[Alex²]

Manchmal haut dieses komische Serv-U finder Tool sowas raus:

Zitat:

Serv-U Threads found:
================================================
WindowText: RWinSocket && ClassName: RSockWin
------------------------------------------------
PID = 1896 File Name: graphicdrivers.dll
------------------------------------------------
Full Path to Serv-U: C:\xampp\phpMyAdmin\graphicdrivers.dll
================================================

Was hat es damit auf sich?

[Chillikid]

Also ich kenn das Programm nicht, aber anscheinend sucht es ja nach Prozessen, die ein Thread von serv-u sind. D.h. das Programm scannt alle Prozesse nach bspw. bestimmten Mustern und vergleicht sie mit einer Vorlage.
Anscheinend pass hier in diesem Fall das Suchmuster auch auf diese dll (Ich schätze mal einfach, dass das hier einfach nur falsch ist).

Chillikid

[Alex²]

Zitat:

Zitat von Chillikid

Also ich kenn das Programm nicht, aber anscheinend sucht es ja nach Prozessen, die ein Thread von serv-u sind. D.h. das Programm scannt alle Prozesse nach bspw. bestimmten Mustern und vergleicht sie mit einer Vorlage.
Anscheinend pass hier in diesem Fall das Suchmuster auch auf diese dll (Ich schätze mal einfach, dass das hier einfach nur falsch ist).

Chillikid

Habe ich auch gedacht, aber dafür kommt das zu oft vor und es gibt nicht soviele .dlls die z.B. im phpmyadmin dir oder docroot liegen

[MantiCore]

Naja..du kannst deine Servu.exe tarnen als .jpg /.dll usw.
Das gleiche funzt auch mit "Shells", wobei ich da nur tuts gefunden habe, wie man ne Shell ins .jpg Format "umwandelt"...

Wie das aber genau geht, weiß ich nicht.."leider"

so long
pampers

[°EraZoR°]

Haut mich nicht wenn ich falsch liege..
Aber normal kann man doch jedes Programm dass zB in C geschrieben ist auch als DLL erstellen...
Vllt kann man das ja iwie umwandeln..
Und diese DLL ist echt ne Servu, die dann von einem anderen möglicherweise Manipuliertem Programm geladen wird..
ZB von der svchost.exe oder anderen EXEn die beim System start angehen...

MfG

[Chillikid]

Zitat:

Zitat von pampers

Naja..du kannst deine Servu.exe tarnen als .jpg /.dll usw.
Das gleiche funzt auch mit "Shells", wobei ich da nur tuts gefunden habe, wie man ne Shell ins .jpg Format "umwandelt"...

Wie das aber genau geht, weiß ich nicht.."leider"

so long
pampers

Also wenn man die Programmfunktionen einfach in eine dll packt, kann man sie auf jeden Fall relativ einfach per rundll32 ausführen.

// bisschen zu langsam..^^

[Alex²]

Zitat:

Zitat von °EraZoR°

Haut mich nicht wenn ich falsch liege..
Aber normal kann man doch jedes Programm dass zB in C geschrieben ist auch als DLL erstellen...
Vllt kann man das ja iwie umwandeln..
Und diese DLL ist echt ne Servu, die dann von einem anderen möglicherweise Manipuliertem Programm geladen wird..
ZB von der svchost.exe oder anderen EXEn die beim System start angehen...

MfG

War auch eine meiner Theorien, dass man ne Serv-U als .dll durch ein anderes Prog laden lässt.
Kann da jemand was zu sagen?

[Chillikid]

Also wie ich eben schon kurz erwähnt hatte geht das z.B. über rundll32.exe (http://de.wikipedia.org/wiki/Rundll32) oder auch svchost.exe (http://support.microsoft.com/kb/314056/de)

Ich weis nicht, wie das aussieht, wenn man z.B. eine in jpg umbenannte dll angiebt, also ob Windows dann meckert oder es auch auführt, aber mit dlls geht es halt auf jeden Fall, da die beiden Programme extra dafür vorgesehen sind.

[Alex²]

Zitat:

Zitat von Chillikid

Also wie ich eben schon kurz erwähnt hatte geht das z.B. über rundll32.exe (http://de.wikipedia.org/wiki/Rundll32) oder auch svchost.exe (http://support.microsoft.com/kb/314056/de)

Ich weis nicht, wie das aussieht, wenn man z.B. eine in jpg umbenannte dll angiebt, also ob Windows dann meckert oder es auch auführt, aber mit dlls geht es halt auf jeden Fall, da die beiden Programme extra dafür vorgesehen sind.

Aber ne .exe einfach in .dll umbenennen tuts nicht, oder?

[MantiCore]

Zitat:

Zitat von Chillikid

Also wie ich eben schon kurz erwähnt hatte geht das z.B. über rundll32.exe (http://de.wikipedia.org/wiki/Rundll32) oder auch svchost.exe (http://support.microsoft.com/kb/314056/de)

Ich weis nicht, wie das aussieht, wenn man z.B. eine in jpg umbenannte dll angiebt, also ob Windows dann meckert oder es auch auführt, aber mit dlls geht es halt auf jeden Fall, da die beiden Programme extra dafür vorgesehen sind.

Ja, das es als .dll file geht, weiß ich zu 100%,
Glaube ich meinte, das die jpg "Theorie" zu der Shell war...

sorry @all

so long
pampers

Zitat:

Zitat von Alex²

Aber ne .exe einfach in .dll umbenennen tuts nicht, oder?

Noes..das dürfte wohl nicht funzen, wobei du es natürlich lokal mal versuchen kannst...
glaub ich aber weniger..

[Chillikid]

Bzgl: In dll umbenennen

Nein, man braucht den Sourcecode und muss es dann entsprechend anpassen.

Es könnte allerdings sein, dass man auch durch ReverseEngineering was reißen kann, denn die Programmfunktionen hat man so ja schon. Da kenne ich mich allerdings überhaupt nicht aus.

[N0S]

Man kann jede beliebige Dateiendung als exe ausführen. Man muss es Windows nur sagen mit Hilfe eines extra Programms.

lad doch mal die dll hoch...

[Chillikid]

Zitat:

Zitat von N0S

Man kann jede beliebige Dateiendung als exe ausführen. Man muss es Windows nur sagen mit Hilfe eines extra Programms.

Das bezweifelt auch niemand, aber es ging darum, ob es reichen würde, die exe in dll umzubenennen, um sie z.B. mit rundll32.exe oder svchost ausführbar zu machen. Ich bin mir zwar nicht sicher, meine aber das es nicht möglich ist.
Inwiefern sich dll und exe im Bytecode ähneln weiß ich nicht, von daher könnte es trotzdem gut sein.

[Alex²]

Irgentwas ist komisch an der Sache. Wenn ich die .dll einfach in .exe umbenne kann ich die Servu ganz normal starten...(Die Fremde .dll Servu)

[terraNova]

Zitat:

Zitat von Alex²

Irgentwas ist komisch an der Sache. Wenn ich die .dll einfach in .exe umbenne kann ich die Servu ganz normal starten...

Das ist klar, denn der Header ist immernoch derselbe.
Endung != Format.

[Alex²]

Zitat:

Zitat von remaL

Das ist klar, denn der Header ist immernoch derselbe.
Endung != Format.

Das bezog sich auf die fremde servu
Also hat ne .dll des selben Header wie ne .exe (wir gehen davon aus, dass das ding als .dll startbar ist) ?

[Decryptor]

Zitat:

Zitat von Alex²

Das bezog sich auf die fremde servu
Also hat ne .dll des selben Header wie ne .exe (wir gehen davon aus, dass das ding als .dll startbar ist) ?

ya das geht aber ned immer das is son grenzfall bei manchen geht es bei manchen auch nich

hatte ich schon mit 7z.dll bsp da gings

[Chillikid]

Ich hab gerade nochmal nen bisschen gesucht und anscheinend müsste das sogar relativ oft funktionieren, da beide Formate (dll und exe) im PE-Format gespeichert werden:
http://de.wikipedia.org/wiki/Portable_Executable

Spekulation:
Solange also in der dll ein vernünftiger Entrypoint im IMAGE_OPTIONAL_HEADER angegeben ist, müsste es möglich sein, sie auch so einfach auszuführen

[cable]

Joa, das is eigentlich ne exe. Weiß sogar von wem die Servu ist, kenne den Typ

Aber von der Reverse Shell müsstest du wissen, dass .dll Dateien, genau wie beispielsweise C/C++ Programme, Werte zurückliefern können. Man kann sie beide ausführen, und mit rundll.exe (wie Chilikid sagte), kann man die .dll Dateien dann laden und starten.

greez