SheetRat Руководство
SheetRat - простенький RAT на C# без излишеств.
один из немногих здесь, который можно безопасно запускать на основной (Host) машине.
ПЕРЕД ПРОЧТЕНИЕМ ЭТОЙ СТАТЬИ НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ ОЗНАКОМИТЬСЯ С РУКОВОДСТВОМ ПО XWorm!
В этом туториале я буду показывать на примере SheetRat 2.6.
P.S.:
При запуске нас встретит такое прекрасное окно "About", но не будем здесь задерживаться и сразу перейдем к базовой настройке, переходим в Settings:
Первым делом нас интересует "port listing" - здесь мы указываем локальный порт. (Функция Auto Start отвечает за автоматический запуск прослушивания порта.)
*Ссылаясь на статью о XWorm:
Cоветую выбрать какой-то популярный(порт), но тот, который не использует ваша система, поскольку из-за этого могут возникнуть проблемы с подключением. Вот несколько примеров таких портов:
- 5432 (Сервис базы данных PostgreSQL)
- 3389 (RDP)
- 995 (Протокол почтового сервера POP3)
- 445 (Сетевое управление ресурсами Windows, SMB) и другие.
Например, мы выберем порт SMB - 445.
Discord URL hook: Отправляет вам лог в Discord, если пользователь запустит билд, может привести к деанонимизации.
Все остальное, что касается "Column Users", думаю, относительно понятно - это то, что будет отображаться в информации о пользователях. (Если же вам все еще что-либо непонятно, настоятельно рекомендую пройти тест на выявление когнитивных искажений.)
Host&Port - Вводим наш хост, полученный с playit[.gg].
Если вы не знаете, что это, ознакомьтесь с .
PasteBin - Для использования в связке с Port Forwarding: ngrok+pastebin.
Digital Signature - Скопировать подпись у другого файла.
Assembly - Включить/выключить информацию о сборке (файле).
Save to json/Load json - Сохранить настройки билда в .json конфиг, загрузить настройки билда из .json конфига.
getting admin.. - Получение прав администратора, имя задачи, на которой будут сохранены права UAC.
Mutex - Уникальный идентификатор билда, автогенерируется при нажатии.
Anti Virtual - Защита от запуска на виртуальных машинах.
Группа галочек справа вверху - функции для защиты билда.
Install - Настройки установки и хранения билда в системе:
Registry - Как билд сохранится в кэше реестра, в поле "Name" введите какое-то стандартное значение, например:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
User Init.. - Автозапуск от UAC(Админа).
Task to start (#1) - Под каким именем билд будет запускатся каждую минуту.
Task to start (#2) -Под каким именем будет запускатся процесс мониторящий стабильность работы билда.
Path client - Путь установки билда.
Path WatchDog - Путь программы смотрящей за стабильностью работы билда.
Pumper - увеличить размер билда.
Rootkit -червь, внедряющийся глубоко в корни системы для долговременного пребывания там билда.
Group - называете как хотите, в панели юзеров у вас будет отображаться эта группа. Например, вы можете распространять свой билд на YouTube, а также отдельно сделать билд специально для Васи Пупкина. Когда он запустит ваш билд, вы сможете понять, что это вероятнее всего именно он, а не очередной любитель Roblox читов с YouTube.
Anti Process - инжектит процесс XWorm'а в какой-либо системный (например, fontdrvhost.exe, svchost.exe), чтобы попытка его убить приводила к BSOD.
Вкладка Logs:
Позволяет просматривать ивенты SheetRat.
Позволяет настроить события при выполнении определённого пользователем действия.
ЕСЛИ ВАМ ХОЧЕТСЯ ПРОВЕРИТЬ СВОЙ БИЛД В ДЕЙСТВИИ НО НЕТУ ЮЗЕРА(ЭТО МОЖЕТ НЕ СРАБОТАТЬ ЕСЛИ У БИЛДА ВКЛЮЧЕН AntiVirtual):
Загрузите билд на эти фреймворки, они анализируют вирусы с помощью runtime-анализа (запускают ваш билд на своих виртуалках):
https://tria.ge/
https://www.virustotal.com/gui/
ВАЖНО! НЕ ДЕЛАЙТЕ ЭТО С ЗАКРИПТОВАННЫМ ВИРУСОМ, ИЛИ НА ПОСТОЯННОЙ ОСНОВЕ,
"VirusTotal использует несколько антивирусных движков для сканирования загружаемых файлов. Если файл попадает на VirusTotal и хотя бы один из антивирусов опознает его как вредоносный, это может привести к быстрому распространению информации об угрозе и увеличению шансов на его обнаружение другими антивирусами в будущем.".