Ocultar IP a herramientas de Administracion de Redes

Iniciado por el_trocha, 31 Diciembre 2010, 17:51 PM

0 Miembros y 2 Visitantes están viendo este tema.

el_trocha

Hola gente.....

Alguien sabe como ocultar la conexion establecida en un determinado puerto a las herramientas de administracion de redes tipo NETSTAT.

Me gustaria poder ocultar la conexion que hace mi trojan ya que usando el NOIP no se arregla este problema,al tener que asociar una ip al dns.

Si alguie  sabe como seria genial. Hayyyy y se de sobra los comandos del netstat para ocultar una determinada conexion.

Lo que pregunto es si hay algun metodo de acceder a las apis del sistema y poder modificar las llamadas a las apis que utilizan estos programas para modificar la informacion que retornan a las funciones que las llaman.

Un saludo.

winroot

Buenas !
Si no me equivoco, esto debería ir en análisis y diseño de malware.
Sobre el post, podés remplazar netstat.exe (solución simple y mala ).
Por otra parte, si no me equivoco, podés ocultar conexiones usando un rootkit (usando api hooking ).
Un abrazo
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

el_trocha

El problema de los rootkits es que son harto conocidos y por lo tanto son detectadisimos por los AV.

Mi idea era poder programarlo yo y por eso necesitaba que alguien me orientara en la programacion.

Un saludo.

winroot

Buenas !
Te repito la respuesta.
1: esto no debería estar aquí
2: lee sobre api hooking.
Un abrazo
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Karcrack

#4
La unica forma de hacerlo es interceptando el proceso con un Hook... o bien puedes hacer un Hook a ciertas APIs o la forma mas sencilla, reemplazar el netstat original con uno que filtra los resultados:


  • 1. Programas una aplicacion de consola que ejecute netstat con los parametros que esta ha recibido... Y despues en el resultado del netstat se filtra lo que tu quieras
  • 2. Renombras el netstat original como te de la gana
  • 3. Renombras la aplicacion de consola que creaste como netstat (Evidentemente ha de estar en %SYSTEM32%)

Ahora cuando un usuario haga p.e netstat -ano tu aplicacion interceptara esta llamada, y la redireccionara al original que has renombrado... y de lo que el netstat original le devuelva filtra lo que le da la gana y muestra los datos ya filtrados :)

Ademas de ser la forma mas sencilla es la mas cutre :P Ya que ademas de tener que trabajar sobre ficheros en %SYSTEM32% cualquier otra aplicacion que liste las conexiones se saltara tu "filtro"

Espero haber sido claro ;)

Luego puedes hacerlo de la forma guay ::) Te dare una pistita :P : Image File Execution Options :) :)

Feliz Añoo! :D

Garfield07



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

Karcrack

La pistilla es la forma avanzada... y tampoco me gusta darlo todo hecho... asi que a partir de ese dato hay que investigar :D

Garfield07

Bueno, sera pork no tengo mucha idea de eso xD...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

Space.Medafighter.X

#8
Cuando se trata de aplicaciones ejecutadas en línea de comandos, es un desperdicio el reemplazar el ejecutable de netstat, que posiblemente mostraría el típico mensaje de Windows cuando una de sus aplicaciones ha sido reemplazada por "versiones desconocidas". Si bien es cierto que lo óptimo seria el uso de Hooks, existe otra alternativa, aunque sólo aplicable si netstat es ejecutado desde el intérprete de comandos.

La solución consistiría en agregar en "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" un valor alfanumérico llamado "AutoRun" y hacer un doskey de la siguiente forma : [poc]@doskey netstat.exe=filtro[/poc], otra solución, si no se especifica la extensión del ejecutable, sin recurrir a "doskey", es crear un nestat.com en system32, para que cuando se ejecute "netstat", se ejecute nuestro .com.

A todo esto, http://www.osix.net/modules/article/?id=781