Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
С++ (Скрываем процесс на х64)
#1
http://www.herosh.com/download/10929453/hide.rar.html


Скачать сорцы

Компилер : Microsoft VS08 + X64CompilerTools

Описание :


Скрываем процесс в RING3 кольце (Usermode) , Hook API NtQuerySystemInformation.


мб и вам задротам полезно будет такие вещицы :redlol:
Ответ
#2
где ты увидел тут задротов?

п.с. скачивать какую то муть от неизвестно кого тут не будут.

Добавлено через 39 секунд
особенно с таким никомBig Grin
Kakos Дайте Кастетчикам какойта УД. Без уд хреново падаєт бистро що ето капец, а єсли не УД то хотяби какойта хил.:redlol::redlol:
Ответ
#3
Mafio Написал:где ты увидел тут задротов?

п.с. скачивать какую то муть от неизвестно кого тут не будут.

Добавлено через 39 секунд
особенно с таким никомBig Grin

Во первых :

1. Там исходный код который нельзя "инфицировать" в прямом смысле
2. Если бы были бэкдоры в самом коде,их можно найти и удалить (Их там нету)




Big Grin
Ответ
#4
Эточтолилучшебудет Big Grin
Ответ
#5
KilRoy Написал:Эточтолилучшебудет Big Grin

Нет,по сравнению с настоящими "крутыми" руткитами и буткитами оба говно.

Это SSDT Хуки в 0 Кольце...:redlol:



Ну нормальный Руткит в 0 кольце реализовать очень трудно,во первых надо писать собственный драйвер,во вторых надо найти метод внедрения драйвера в систему (Обойти Защиту "Driver Sign" )

Что как бы стоит дофига и в паблик выкладывать не будут. Пример - Царбер Буткит (20 000$ основные модули - Буткит неизвестно,около 40к наверное)


Реализация БУТКИТА это вообще...пиз**ц.

1. Надо внедрить 16 битный ASM код в MBR (Master Boot Record)
2. Найти уникальный метод для перехода на следующую стадию (Real Mode Switсh и тд)
3. Затем подгрузка 32 битного ASM кода , который в свою очередь подгружает уникальный драйвер в Ring0 при инициализации ОС Windows.
4. После загрузки Драйвер исполняет основную работу Буткита (Является полностью неуловим)

Фактически Буткит грузится до инициализации операцинной системы. Такая фигня стоит огого. Особенно хорошо написанный.

В Ring0 кольце Малварь может делать ВСЕ что ему пожелается..и даже таким крутым как "Kaspersky" часто поджигают анал. К примеру во время процветания TDL4 , У Кисовцев попки ужасно подгорели над его устранением.

В основном касперский проводит Hook всех API которые используют всякие НЕДО-Боты школоты (WriteProcessMemory, URLDownloadtoFileA (URLMon.DLL) , другие функции kernel32.dll, ntdll.dll )

Обойти каспера и его проактивку очень трудно,если ты сидишь в usermode.

Для средне-статистической малвари хорошего качества достаточно лишь Ring3 Руткита/System WIDE иньекции . Буткиты в основном для банковских троянов и тд,а цены для очень богатых "Кардеров".




так что довольствуйтесь тем что есть. Нубасики :loltt0:
Ответ
#6
Автор(я) чайка. Big Grin


Забыл добавить,мб скоро открою что-то вроде дневника вирусологии для нубов (термины,принципы и тд, надеюсь людям будет интересно получить знания и дальнейшее развитие).
Ответ


Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)