ehhhh ovako uvod......................ovaj tutorial je potpuni tutorial za Poison Ivy RAT (Remote Administration Tool) ili ti ga TROJAN......:D:D:D:D nego.....ovaj tutorial sam napisao JA i iskljucivo ja ako ko ima nekih problema sa tim neka mi se javi......;D .........ovaj tutorial je pisan u wordu ima i slike i sve ako vas zanima link ce biti u drugom djelu tutoriala.............ovo je samo prvi dio lol.........
Poison Ivy 2.3.2 Complete Tutorial
1. Instalacija Poison Ivy (P.I) Trojana
- instalacija je jako jednostavna na site-u www.poisonivy-rat.com , tacnije na http://www.poisonivy-rat.com/index.php?link=download mozete nabaviti file u .rar formatu. Kada ste skinuli file sve sto treba da ucinite je da “extractujete” fileove iz .rar arhive. Preporucujem da to bude u zasebnom folderu, jer P.I nakon pokretanja generira jos neke potrebne fileove i dodatne foldere, sto, ako je P.I smjesten npr. direktno na Desktop moze postati malo zbunjujuce.
2. Pokretanje P.I aplikacije
-Prva stvar koja se pojavi nakon PRVOG pokretanja Poison Ivy programa je takozvani “disclaimer” odnosno ugovor u kojem se kreatori programa odricu odgovornosti za stetu nacinjenu vasem i/ili “zrtvinom racunaru usljed nepravilnog rukovanja programom. Nakon 10 sekundi “Agree” dugme ce postati aktivno, kliknite na njega.
-Slijedeca stvar koja se prikaze je Glavni program P.I pomocu kojega cete kontrolirati svoje “Cliente” i “Servere”. Ovo je jedna od glavnih razlika izmedju P.I i ostalih trojana. Client je samo dio glavnog programa. Niti jedan drugi Trojan vam ne dopusta spajanje na dva racunara u isto vrijeme, dok u P.I mozete pokrenuti “beskonacan” broj Client programa i biti povezani sa “beskonacnim” brojem racunara u isto vrijeme. Da pojasnimo, “Server” fileovi zaraze “zrtvin” racunar i javljaju vasem racunaru da je “zrtva” zarazena i spremna za kontrolu, dok je “Client”-ov zadatak da “slusa” i ceka kada ce mu se “Server” javiti. Napomena: Server je odvojen program dok je Client dio (podprogram) glavne alikacije P.I.
3. Generiranje “Server” programa
Prvi korak u Poison Ivy-u je da se generira (napravi) “Server” file koji ce zaraziti “zrtvu”.
1. Korak – Pokrenuti P.I
2. Korak – Kliknuti File >>> New Server
3. Korak – Create Profile
U P.I mozete da snimite konfiguraciju vasega “Servera” u takozvane Profile pomocu kojih mozete da regenerirate isti server po potrebi.
Kliknite na “Create Profile” i upisite ime profila.
Profili mogu biti korisni jer u P.I imate mnogo opcija i mogucnosti pa ako napravite profile za sve najcesce koristene konfiguracije onda ce vam biti puno lakse, npr: server sa keylogger funkcijom, server bez keylogger funkcije, server koji se konektuje na na odredjenu IP adresu, server koji se konektuje na drugu IP adresu…itd
4. Korak – Podesavanje konekcije
Ovo je moze se reci najvazniji dio jer ako ovo pogrijesite nista nece raditi
U ovom meniju podesavate kako ce se server konektovati na Client in a koju IP adresu.
Prvo sto trebate uraditi u ovom djelu je dodati svoj DNS server (NO-IP) u DNS/Port prozor. To cete uraditi ako kliknete na dugme “Add” i ukucate svoj server umjesto brojeva 127.0.0.1, port ostavite kako jeste (3460) jer ako izaberete pogresan port moze doci do greske (u slucaju sa se izabrani port vec koristi na zrtvinom racunaru)
Drugo sto trebate uraditi je upisati password za server koji pravite.
Ostale opcije u ovom djelu su:
“Connect Through Proxy” – ova opcija omogucava server da se prvo konektuje na proxy server pa onda na Client, ovo se radi da bi se osigurala anonimnost i sigurnost napadaca. Ali ovo vam nece trebati osim ako ne planirate da upadate u vladine racunare… Zasto samo Vladine…zato sto samo Vlada ima dovoljno ljudi, resursa i slobodnog vremena da vas uhvati… Ovu opciju nije preporucljivo koristiti na prosjecnoj zrtvi.
“Hijack Proxy” – Ova opcija omogucava Serveru da pokusa preuzeti zrtvin proxy tako sto ce citati podatke iz “Default Browser”-a na zrtvinom racunaru.
U sklopu ove funkcije postoji i opcija “Persistent” koja prisiljava Server da se konektuje samo kroz zrtvin proxy nikako drugacije... Ni ove dvije opcije nije preporucljivo koristiti jer ponekada mogu da onemoguce konekciju izmedju Servera i Clienta.
“ID” – to je ime koje ce vam se pojaviti u Clientu kada Server uspostavi konekciju s njim.
“Group” – ovo takodje nije bas korisna opcija osim ako nemate puno zrtvi pa zelite malo da se organizujete, ovo vam omogucava da zrtve stavljate u razlicite grupe (kao na MSN Messengeru).
“Password” – ovdje ukucate password koji cete morati unjeti prilikom svake konekcije ovog Servera sa Clientom…koristenje ove opcije se preporucije. Ako nezelite password samo ostavite “admin”.
“Use Key File” – Ova opcija vam omoguava da umjesto passworda morate da posjedujete file koji ste odredili u konfiguraciji. Primjer: Server se konektuje i trazi vas za file, vi morate da kliknete Browse i pokazete server gdje je file nakon cega ce on da provjeri file i pusti vas ako je to isti file koji ste preodredili u konfiguraciji…ova opcija nije preporucljiva jer je password sasvim dovoljan da zastiti vas server od neovlastenog pristupa…
5. Korak – Instalacija Servera
U ovom djelu cete odrediti parametre instalacije vaseg Servera.
Obavezno checkirajte opciju “Start on System Startup”, jer bez ovoga bi vas Server bio za jednokratnu upotrebu…to jest kada bi zrtva pokrenula server vi bi ostvarili konekciju, ali cim bi zrtva restartovala svoj racunar vi nebiste mogli ostvariti konekciju…jer server nebi bio pokrenut….
Ako ste pocetnik u Poison Ivy-u, odnosno ako neznate sta opcije u Instal djelu znace onda bi bilo najbolje da samo kopirate konfiguraciju sa ovog tutoriala.
Po meni ovo bi bila idealna Install konfiguracija. (!!!Napomena!!! ako budete prepisivali konfiguraciju nemojte prepisivati ActiveX Key Name dio, samo kliknite Random nekoliko puta)
Objasnjenje opcija:
“Start on system startup” – ova opcija omogucava server da starta zajedno sa Windows-om
“HKLM/Run Name” – ovo ako znate sta je onda znate ako neznate onda vam nemogu objasniti, jer bi trajalo jako dugo i vjerovatno bi vam dosadilo i nebi ni procitali ovaj tutorial do kraja. :D, uglavnom treba zapamtiti da mu treba davati sistemska imena (imena koja zrtva moze povezati sa windowsom) da ih nebi izbrisala. Npr: winsock.exe, scvhost.exe winini.exe, rundll.exe itd…:D
“AxtiveX Key Name” – takodje, ako ovo nerazumijete vjerujte mi i bolje je, to znaci da ste normalna osoba koja nije opterecena racunarima…..lol, da bi objasnio u detalje sta je ActiveX trebalo bi mi bar 20 strana teksta….najvaznije je zapamtiti pritisnuti onu tipku “Random” desno, koliko god hocete puta…..nemogu reci da je sto vise puta pritisnete bolje ali dobro je barem 2 puta pritisnuti….:D
“Copy File” – ova opcija kopira server program na racunar, ovo obavezno izabrati jer opcija “Start on system startup” nece raditi ako ovo ne izaberete…..”Filename” – ovdje isto kao in a “HKLM/Run Name” teba izabrati
neko ime koje je slicno fileovima u Windowsu (da zrtva nebi izbrisala server) npr: winlogon.exe, svchost.exe, cmd.exe, sys32.exe itd…..samo je !!!VAZNO!! da zapamtite da dodate jos jednu tacku prije extenzije da nebi doslo do greske zbog fileova sa istim imenom PRIMJER: “winlogon.exe” postaje “winlogon..exe” ovo je JAKO VAZNO!!! Opcije ispod su “System Folder” koja kopira server .exe u System Folder (C:\WIDOWS\System32) i “Windows Folder” koja kopira server.exe u Windows Folder (C:\WINDOWS)
“Copy to Alternate Data Streams” – ni ovo vas ne zanima, samo checkirajte i dobro je….:D:D:D:D….
“Melt” – ova opcija “istopi” (izbrise) pocetni server.exe file…..objasnjenje….kada zrtva ima na svom racunaru file server.exe koji ima ovu opciju kada je pokrenut on ce se kopirati pod odredjenim imenom (na slici…winlogon..exe) na odredjenu lokaciju (system folder, windows folder) i izbrise file (izvorni) server.exe koji je prvobitno pokrenut.
6. Korak – Advanced
Ovaj dio podesava neke napredne funkcije trojana, kao sto su Keylogger itd..
Ovo je idealna konfiguracija Advanced Dijela:
Objasnjenja opcija:
“Proces Mutex” – vjerovali ili ne ni ja neznam cemu ovo sluzi, mozda je metamorfni inicijacijski kod pri ukljucivanju u alternativni process, ali to ja samo nagadjam (lol), zbilja neznam sta je…zato ostavite to onim najvecim “geekovima” da mozgaju…….samo nedirajte..…nas se to netice….
“Inject server into the default browser” – Ovo je jedna od najboljih opcija ovog trojana, ako je izabrana, Trojan onda moze da se ubaci u process standardnog (Default) browsera na racunaru (Internet Explorer, Firefox, Opera…itd), tako da se process trojana uopce nevidi na Task Manageru tako da ga “zrtva” nemoze iskljuciti…
“Persistence” – bukvalno prevedeno “upornost”, to znaci da ako u prvom pokusaju ubacivanja u process server ne uspije, da nastavi pokusavati….bez da se desi nekakav error koji bi upropastio sve…:D
“Inject into a running process” – ova opcija nam daje mogucnost da samo definiramo u koji ce se process Trojan ubaciti, ja uvjek ostavim msnmsgr.exe jer to je od MSN Messengera a on postoji na skoro svakom racunaru…:D….ako izaberete process koji nepostoji, to jest ako server pokusa da se ubaci u definirani process i neuspije tri puta onda automatski se ubacuje u Default Browser….tako da nema brige …..:D
“Keylogger“ – ovu opciju netreba objasnjavati, mislim ocigledno je jelda….:D ovo daje Keylogger funkciju server.exe file-u, kada kliknete na keylogger pojavi se upozorenje da Keylogger ponekad moze uciniti system nestabilnim………medjutim meni se to nije nikada desilo zato jag a uvjek koristim….:D
“Format” – ovo samo ostavite kako jeste, opet isti slucaj, nemam vremena da objasnjavam sta ovo znaci, samo ostavite kako jest i dobro ce bit…:D
7. Korak – Generiranje Server.exe file-a
Evo ga napokon, kod mene je 4:11 poslije ponoci…..meni se malo spava nemojte se vi uvrijediti sto se ovako radujem kraju….:D:D:D:D
Ovdje samo jos da izaberete ikonu i to je to ( ovo ispod execute third pary program vam nece trebati) sada GENERATE i odosmo….:D:D:D:D malo sam poludio od spavanja (odnosno nespavanja)
attrib %homedrive%\ntldr -h -s -r -a