Hi !
Ich hab zusammen mit einen Kollegen mal ein RAT Tool gecodet !
Nun haben wir es getestet und es funktioniert einwandfrei!
Nur ein problem haben wir entdeckt und zwar wenn ein Computer an einen Netzwerk hängt!
Und zwar angenommen es gibt einen PC der hängt am Hauptanschluß und es gibt einen 2 ten pc der an dem PC der am Hauptanschluß hängt sich seine Verbindung zum Internet holt.
Angenommen dieser PC wird infiziert genau da liegt das Problem weil sich dann kleine Verbindung aufbauen lässt er schikt zwar die IP aber der Port ist zu.
Wenn der PC über einen Router versorgt wird, ist es möglich das der Router wie eine Firewall konfiguriert ist und keine Verbindung zulässt? Denn wenn man so einen PC pingt dann steht immer da Ziel Host nicht erreichbar oder TL bei der Übertragung abgelaufen!
Oder schickt der Server überhaupt die falsche IP ?
Wenn jemand weiterweis bitte Antworten (;
Bye
Sonic
Viren, Spyware, Datenschutz 11.212 Themen, 94.154 Beiträge
bei so wenig ahnung von netzwerkprotokollen bezweilfle ich fast, daß dein posting stimmt, aber anyway:
ich geh mal davon aus, daß der trojan die IP entweder über smtp oder in einen ICQ-channel postet wie so üblich:
hängt der rechner an einem gateway/proxy/router/firewall und postet seine IP, dann ist dies keine öffnetliche ip, sondern eine private, die im i-net nicht weitergeroutet wird, wodurch dir diese ip rein garnichts nützt.
schickt der infizierte rechner die IP des gateways/proxy/router/firewall und dort ist kein portmapping aktiviert (was wohl kaum der fall sein wird für einen trojanerport, falls überhaupt) dann wird natürlich der port als geschlossen gezeigt, da ja auf dem gate dieser port nicht da ist ohne installierten server.
die IP muß also an einen lauschenden client gepostet werden, der dann auch den zugriff realisiert, da dadurch ein socket erstellt wird, der auch geroutet werden kann, sofern keine firewall vorgeschaltet ist.