Rootkits

Todo sobre los distintos SSOO de Windows

Moderador: Moderadores

Rootkits

Notapor securedigital » Jue Dic 07, 2006 1:19 pm

Hola a todos

Si quisieramos ocultar un proceso en "guindows" es decir sacarlo del visor de procesos, que podriamos hacer?
Para los que vayan a decir que cambie el nombre, para segun que usuarios se nota que hay algo raro...

Pense en usar algun tipo de rootkit, alguna idea?


Saludops
Última edición por securedigital el Dom Dic 17, 2006 2:30 pm, editado 1 vez en total
The man who whispered to the computers

FAD58DE7366495DB4650CFEFAC2FCD61
Avatar de Usuario
securedigital
:-D
:-D
 
Mensajes: 111
Registrado: Sab Nov 25, 2006 3:26 pm
Ubicación: Dentro de un AS/400. xD

Re: Rootkits

Notapor AnimAlf » Jue Dic 07, 2006 3:56 pm

securedigital escribió:sacarlo del visor de procesos


Con una llamada al api concretamente a KERNEL32.DLL

En Pascal, para tu própia aplicación:

declaración
Código: Seleccionar todo
 
function RegisterServiceProcess (dwProcessID, dwType: DWord) : DWord; stdcall; external 'KERNEL32.DLL';


ocultandola
Código: Seleccionar todo
RegisterServiceProcess(GetCurrentProcessID,1);


Mostrandola
Código: Seleccionar todo
RegisterServiceProcess(GetCurrentProcessID,0);


Fuente: q3.nu (Radikal's friends)

A partir de ahí, nacieron muchas aplicaciones que cazan la aplicación que quieras y se lo aplican a la aplicación a través de su id.

Bye
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor TaU » Vie Dic 08, 2006 2:20 pm

Emmm, me parece que no es tan fácil... Eso que comentas hace unos 5 años que ya no funciona :? (mira en la parte inferior de la página que pones como fuente).

Y sí, para sacarlo del visor de procesos te hará falta un rootkit, ya sea codeado por ti mismo o uno hecho de antemano.

Mírate los links de la wikipedia: http://es.wikipedia.org/wiki/Rootkit

Y pásate también por la web del "hacker defender", uno de los primeros y mejores rootkits hechos hasta la fecha, creado por el trístemente fallecido HolyFather. Allí tambien encontrarás codigo fuente y tutoriales sobre el tema.

http://hxdef.org/news.php


Un saludo.
"Hay un aliciente tremendo en meter las narices en lo desconocido", Eduardo Chillida.

-<|¡^P Wadalbertia, el sentir que del embudo emana. (Arzobispo de Canterburry dixit)
TaU
<|:-)
<|:-)
 
Mensajes: 604
Registrado: Vie Feb 25, 2005 2:44 am

Notapor AnimAlf » Vie Dic 08, 2006 6:08 pm

TaU escribió:Emmm, me parece que no es tan fácil... Eso que comentas hace unos 5 años que ya no funciona :? (mira en la parte inferior de la página que pones como fuente).


Vaya, gracias.

Hace tiempo que no hago nada Pascal. Tengo esa dirección como la biblia de Pascal, además de las de Nacho Cabanes
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor askrator » Dom Dic 10, 2006 6:58 pm

yo use uno hace tiempo, me lo descargue de http://www.rootkit.com/ mira haber si alguno te sirve.
Avatar de Usuario
askrator
<|:-)
<|:-)
 
Mensajes: 265
Registrado: Sab Jul 01, 2006 5:31 pm
Ubicación: En todas partes

Notapor ANELKAOS » Mié Dic 20, 2006 8:50 pm

Alguna idea no, decenas jajaja Te comento algunas básicas que he probado en ring3 para que empieces por el principio:

- Hay bastantes técnicas para ocultarlo dentro del sistema sustituyendo algunos archivos como netstat modificado, tasklist modificado, etc...

- Revisa la técnica de ocultación que utilizaba MITM en su bichito, es interesante también.

- Inyección en explorer.exe (o en el proceso que puedas).

- Instalarlo como servicio oculto es una de las que mejor funcionan. (esto no corre en ring3 pero bueno, digamos que me consta que es muy utilizada :lol:)

¿De que te sirve usar el rootkit de otro sin entender como funciona? :P No es muy instructivo
Échame una firmita en: Imagen
Avatar de Usuario
ANELKAOS
:-)
:-)
 
Mensajes: 37
Registrado: Mié Ene 11, 2006 11:46 pm

Notapor XpyXt » Jue Dic 21, 2006 1:28 pm

Si solo quieres ocultar el proceso y uno especifico, te recomiendo que uses FUTO, es open source y puedes modificarlo facilmente.
Instala un driver el cual hace el trabajo sucio, el exe son 4 cosas.
Si usas conexiones te recomiendo usar FU Rootkit.
XpyXt
:-D
:-D
 
Mensajes: 59
Registrado: Mar Ene 17, 2006 4:52 pm

Notapor TaU » Jue Dic 21, 2006 4:04 pm

XpyXt, puedes poner el link del FUTo ?

El rootkit FU puede descargarse aquí:
http://www.rootkit.com/project.php?id=12


Un saludo.
"Hay un aliciente tremendo en meter las narices en lo desconocido", Eduardo Chillida.

-<|¡^P Wadalbertia, el sentir que del embudo emana. (Arzobispo de Canterburry dixit)
TaU
<|:-)
<|:-)
 
Mensajes: 604
Registrado: Vie Feb 25, 2005 2:44 am


Volver a Windows

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron