Pokaż wyniki 1 do 9 z 9

Temat: Problem z rootkitem oraz szyfrowaniem danych

  1. #1
    Zarejestrowany
    Aug 2011
    Postów
    4

    Domyślnie Problem z rootkitem oraz szyfrowaniem danych

    Witajcie. Od dwóch dni praktycznie w ogóle nie śpię, próbując znaleźć w miarę prosty opis tego, jak za pomocą rootkita mogę ukryć moją aplikację na liście procesów.

    Rootkit.com nie działa, a większość znalezionych artykułów zawiera niedziałające bądź słabo objaśnione kody (albo to ja jestem taki głupi i ich nie rozumiem).

    Tak więc moja prośba do was: czy ktoś mógłby przedstawić mi przykład aplikacji, która zaraz po uruchomieniu nie jest widoczna na liście procesów?

    Kolejna sprawa: za pomocą curla łączę się ze skryptem php i przekazuję metodą GET pewne dane.

    Po 1.) Chciałbym jakoś zaszyfrować te dane po stronie aplikacji, a rozszyfrować po stronie serwera - co poradzicie?
    Po 2.) Chciałbym ukryć adres strony (np. przed tymi, co poszperają sobie w HEXach). Postanowiłem więc rozejrzeć się za jakimś darmowym Obfuscatorem, ale niczego nie znalazłem. Tak więc moje pytanie: czy ktokolwiek zna jakiś darmowy lub zcrackowany/zserializowany/cokolwiekznimzrobionyzebybylzadarmo obfuscator?

    Microsoft Visual C++ 2010

    Z góry dziękuję za pomoc, pozdrawiam,
    Alegres.

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Widac slabo szukasz o tym ukrywaniu... poza tym pytasz od dupy strony - jaki OS docelowy nie raczyles poadc wiec nie oczekuj odpowiedzi.

    Jak szukasz o szyfrowaniu to zobacz jakie gotowe rozwiazania sa dostepne i cos wybierz...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Aug 2011
    Postów
    4

    Domyślnie

    Co do rootkita, zależy mi na Windows XP, nie jestem pewien czy jest to do wykonania również na Viscie oraz 7?

    Co do szyfrowania, co myślicie o openssl?

    Jeszcze jak ktoś mógłby odpowiedzieć mi na pytanie dot. obfuscatora, to było by super =).

    Serdecznie dziękuję.

  4. #4
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    Po prostu załóż globalny hook na funkcje NtQueryInformationProcess.

    Usuń z listy interesujący ciebie proces i tyle.

  5. #5
    Zarejestrowany
    Jul 2011
    Postów
    27

    Domyślnie

    Cytat Napisał smurf Zobacz post
    Po prostu załóż globalny hook na funkcje NtQueryInformationProcess.

    Usuń z listy interesujący ciebie proces i tyle.
    Dołączę się do tematu i zapytam skąd można się nauczyć hookingu? Druga sprawa jak to jest z nowym systemem Windows 7, są tam jakieś dodatkowe zabezpieczenia?
    Pozdrawiam, 0DFh

  6. #6
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    Ja siedzę na Windows XP

    a na nowszych np. Win 7 nie bawiłem się tym.

    To działa tak samo jak z ukrywaniem plików / kluczów-wartości rejestru

    / procesami.

    Żadna filozofia, tyle, że najlepiej byłoby to zrobić z RING 0.

  7. #7
    Zarejestrowany
    Jun 2011
    Postów
    14

    Domyślnie

    witajcie
    chcialbym przylaczyc sie do dyskusji
    nie jestem obeznany z pisaniem malweru i malo co o tym wiem ale czy antywirus nie wykryje proby usuniecia procesu z listy poprzez hooka?
    acha, jeszcze dla kolegi znam jeden najprostszy chyba sposob na ukrycie procesu
    jako nazwe swojego programu ustawiasz taka ktora przeypomina windowsowe procesy,
    czyli cos takiego main(int argc, char* argv[])
    i do argv[0] kopiujesz ta nazwe ktora chcesz by widniala na liscie procesow
    strcpy(argv[0], "nazwa_procesu");
    Ostatnio edytowane przez zlewi : 08-22-2011 - 09:27

  8. #8
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    @up:

    Ten sposób jest dużo bardziej wykrywalny od tego którego ja proponuje.

    Ciężko jest wykryć taki hook, bo procedurka NtQueryInformationProcess działa

    dosyć często wykorzystywany przez OS, choćby wtedy gdy tworzony jest nowy proces.

  9. #9
    ocb
    ocb jest offline
    Zarejestrowany
    May 2011
    Postów
    392

    Domyślnie

    Cytat Napisał smurf Zobacz post
    @up:

    Ten sposób jest dużo bardziej wykrywalny od tego którego ja proponuje.

    Ciężko jest wykryć taki hook, bo procedurka NtQueryInformationProcess działa

    dosyć często wykorzystywany przez OS, choćby wtedy gdy tworzony jest nowy proces.
    Nie testowałem tego ale z tego co mi się wydaje to jest to strasznie stary sposób i wydaje mi się że będzie widoczny przez te sandboxy i inne systemy obronne, które same działają jak rootkity i mogą monitorować takie zachowanie.
    swoją droga jesteś wstanie podrzucić jakieś swoje źródła na których testowałeś funkcjonalność? możesz śmiało porobić w nich błędy, żeby nie było ;P

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj