Chargement de la page en cours... 


hacker ET PORT

Nouveauté!


Il suffit de télécharger un scaner d'ip ICI de mettre 127.0.0.1 ( le local hoste: c'est votre pc en claire ) Cliquer scanner  et attender pour certain scanner on à le temps de lire un autre tuto voir 2 ou 3. une fois fini comparer votre resulatat à la liste des port en fin de pages.
Si vous voulez savoir si une perssonne peut être piratée d'une façon et par qu'elle progz vous rescanner mais cette fois metter son ip a la place du localhoste ( 127.0.0.1 ) . Une fois fini comparer a la liste de port un peu plus bas.
Ps: si le port et 12223 - le logiciel avec lequel on peut le prirater sera Hack´99 KeyLogger.

 

 

port 0 - Click attack
port 2 - Death
port 19 - Chargen
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, MBT, Motiv, Net Administrator, Senna Spy FTp Server, WebEx, WinCrash
port 23 - Tiny Telnet Server (=TTS), Truva Atl
port 25 - Ajan, Aji, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, I Love You, Kuang 2, Magic Horse, Moscow Email Trojan, NewApt, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 48 - DRAT
port 50 - DRAT
port 58 - DM Setup
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Back End, Executor, Hooker, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Invisble Identd Deamon, Kazimas
port 119 - Happy 99
port 121 - Jammer Killah
port 123 - Net Controller
port 129 - Password Generator Protocol
port 137 - Netbios name (DoS attacks)
port 138 - Netbios datagram (DoS attacks)
port 139 - Netbios session (DoS attacks)
port 146 - Infector
port 146 (UDP) - Inferctor
port 170 - A-Trojan
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdministrator, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, NokNok, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 777 - Aim Spy
port 808 - Winhole
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1000 - Der Spacher 3
port 1001 - Der Spacher 3, Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1016 - Doly Trojan
port 1024 - NetSpy
port 1027 - ICQ
port 1029 - ICQ
port 1032 - ICQ
port 1042 - Bla
port 1045 - Rasmin
port 1050 - MiniCommand
port 1080 - WinHole, Used to detect Wingate sniffers
port 1081 - WinHole
port 1082 - WinHole
port 1083 - WinHole
port 1090 - Xtreme
port 1095 - Rat
port 1097 - Rat
port 1098 - Rat
port 1099 - Bfevolution, Rat
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1200 (UDP) - NoBack0
port 1201 (UDP) - NoBack0
port 1207 - SpftWar
port 1212 - Kaos
port 1225 - Scarab
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1255 - Scarab
port 1269 - Mavericks Matrix
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1524 - Trinoo
port 1600 - Shivka-Burka
port 1777 - Scarab
port 1807 - SpySender
port 1981 - Shockrave
port 1969 - OpC BO
port 1981 - Shockrave
port 1999 - BackDoor, TransScout
port 2000 - Der Spaeher 3, Insane Network, TransScout,
port 2001 - Der Spaeher 3, TransScout, Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2080 - WinHole
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2716 - The Prayer
port 2773 - SubSeven
port 2801 - Phineas Phucker
port 2989 (UDP) - RAT
port 3000 - Remote Shutdwon
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3456 - Teror Trojan
port 3459 - Eclipse 2000, Sanctuary
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 (UDP) - Eclypse
port 4000 - Skydance
port 4092 - WinCrash
port 4242 - Virutal hacking Machine
port 4321 - BoBo
port 4444 - Prosiak
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetropolitan
port 5321 - Firehotcker
port 5343 - wCrat
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5637 - PC Crasher
port 5638 - PC Crasher
port 5742 - WinCrash
port 5882 (UDP) - Y3K RAT
port 5888 - Y3K RAT
port 6000 - The Thing
port 6272 - Secret Service
port 6400 - The Thing
port 6667 - Schedule Agent
port 6669 - Host Control, Vampyre
port 6670 - DeepThroat, BackWeb Server, WinNuke eXtreame
port 6711 - Sub Seven
port 6712 - Funny Trojan, Sub Seven
port 6713 - Sub Seven
port 6723 - Mstream
port 6771 - DeepThroat
port 6776 - 2000 Cracks, BackDoor-G, Sub Seven
port 6838 (UDP) - Mstream
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas, SubSeven
port 7001 - Freak88
port 7215 - SubSeven
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - Back Door Setup, ICKiller
port 7983 - Mstream
port 8080 - RingZero
port 8787 - Back Orifice 2000
port 8897 - HackOffice
port 8988 - BacHack
port 8989 - Rcon
port 9000 - Netministrator
port 9325 (UDP) - Mstream
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker, RUX
port 9878 - TransScout
port 9989 - iNi-Killer
port 9999 - The Prayer
port 10067 (UDP) - Portal of Doom
port 10087 - Syphillis
port 10101 - BrainSpy
port 10167 (UDP) - Portal of Doom
port 10520 - Acid Shivers
port 10607 - Coma
port 10666 (UDP) - Ambush
port 11000 - Senna Spy
port 11223 - Progenic trojan, Secret Agent
port 12076 - GJamer
port 12223 - Hack´99 KeyLogger
port 12345 - GabanBus, My Pics, NetBus, Pie Bill Gates, X-bill, Ultor's Telnet Trojan, Wack job
port 12346 - GabanBus, NetBus, X-bill
port 12349 - BioNet
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12456 - NetBus
port 12623 (UDP) - DUN Control
port 12624 - Buttman
port 12631 - WhackJob
port 12754 - Mstream
port 13000 - Senna Spy
port 15104 - Mstream
port 16660 - Stacheldracht
port 16484 - Mosucker
port 16772 - ICQ Revenge
port 16969 - Priority
port 17166 - Mosaic
port 17300 - Kuang2 The Virus
port 17777 - Nephron
port (UDP) - Shaft
port 19864 - ICQ Revenge
port 20000 - Millennium
port 20001 - Millennium
port 20002 - Acidkor
port 20034 - NetBus 2 Pro, Whack Job
port 20203 - Chupacabra, Logged
port 20331 - Bla
port 20432 - Shaft
port 20432 (UDP) - Shaft
port 21544 - GirlFriend
port 21554 - WinSp00fer
port 22222 - Prosiak
port 23023 - logged
port 23432 - Azylum
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 - Donald Dick
port 26274 (UDP) - Delta Source
port 27374 - SubSeven
port 27444 (UDP) - Trinoo
port 27573 - SubSeven
port 27665 - Trinoo
port 29891 (UDP) - The Unexplained
port 30001 - Terr0r32
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30103 - NetSphere
port 30103 (UDP) - NetSphere
port 30303 - Sockets de Troie
port 30947 - Intruse
port 30999 - Kuang2
port 31335 (UDP) - Trinoo
port 31336 - Bo Whack, ButtFunnel
port 31337 - Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP) - BackFire, Back Orifice, DeepBO
port 31338 - NetSpy DK, ButtFunnel
port 31338 (UDP) - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack´a´Tack
port 31787 - Hack´a´Tack
port 31788 - Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 - Hack´a´Tack
port 32100 - Peanut Brittle, Project Next
port 32418 - Acid Battery
port 33333 - Blakharaz, Prosiak
port 33557 - PsychWard
port 33777 - PsychWard
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 34555 (UDP) - Trinoo (Windows)
port 35555 (UDP) - Trinoo (Windows)
port 37651 - YAT
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise-Hacked
port 40422 - Masters Paradise-Hacked
port 40423 - Masters Paradise-Hacked
port 40425 - Masters Paradise-Hacked
port 40426 - Masters Paradise
port 41666 - Remote Boot
port 41666 (UDP) - Remote Boot
port 44444 - Prosiak
port 47252 - Delta Source
port 47262 (UDP) - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 50776 - Fore
port 51996 - Cafeini
port Acid Battery 2000
port 53001 - Remote Windows Shutdown
port 54283 - SubSeven
port 54320 - Back Orifice 2000
port 54321 - School Bus
port 54321 (UDP) - Back Orifice 2000
port 57341 - NetRaider
port 58339 ButtFunnel
port 60000 - Deep Throat
port 61348 - Bunker-Hill
port 61466 - Telecommando
port 61603 - Bunker-Hill
port 63485 - Bunker-Hill
port 65000 - Devil, Stacheldracht
port The Traitor
port 65432 (UDP) - The Traitor
port 65535 - RC




 

 

 

 

 

 

rendre un trojan indetectable en modifiant sa signature
 
1. Modifier la signature antivirus du trojan
Tout d'abord, Qu est ce une signature ??? 
Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par les antivirus. 

A quoi peut servir de connaitre ces signatures ? 
Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV. 
------------------------------ 
Vous aurez besoin de : 
-AVPOFFSET
ICI
-Kaspersky (installer sur votre ordinateur) ICI
-Hexiwin (www.telecharger.com), ou un autre logiciel du même genre... 
-Un serveur de trojan qui n'a pas été modifié (c'est à dire : non Packer, crypté, bindé, etc...) 
------------------------------ 
Pour commencer, désactivez votre A-V. Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Lite\BASES "). 
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire . 
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE. 
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .Allez dans le répertoire  ou vous avez mis AVPOFFSET et tapé ceci : 

" AVPOFFSET SERVER.EXE " 

Ensuite patientez (cela dure +- 1-2minutes) 
Puis vous obtiendrez ceci: 

SERVER.EXE infected: backdoor xxxxxx 

Signature 1 found : 
Offset : 511854 ( 7CF6eh) 
Length : 7 ( 7h) 
checksum: (2FCC5587h) 

Signature 2 found: 
Offset : 515903 ( 7DF3FH) 
Length : 255 ( FFH) 
Checksum: ( 5574DDD9H) 

Ce qui est écrit ci-dessus est fondamental pour la suite. 
Ouvrer ensuite "SERVER.EXE" avec HEXIWIN. 
Puis faites " EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal) 
Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal. 

Ensuite vous devez obtenir de ce style-ci : 
756E5365727669636573000000FFFFFFFF (hexadecimal) 
RunServices....... (Ascii) 

Cette signature est facile a modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices " 
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple : 
exemple: RunServices ==> runservices ==> RuNServices 

Il y a évidemment plein de possibilités de modifications, mais la chose a ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas. 
------------------------------
Étudions maintenant la deuxième signature... 
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal) 
Vous obtenez ensuite ceci : 

8D45F8 

Ceci n'est plus une signature aussi simple que la précédente : 
Ecrite en hexadécimal,elle est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur. 
Cela signifie que c'est une inscription dans le registre. 
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme) 
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent : 
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)

Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...;)


 

2. Appliquer un binder ou un packer

Un binder (beast 2.06 en contient un) permet de rassembler au moins deux EXE (fichier executable) en un seul EXE. Cela a la faculté de parfois modifier les signatures. Un seul inconvénient: les binders sont eux memes detectés par les antivirus. En effet un binder ajouite du code entre les deux EXE afin que ceux ci soient lancés simultenément, et comporte également une signature. M ême si un binder est inoffensif en soi, il sera donc détecté comme dangereux par les antivirus. L'idéal est de se confectionner (à partir de morceaux de sources trouvés sur Internet) son propre Binder, ce qui est tout de même plus rapide que chercher à modifier le code source du trojan. Il existe déjà plusieurs dizaines de Binders sur Internet. Peut être que j'en ajouterai dans la rubrique des téléchargements à vos demandes. Donc pour utiliser en général un binder, il faut le rendre également indétécté avoir la méthode du paragraphe suivant, et s'assurer également que les fichiers à l'intérieur du binder soient aussi indétéctés. Cela donnera des résultats remarquables.

Un packer permet de compresser un fichier non compressé (unpacked). Il en existe également plusieurs dizaines. L'avantage du packer est qu'il modifie très probablement la signature du trojan, mais ce n'est pas sûr à 100%. Cela vient du faite que certaines parties (comportant des overlays) ne peuvent pas être compressées. ET donc si la signature du trojan est située dans cet overlay....le packer ne modifiera pas la signature.

Le principe général d'un packer est de rechercher les redondances (codes répétés plusieurs fois) de codes hexadécimaux dans le fichier à compresser. Par exemple, imaginons que la code hexadécimal "15D9C2" (6 caractères) apparaît 50 fois dans le fichier. Si le compresseur remplacent ces 6 caractères par 4 caractères (par exemple "AAAA") cela fait un gain de place très important. En effet 50 x 6 = 300 caractères remplacés par 50 x 4 = 200 caractères corresponda à un taux de compression de 100 - 200 / 300 x 100 = 44.44%. Tout le code d'origine peut ainsi être remplacé par un code similaire plus court s'il y a redondances. Cela a pour effet de modifier énormément le contenu du fichier et donc la signature. Essayez par exemple sur le serveur Beast 2.06. Editez un serveur non compressé avec UPX (case UPX à décocher) et appliquez (en fenêtre DOS) la commande

 

 

 

 

 

1-Introduction:
            Le matériel:
            Windasm qui est un logiciel qui vous permettra de désassemble un
            programme en Hexadécimal. Que vous pouvez télécharger
ICI
            Il nous faut un éditeur Hexadécimal. Moi j'utilise Hex Workshop, que vous

            pouvez telecharger ICI
            Et ensuite le petit programme (ou crackme) sur lequel vous allez
            vous expérimentez.   
            Maintenant que vous avez téléchargé le logiciel et le programme nous
            allons pouvoir commencer. Tout d'abord vous allez vous apercevoir
            que en ouvrant le crackme une fenêtre(ou Nag) avec inscrit "Please
            register! etc..." . Et lorsque vous refermez le programme la même
            fenêtre s'ouvre. Donc notre but dans se premier cour sera de virer
            un Nag.
            
            Le Crack:
            On c'est aperçu que le Nag a l'entrée et à la fermeture était les
            même. Il y a marqué un truc du genre :"I want your money! ...". Donc
            si ce sont les de même on aura juste besoin de le virer a un
            endroit.
            On va donc lancer notre logiciel : Windasm. On désassemble notre
            crack me.
            On va cliquer sur Refs/ String data References pour voir ce qui
            pourrait nous intéresser. Tiens il y a une phrase qui commence comme
            notre Nag :"I want your Money!". Nous allons cliquer dessus. Nous
            allons arriver directement ici:
            
            * References by a CALL at Addresses:
            |:00401208 , :00401254----------------->
            Tien un référence a 2 CALL, sûrement l'appel de 2 Nag un moment
            différent.

            :|004012BF 6A00 push 00000000------->
            Ce push définit le type de MessageBox.
            * Possible StringData Ref from Data Obj ->"Please register!"

            :|004012C1 682D304000 push 0040302D-->
            Celui-ci définit le titre du MessageBox c'est à dire de notre Nag
            *Possible StringData Ref from Data Obj ->"I want your money! Please
            send "
            ->"me $20 to get rid of this screen!"
            :004012C6 683E304000 push 0040303E--->
            Celui-ci c'est le contenu de notre MessageBox.
            C'est pour cela que nous sommes arrivé ici. :
            004012CB 6A00 push 00000000-------->
            Celui-ci définit le numéro de la fenêtre(MessageBox)
            * Reference To: USER32.MessageBoxA, Ord:01BBh
            |
            :004012CD E842000000 Call 00401314-----> Ici c'est l'affichage de
            notre Nag.

            Donc les 2 CALL référencé 00401208 et 00401254 entrent dans la
            routine de construction du Nag. Donc le plus simple à faire c'est de
            laisser entrer nos 2 CALL dans la routine et de les en faire sortir
            aussitôt.
            Pour cela nous allons remplacer notre premier PUSH qui se trouve à
            la ligne 004012BF par un RET. Ce qui va complètement ignorer la
            suite de la routine c'est à dire l'affichage du Nag.
            Nous allons remplacer :004012BF 6A00 PUSH 00000000 par :004012BF C3
            RET .
            Pour faire cette manipulation nous allons tout d'abord regarder en
            bas de notre fenêtre de Windasm et noté l'offset ici c'est 000006BF
            . Donc nous allons ouvrir notre éditeur hexadécimal. Nous allons
            nous rendre a l'offset 06BF( ça ne sert a rien de prendre les 4
            premier zéro).
            Et nous allons remplacer 6A par C3 ( qui équivaut à RET en hexa). Le
            reste on a pas besoin de le changer puisque le reste de la routine
            est ignorer. Maintenant vous avez plus qu'à sauvegarder et a lancer
            le crackme. Et voila vous avez cracker votre premier programme.