С++ (Скрываем процесс на х64)

[Provokacia2]

http://www.herosh.com/download/10929453/hide.rar.html


Скачать сорцы

Компилер : Microsoft VS08 + X64CompilerTools

Описание :


Скрываем процесс в RING3 кольце (Usermode) , Hook API NtQuerySystemInformation.


мб и вам задротам полезно будет такие вещицы

[Mafio]

где ты увидел тут задротов?

п.с. скачивать какую то муть от неизвестно кого тут не будут.

Добавлено через 39 секунд
особенно с таким ником

[Provokacia2]

Цитата:

Сообщение от Mafio

где ты увидел тут задротов?

п.с. скачивать какую то муть от неизвестно кого тут не будут.

Добавлено через 39 секунд
особенно с таким ником

Во первых :

1. Там исходный код который нельзя "инфицировать" в прямом смысле
2. Если бы были бэкдоры в самом коде,их можно найти и удалить (Их там нету)

[KilRoy]

Эточтолилучшебудет

[Provokator3]

Цитата:

Сообщение от KilRoy

Эточтолилучшебудет

Нет,по сравнению с настоящими "крутыми" руткитами и буткитами оба говно.

Это SSDT Хуки в 0 Кольце...



Ну нормальный Руткит в 0 кольце реализовать очень трудно,во первых надо писать собственный драйвер,во вторых надо найти метод внедрения драйвера в систему (Обойти Защиту "Driver Sign" )

Что как бы стоит дофига и в паблик выкладывать не будут. Пример - Царбер Буткит (20 000$ основные модули - Буткит неизвестно,около 40к наверное)


Реализация БУТКИТА это вообще...пиз**ц.

1. Надо внедрить 16 битный ASM код в MBR (Master Boot Record)
2. Найти уникальный метод для перехода на следующую стадию (Real Mode Switсh и тд)
3. Затем подгрузка 32 битного ASM кода , который в свою очередь подгружает уникальный драйвер в Ring0 при инициализации ОС Windows.
4. После загрузки Драйвер исполняет основную работу Буткита (Является полностью неуловим)

Фактически Буткит грузится до инициализации операцинной системы. Такая фигня стоит огого. Особенно хорошо написанный.

В Ring0 кольце Малварь может делать ВСЕ что ему пожелается..и даже таким крутым как "Kaspersky" часто поджигают анал. К примеру во время процветания TDL4 , У Кисовцев попки ужасно подгорели над его устранением.

В основном касперский проводит Hook всех API которые используют всякие НЕДО-Боты школоты (WriteProcessMemory, URLDownloadtoFileA (URLMon.DLL) , другие функции kernel32.dll, ntdll.dll )

Обойти каспера и его проактивку очень трудно,если ты сидишь в usermode.

Для средне-статистической малвари хорошего качества достаточно лишь Ring3 Руткита/System WIDE иньекции . Буткиты в основном для банковских троянов и тд,а цены для очень богатых "Кардеров".




так что довольствуйтесь тем что есть. Нубасики

[Florentino]

Автор(я) чайка.


Забыл добавить,мб скоро открою что-то вроде дневника вирусологии для нубов (термины,принципы и тд, надеюсь людям будет интересно получить знания и дальнейшее развитие).