siden Back Orifice for nogle år tilbage.
Nogen der ved hvor jeg kan hente en "kendt"?
Måske en gråzone, men opgaven er netop at klarlægge problematikken.
På forhånd tak
--
Mvh.
Nicolai
| |
Daniel Blankensteine~ (03-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 03-06-02 16:05 |
|
"Nicolai" <nifo@DONTSPAMMEnospam.dk> wrote in message
news:ZiLK8.17240$N46.720757@news010.worldonline.dk...
> Det er min plan at fremvise en trojansk hest i aktion til eksamen ifm.
med min hovedopgave.
> Jeg har ikke selv "leget" med sådan en siden Back Orifice for nogle år
tilbage.
>
> Nogen der ved hvor jeg kan hente en "kendt"?
>
> Måske en gråzone, men opgaven er netop at klarlægge problematikken.
Det er en generel misforståelse at trojans er farlige[1]. For det første
er det kun meget latterlige forsøg på cracking, hvis en person prøver at
"hacke" en puter ved at sende en trojan. Man skulle også tro at de
fleste folk efterhånden har lært, ikke at køre programmer de har fået
tilsendt eller downloadet fra mistænkelige steder. Trojans bliver brugt
når en puter er blevet hacket, så det vil måske være mere spændende at
se på hvordan man opdager en trojan.
Hvilket OS skal trojanen køre på?
mvh
db
[1] Da man ikke hacker med en trojan, men derimod sikre sig adgang til
en puter man har hacket.
| |
Nicolai (03-06-2002)
| Kommentar Fra : Nicolai |
Dato : 03-06-02 16:14 |
|
> Det er en generel misforståelse at trojans er farlige[1]. For det første
> er det kun meget latterlige forsøg på cracking, hvis en person prøver at
> "hacke" en puter ved at sende en trojan. Man skulle også tro at de
Ja, men alligevel en nem ting almindelige brugere udsættes for.
> fleste folk efterhånden har lært, ikke at køre programmer de har fået
> tilsendt eller downloadet fra mistænkelige steder. Trojans bliver brugt
Det har de ikke lært :)
> når en puter er blevet hacket, så det vil måske være mere spændende at
> se på hvordan man opdager en trojan.
> Hvilket OS skal trojanen køre på?
Windows XP
| |
Daniel Blankensteine~ (03-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 03-06-02 16:24 |
|
"Nicolai" <nifo@DONTSPAMMEnospam.dk> wrote in message
news:2JLK8.17246$N46.721970@news010.worldonline.dk...
> > Hvilket OS skal trojanen køre på?
> Windows XP
Hvis du vil bruge netbus, Back Orifice eller andre kendte trojans, så
sikre dig at puteren ikke kører et anti-virus program. Desværre benytter
jeg mig ikke af trojans til windows, men prøv at spørge www.google.com
mvh
db
| |
Nicolai (03-06-2002)
| Kommentar Fra : Nicolai |
Dato : 03-06-02 19:00 |
|
Back orifice ser ud til stadig kun at være til win98 - nogen der kender til noget lign på 2k eller XP?
> Hvis du vil bruge netbus, Back Orifice eller andre kendte trojans, så
> sikre dig at puteren ikke kører et anti-virus program. Desværre benytter
> jeg mig ikke af trojans til windows, men prøv at spørge www.google.com
>
> mvh
> db
| |
RT (03-06-2002)
| Kommentar Fra : RT |
Dato : 03-06-02 19:04 |
|
"Daniel Blankensteiner" <db@traceroute.dk> wrote in message
news:adg0i5$1ce$1@sunsite.dk...
> "Nicolai" <nifo@DONTSPAMMEnospam.dk> wrote in message
> news:ZiLK8.17240$N46.720757@news010.worldonline.dk...
> Det er en generel misforståelse at trojans er farlige[1]. For det første
> er det kun meget latterlige forsøg på cracking, hvis en person prøver at
> "hacke" en puter ved at sende en trojan. Man skulle også tro at de
> fleste folk efterhånden har lært, ikke at køre programmer de har fået
> tilsendt eller downloadet fra mistænkelige steder. Trojans bliver brugt
> når en puter er blevet hacket, så det vil måske være mere spændende at
> se på hvordan man opdager en trojan.
Du blander tingene sammen. En trojan er et program forklædt som / i et andet
program. Deraf navnet. En trojan kan have utallige payloads, som f.eks
ondsindet scripts, keyloggers eller f.eks. en Back Door som ´Back Orifice´.
- RasmusT
| |
Daniel Blankensteine~ (03-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 03-06-02 19:12 |
|
"RT" <hotmail@hotmail.hm> wrote in message
news:adgb4j$2p7v$1@news.cybercity.dk...
> > Det er en generel misforståelse at trojans er farlige[1]. For det
første
> > er det kun meget latterlige forsøg på cracking, hvis en person
prøver at
> > "hacke" en puter ved at sende en trojan. Man skulle også tro at de
> > fleste folk efterhånden har lært, ikke at køre programmer de har
fået
> > tilsendt eller downloadet fra mistænkelige steder. Trojans bliver
brugt
> > når en puter er blevet hacket, så det vil måske være mere spændende
at
> > se på hvordan man opdager en trojan.
>
> Du blander tingene sammen. En trojan er et program forklædt som / i et
andet
> program. Deraf navnet. En trojan kan have utallige payloads, som f.eks
> ondsindet scripts, keyloggers eller f.eks. en Back Door som ´Back
Orifice´.
Jeg blander ikke tingene sammen, jeg vidste bare hvad han mente[1].
mvh
db
[1] Fjernadministration.
| |
Nicolai (03-06-2002)
| Kommentar Fra : Nicolai |
Dato : 03-06-02 19:30 |
|
> Du blander tingene sammen. En trojan er et program forklædt som / i et andet
> program. Deraf navnet. En trojan kan have utallige payloads, som f.eks
> ondsindet scripts, keyloggers eller f.eks. en Back Door som ´Back Orifice´.
Og jeg mangler stadig en god "en" der kan køre på 2k / XP :)
| |
Allan Schuster Bach (03-06-2002)
| Kommentar Fra : Allan Schuster Bach |
Dato : 03-06-02 22:39 |
|
> Og jeg mangler stadig en god "en" der kan køre på 2k / XP :)
>
www.dameware.dk Der kan du finde et program, som næsten kan det samme som
netbus, back off.. ect.
Godt nok vil der i din ikonline som standard, kommet et ikon tilsyne. Men
det kræver ikke de store anstrengelse, før at de ikon overhovedet ikke
kommer frem, og du real overtager hele maskine, uden at brugen er klar over
det.
Allan Bach
| |
Nicolai (04-06-2002)
| Kommentar Fra : Nicolai |
Dato : 04-06-02 07:40 |
|
> > Og jeg mangler stadig en god "en" der kan køre på 2k / XP :)
> >
> www.dameware.dk Der kan du finde et program, som næsten kan det samme som
> netbus, back off.. ect.
Det KAN måske bruges, men jeg håber stadig nogle har et bedre forslag?
| |
Nicolai (05-06-2002)
| Kommentar Fra : Nicolai |
Dato : 05-06-02 18:25 |
|
> > www.dameware.dk Der kan du finde et program, som næsten kan det samme som
> > netbus, back off.. ect.
Ved du om man kan arbejde 100% skjult?
Jeg får fin kontakt, men man kan jo se hvad jeg laver...
| |
Peder Vendelbo Mikke~ (05-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 05-06-02 21:34 |
|
Nicolai skrev:
>>> www.dameware.dk Der kan du finde et program, som næsten kan det
>>> samme som netbus, back off.. ect.
> Ved du om man kan arbejde 100% skjult?
Det kan man ikke, i alt fald ikke gennem fjernstyringsprogrammet. Brug
NTutils til at få en kommandoprompt og arbejd derfra, det kan ikke ses
på brugerens skærm. Læs hjælpefilen og FAQen.
> Jeg får fin kontakt, men man kan jo se hvad jeg laver...
Ja, er det et problem? Du skulle jo vise noget trojan-adfærd, hvis der
ikke sker noget på skærmen får du ret svært ved at vise hvad du laver.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Nicolai (05-06-2002)
| Kommentar Fra : Nicolai |
Dato : 05-06-02 22:22 |
|
> Det kan man ikke, i alt fald ikke gennem fjernstyringsprogrammet. Brug
> NTutils til at få en kommandoprompt og arbejd derfra, det kan ikke ses
> på brugerens skærm. Læs hjælpefilen og FAQen.
Ender nok med netbus anyway - men ja, fint program der...
> > Jeg får fin kontakt, men man kan jo se hvad jeg laver...
>
> Ja, er det et problem? Du skulle jo vise noget trojan-adfærd, hvis der
> ikke sker noget på skærmen får du ret svært ved at vise hvad du laver.
Mere hele problemstillingen ved at det netop ikke kan ses.
Men tak for alle de fine svar. Jeg bruger nok netbus.
| |
Daniel Blankensteine~ (04-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 04-06-02 20:14 |
|
"Allan Schuster Bach" <newskonto@schuster.dk> wrote in message
news:adgnl2$a5m$1@news.cybercity.dk...
>
> > Og jeg mangler stadig en god "en" der kan køre på 2k / XP :)
> >
> www.dameware.dk Der kan du finde et program, som næsten kan det samme
som
> netbus, back off.. ect.
>
> Godt nok vil der i din ikonline som standard, kommet et ikon tilsyne.
Men
> det kræver ikke de store anstrengelse, før at de ikon overhovedet ikke
> kommer frem, og du real overtager hele maskine, uden at brugen er klar
over
> det.
Hvis jeg skulle lede efter trojans, vil jeg ikke gøre det ved at se
efter ikoner. Men jeg giver dig ret i at en skjult trojan, ikke skal
kunne ses på skrivebordet.
mvh
db
| |
Nicolai (04-06-2002)
| Kommentar Fra : Nicolai |
Dato : 04-06-02 20:30 |
|
Og jeg mangler stadig et trojanlignene program, jeg kan fremvise til examen... Kom nu folkens - help me :)
| |
Daniel Blankensteine~ (04-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 04-06-02 22:10 |
|
"Nicolai" <nifoNOSPAM@nospam.dk> wrote in message
news:Jy8L8.38208$4f4.1410621@news000.worldonline.dk...
> Og jeg mangler stadig et trojanlignene program, jeg kan fremvise til
examen... Kom nu folkens - help me :)
Har jeg ikke én gang anbefalet www.google.com? Hvis ikke der så
www.astalavista.com
Der findes mange trojans og dem til windows 98, vil nok også køre på
windows xp.
mvh
db
| |
Nicolai (05-06-2002)
| Kommentar Fra : Nicolai |
Dato : 05-06-02 10:32 |
|
> Har jeg ikke én gang anbefalet www.google.com? Hvis ikke der så
> www.astalavista.com
Joda - men nu er google jo heller ikke ligefrem ukendt for mig, men jeg håbede nogen havde noget mere konkret...
| |
Peder Vendelbo Mikke~ (04-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 04-06-02 23:07 |
|
Nicolai skrev:
> Og jeg mangler stadig et trojanlignene program, jeg kan fremvise til
> examen... Kom nu folkens - help me :)
Måske kan du nå at hente et af programmerne nævnt i denne artikel:
<URL: http://online.securityfocus.com/news/462 >
Hvad er det du vil, som de tidligere forslag ikke har givet dig løsnin-
gen på?
Dameware et et udmærket forslag på et program, til at skræmme folk med
(ved at man kan tvangsinstallere det på NT, W2K og XP).
Vil du have et program som åbner en dialogboks på offerets maskine og
siger bøh, så er "net send "navnpåpc" "Bøh!!!!! All your base are
belong to us"" udmærket.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Allan Schuster Bach (04-06-2002)
| Kommentar Fra : Allan Schuster Bach |
Dato : 04-06-02 21:47 |
|
> Hvis jeg skulle lede efter trojans, vil jeg ikke gøre det ved at se
> efter ikoner. Men jeg giver dig ret i at en skjult trojan, ikke skal
> kunne ses på skrivebordet.
>
> mvh
> db
Du har fuldstændig ret. Men det er det eneste program jeg kan komme i tanke
om, så kan gøre det manden ledere efter.
En trojans skal over ikke kunne ses. Dette program, vil kunne ses både som
en service på "offer" maskine og som et kørende program.
Men til at illustreret problemstillingen vil programmet, med sandsynlighed
kunne være velegent til formålet.
Overtagelse af skærm, mus, tastatur. Starte/stoppe service ect, uden at den
"normale" bruger vil bemærke noget som helt.
I øvrigt benytter jeg selv programmer, i en større installation, hvor jeg
har bruger sidden i hele landet. Og når en bruger har et problem, kan jeg
uden problemer overtage "kontrollen" med maskinen (Og brugeren er
selvfølgelige informeret om det, når det skere, og der kommer et ikon i
ikonlinien på maskinen).
Og nej, det er ikke en "klassic" trojans, men det kunne løse hans problem
Allan Bach
| |
Daniel Blankensteine~ (04-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 04-06-02 22:10 |
|
"Allan Schuster Bach" <newskonto@schuster.dk> wrote in message
news:adj8vu$2m4c$1@news.cybercity.dk...
> Du har fuldstændig ret. Men det er det eneste program jeg kan komme i
tanke
> om, så kan gøre det manden ledere efter.
> En trojans skal over ikke kunne ses. Dette program, vil kunne ses både
som
> en service på "offer" maskine og som et kørende program.
> Men til at illustreret problemstillingen vil programmet, med
sandsynlighed
> kunne være velegent til formålet.
> Overtagelse af skærm, mus, tastatur. Starte/stoppe service ect, uden
at den
> "normale" bruger vil bemærke noget som helt.
> I øvrigt benytter jeg selv programmer, i en større installation, hvor
jeg
> har bruger sidden i hele landet. Og når en bruger har et problem, kan
jeg
> uden problemer overtage "kontrollen" med maskinen (Og brugeren er
> selvfølgelige informeret om det, når det skere, og der kommer et ikon
i
> ikonlinien på maskinen).
>
> Og nej, det er ikke en "klassic" trojans, men det kunne løse hans
problem
Jeps
mvh
db
| |
Peder Vendelbo Mikke~ (04-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 04-06-02 22:21 |
|
Daniel Blankensteiner skrev:
> Hvis jeg skulle lede efter trojans, vil jeg ikke gøre det ved at se
> efter ikoner.
Hvad ville du se efter, bortset fra aktivitet på maskinen når der ikke
burde være det?
For at være sikker på et fælles grundlag for diskussionen: en trojansk
hest, i forbindelse med software, er et program som udgiver sig for
f.eks. at være et tekstbehandlingsprogram hvor det f.eks. i realiteten
er en åben bagdør til maskinen når programmet kører.
Det er vel ikke urealistisk at forestille sig, at nogle kunne finde på
at lave en distribution af OpenOffice, hvori der var inkluderet udvi-
delser som kører hele tiden (f.eks. en mailnotifier), hvorigennem man
ville kunne tage kontrollen med en maskine (f.eks. ved hjælp af VNC).
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (05-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 05-06-02 00:25 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:adjo9d.sk.2@mjoelner.aaks.aarhus.dk...
> Daniel Blankensteiner skrev:
>
> > Hvis jeg skulle lede efter trojans, vil jeg ikke gøre det ved at se
> > efter ikoner.
>
> Hvad ville du se efter, bortset fra aktivitet på maskinen når der ikke
> burde være det?
Vi taler her om windows ikke? Jeg vil se på hvad der kører på maskinen?
> For at være sikker på et fælles grundlag for diskussionen: en trojansk
> hest, i forbindelse med software, er et program som udgiver sig for
> f.eks. at være et tekstbehandlingsprogram hvor det f.eks. i realiteten
> er en åben bagdør til maskinen når programmet kører.
Det behøver egentlig ikke give sig ud for at være noget. Nogen sender
bare en fil og når folk klikker på den sker der ingenting, eller sådan
ser det ud, men bagved er trojanen lige blevet installeret.
> Det er vel ikke urealistisk at forestille sig, at nogle kunne finde på
> at lave en distribution af OpenOffice, hvori der var inkluderet udvi-
> delser som kører hele tiden (f.eks. en mailnotifier), hvorigennem man
> ville kunne tage kontrollen med en maskine (f.eks. ved hjælp af VNC).
Ved ikke hvad OpenOffice er, men det skulle ikke undre mig hvis der er
installeret bagdører i windows.
mvh
db
| |
Peder Vendelbo Mikke~ (05-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 05-06-02 03:01 |
|
Daniel Blankensteiner skrev:
> Vi taler her om windows ikke?
Det er vel næsten ligegyldigt?
> Jeg vil se på hvad der kører på maskinen?
Hvis du har grund til at tro at der er ubudne gæster, kan du ikke
stole på noget som helst. Se eventuelt:
<URL: http://www.microsoft.com/technet/security/bulletin/MS02-024.asp >
Hvordan vil du se hvad der kører?
> Det behøver egentlig ikke give sig ud for at være noget.
Så er det "bare" en bagdør og ikke en trojansk hest, efter min bog.
> Ved ikke hvad OpenOffice er,
StarOffice fra Sun, i gratis udgaven. Se eventuelt mere på
openoffice.org
> men det skulle ikke undre mig hvis der er installeret bagdører i
> windows.
Med vilje, fra Microsofts side?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (05-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 05-06-02 10:49 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:adk2re.ho.1@mjoelner.aaks.aarhus.dk...
> Hvis du har grund til at tro at der er ubudne gæster, kan du ikke
> stole på noget som helst. Se eventuelt:
>
> <URL: http://www.microsoft.com/technet/security/bulletin/MS02-024.asp
>
Jeg kan ikke se ALT hvad han har lavet, men jeg skal nok finde hans
bagdør.
> Hvordan vil du se hvad der kører?
På unix vil jeg lede efter suid programmer, se hvad der kører med ps og
se hvad der vil blive kørt i fremtiden med crontab.
> > Det behøver egentlig ikke give sig ud for at være noget.
>
> Så er det "bare" en bagdør og ikke en trojansk hest, efter min bog.
>
> > Ved ikke hvad OpenOffice er,
>
> StarOffice fra Sun, i gratis udgaven. Se eventuelt mere på
> openoffice.org
Ah, det er unix office pakken.
> > men det skulle ikke undre mig hvis der er installeret bagdører i
> > windows.
>
> Med vilje, fra Microsofts side?
Jep, det kunne jeg sagtens forestille mig.
mvh
db
| |
Peter Brodersen (05-06-2002)
| Kommentar Fra : Peter Brodersen |
Dato : 05-06-02 19:06 |
|
On Wed, 5 Jun 2002 11:48:35 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>> Hvordan vil du se hvad der kører?
>På unix vil jeg lede efter suid programmer, se hvad der kører med ps og
>se hvad der vil blive kørt i fremtiden med crontab.
Hvis du i første omgang er blevet kompromitteret, kan du altså ikke
stole på din ps. Selv de mest basale rootkits erstatter ps, ls, m.m.
--
- Peter Brodersen
| |
DUdsen (05-06-2002)
| Kommentar Fra : DUdsen |
Dato : 05-06-02 21:39 |
|
Peter Brodersen wrote:
> On Wed, 5 Jun 2002 11:48:35 +0200, "Daniel Blankensteiner"
> <db@traceroute.dk> wrote:
>
>>> Hvordan vil du se hvad der kører?
>>På unix vil jeg lede efter suid programmer, se hvad der kører
>>med ps og se hvad der vil blive kørt i fremtiden med crontab.
>
> Hvis du i første omgang er blevet kompromitteret, kan du altså
> ikke stole på din ps. Selv de mest basale rootkits erstatter
> ps, ls, m.m.
har du en md5 sum for ps ls m.m er det trivielt at finde en evt
rettet ls, ps, hvis du bruger en ps du har hentet efter
andgrebet vil den også værre pålidelig.
--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk
| |
Kent Friis (05-06-2002)
| Kommentar Fra : Kent Friis |
Dato : 05-06-02 21:53 |
|
Den Wed, 05 Jun 2002 22:39:11 +0200 skrev DUdsen:
>Peter Brodersen wrote:
>
>> On Wed, 5 Jun 2002 11:48:35 +0200, "Daniel Blankensteiner"
>> <db@traceroute.dk> wrote:
>>
>>>> Hvordan vil du se hvad der kører?
>>>På unix vil jeg lede efter suid programmer, se hvad der kører
>>>med ps og se hvad der vil blive kørt i fremtiden med crontab.
>>
>> Hvis du i første omgang er blevet kompromitteret, kan du altså
>> ikke stole på din ps. Selv de mest basale rootkits erstatter
>> ps, ls, m.m.
>
>har du en md5 sum for ps ls m.m er det trivielt at finde en evt
>rettet ls, ps, hvis du bruger en ps du har hentet efter
>andgrebet vil den også værre pålidelig.
Det er også muligt at udskifte md5sum kommandoen...
Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"
| |
Mikael Nørrelund And~ (05-06-2002)
| Kommentar Fra : Mikael Nørrelund And~ |
Dato : 05-06-02 10:31 |
|
"Nicolai" <nifo@DONTSPAMMEnospam.dk> skrev:
> Det er min plan at fremvise en trojansk hest i aktion til
> eksamen ifm. med min hovedopgave.
> Jeg har ikke selv "leget" med sådan en siden Back
> Orifice for nogle år tilbage.
har du prøvet at søge efter wackamole.exe på www.google.com ?
Det var den mest brugte fil i BO sammenhæng.
/Mikael
| |
Mikael Nørrelund And~ (05-06-2002)
| Kommentar Fra : Mikael Nørrelund And~ |
Dato : 05-06-02 10:34 |
|
"Mikael Nørrelund Andersen"
<noerrelund@pc.dk> skrev:
> har du prøvet at søge efter wackamole.exe på www.google.com ?
>
> Det var den mest brugte fil i BO sammenhæng.
Måske mente jeg NetBus !?!
/Mikael
| |
|
|