Pokaż wyniki 1 do 5 z 5

Temat: konstrukcja malware, sposoby, ciekawostki...

  1. #1
    Zarejestrowany
    Jan 2009
    Postów
    216

    Domyślnie konstrukcja malware, sposoby, ciekawostki...

    W tym temacie chcialbym porozmawiac o tworzeniu i wykrywaniu malware pod system windows.
    Piszemy tylko z wykozystaniem user/kernel api, oraz tego co daje nam hardware. Precz z komponentami do delphi!

    Na poczatku jestem ciekawy jak wydajnie szpiegowac system:
    Lapanie WM_CHAR, WM_KEYDOWN (znaki specjalne), WM_PASTE przez WH_GETMESSAGE, lub wlasnego hooka na NtUserGetMessage.

    Ukrywanie softu:
    - standardowy rootkit i wywalanie EPROCESS, tworzenie watkow
    - dllspoofing (moj ulubiony)
    - 100% w KM, czyli tworzenie watku systemowego


    Mam nadzieje ze temat nie upadnie, w koncu to hack.pl, pokazcie ile warta jest ta domena.

  2. #2
    Zarejestrowany
    Jan 2009
    Skąd
    /tmp
    Postów
    30

    Domyślnie

    Podmiana dll'elek jest ciekawa w kontekscie zmiany 'organizacji' i dzialania programu i uwazam, ze temat mozna rozwinac. Czy masz jakies autorskie 'poprawki' na konkretny soft, czy chcialbys aby umieszczano tu jakies konkretne przyklady? Czy rzucamy hasla jedynie do wgladu wlasnego? Temat jak najbardziej ok.

    PS. Z racji tego ze dawno nie gralem w windowsa, czas najwyzszy wyemulowac ms'a. Czy ktos jest na biezaco w kwestii alternatywnych strumieni na ntfs pod jadrem NT? Do tej pory wiem, ze Avast na pewno robi research pod tym katem, ale czy 100% reszty niekomercyjnego softu rowniez? - tego nie wiem.

    Pozdro.
    " Wszystko, co ma początek, ma też koniec. Widzę nadchodzący koniec. Widzę rozciągającą się ciemność. Widzę śmierć ."

  3. #3
    Avatar rafal44
    rafal44 jest offline logout
    Zarejestrowany
    Dec 2007
    Postów
    291

    Domyślnie

    Łapanie klawiszy, keyloggery, szpiegowanie - kiedyś się tym bawiłem, troche nudna sprawa.
    Ciekawsze jest ukrywanie procesów, na cc-team widziałem art pokazujący jak utworzyć zdalny wątek. Temat jest bardzo interesujący. Sporo informacji można znaleźć na code project.
    "a imię jego będzie czterdzieści i cztery"
    A. Mickiewicz Dziady cz. III

  4. #4
    Zarejestrowany
    Jan 2009
    Postów
    216

    Domyślnie

    Po co tworzyc i ukrywac proces, jak mozna wrzucic 1 dllke w 'pewne' miejsce...
    Nawet kaspersky przy tym wymieka, poprostu nic jak narazie nie jest w stanie tego wykryc

    Co to 'zdalnych' watkow, to chetnie zobacze call kompletny NtCreateThread.


    btw, teraz mam pewien problem, wiecie moze jak zahaczyc przekazywanie focusa oknie?


    focus okno1 --> user klika na okno2 --> okno2 dostale jakis msg --> moj hook --> zmiana focusa -->user cos pisze
    Ostatnio edytowane przez esp666 : 01-23-2009 - 19:22

  5. #5
    Zarejestrowany
    Dec 2009
    Postów
    11

    Domyślnie

    Faktycznie ukrywanie procesu nie jest tak latwe i skuteczne jak ukrywanie dll'ek. Jest jednak pewna prosta metoda, ktora pozwala na wykrycie dowolnej dll'ki nawet jesli ta zostanie usunieta z wszystkich list LDR.

    Co do zdalnych watkow, to podobnie jak w przypadku procesow (a tym samym conajmniej jednego glownego watku) lepiej jest wstrzyknac przygotowany kod lub biblioteke zamiast tworzyc cos co moze sie rzucac w oczy.

Podobne wątki

  1. Unixowe ciekawostki :)
    By TQM in forum Linux
    Odpowiedzi: 48
    Autor: 07-26-2009, 12:58
  2. Sposoby na w wrzucanie keylogerra.
    By Citko0 in forum Newbie - dla początkujących!
    Odpowiedzi: 16
    Autor: 10-27-2008, 18:57
  3. Windowsowe ciekawostki (bylo: rand)
    By kosiarz in forum Off Topic
    Odpowiedzi: 39
    Autor: 09-01-2007, 17:43
  4. Tendencje wśród malware
    By Kobcio in forum Wirusy/Konie trojańskie
    Odpowiedzi: 2
    Autor: 07-12-2007, 22:24
  5. kozackie sposoby wykorzystania js
    By ble34 in forum Hacking
    Odpowiedzi: 10
    Autor: 05-28-2007, 11:41

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj