Mostrar librerias cargadas en programa

Iniciado por Vaagish, 24 Abril 2014, 02:35 AM

0 Miembros y 1 Visitante están viendo este tema.

Vaagish

Esas son todas la funciones hookeadas por AV?

CitarNo veo nada interesante a ser restaurado o algo, tendrias que decirme a que te referis con ese 'funciona'?
Calculo que sera que funciona porque consigue una shell fuera del SandBox, acaso no puede escribir en el disco haciendo eso?  :huh:
Igual comparto que el método no es seguro.. pero es un método..

x64core

Por la Sandbox
Estos son los del kernel:

(32-bits)
Name                     Current Entry Hook Original Entry Module
NtAddBootEntry             0xB2A4CA9C ssdt hook 0x8060CB50 C:\WINDOWS\system32\drivers\aswSnx.sys
NtAssignProcessToJobObject 0xB2A4D57A ssdt hook 0x805CC8C4 C:\WINDOWS\system32\drivers\aswSnx.sys
NtClose                     0xB2A9185D ssdt hook 0x805B1C3A C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateEvent             0xB2A595C4 ssdt hook 0x80605124 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateEventPair         0xB2A59610 ssdt hook 0x8060D3C6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateIoCompletion     0xB2A597AA ssdt hook 0x8056DC5A C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateKey                 0xB2A91211 ssdt hook 0x8061A286 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateMutant             0xB2A59532 ssdt hook 0x8060D7BE C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateSection             0xB2A59654 ssdt hook 0x805A06EC C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateSemaphore         0xB2A5957A ssdt hook 0x8060B15A C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateThread             0xB2A4DAB0 ssdt hook 0x805C7208 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateTimer             0xB2A59764 ssdt hook 0x8060D08E C:\WINDOWS\system32\drivers\aswSnx.sys
NtDebugActiveProcess     0xB2A4E368 ssdt hook 0x80639A86 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDeleteBootEntry         0xB2A4CB02 ssdt hook 0x8060CB42 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDeleteKey                 0xB2A91F23 ssdt hook 0x8061A716 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDeleteValueKey         0xB2A921D9 ssdt hook 0x8061A8E6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDuplicateObject         0xB2A51B3C ssdt hook 0x805B384E C:\WINDOWS\system32\drivers\aswSnx.sys
NtEnumerateKey             0xB2A91D8E ssdt hook 0x8061AAC6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtEnumerateValueKey         0xB2A91BF9 ssdt hook 0x8061AD30 C:\WINDOWS\system32\drivers\aswSnx.sys
NtLoadDriver             0xB2A4C6EE ssdt hook 0x80579588 C:\WINDOWS\system32\drivers\aswSnx.sys
NtMapViewOfSection         0xB2D8467A ssdt hook 0x805A7480 C:\WINDOWS\system32\drivers\aswSP.sys
NtModifyBootEntry         0xB2A4CB68 ssdt hook 0x8060CB42 C:\WINDOWS\system32\drivers\aswSnx.sys
NtNotifyChangeKey         0xB2A51F32 ssdt hook 0x8061C44C C:\WINDOWS\system32\drivers\aswSnx.sys
NtNotifyChangeMultipleKeys 0xB2A4EE50 ssdt hook 0x8061B09C C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenEvent                 0xB2A595EE ssdt hook 0x80605224 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenEventPair             0xB2A59632 ssdt hook 0x8060D49E C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenIoCompletion         0xB2A597CE ssdt hook 0x8056DD32 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenKey                 0xB2A9156D ssdt hook 0x8061B658 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenMutant             0xB2A59558 ssdt hook 0x8060D896 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenProcess             0xB2A51436 ssdt hook 0x805C1296 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenSection             0xB2A596E2 ssdt hook 0x8059F722 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenSemaphore             0xB2A595A2 ssdt hook 0x8060B254 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenThread             0xB2A5181E ssdt hook 0x805C1522 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenTimer                 0xB2A59788 ssdt hook 0x8060D1B0 C:\WINDOWS\system32\drivers\aswSnx.sys
NtProtectVirtualMemory     0xB2D8441E ssdt hook 0x805ADA08 C:\WINDOWS\system32\drivers\aswSP.sys
NtQueryKey                 0xB2A91A74 ssdt hook 0x8061B97E C:\WINDOWS\system32\drivers\aswSnx.sys
NtQueryObject             0xB2A4ECC4 ssdt hook 0x805BB04C C:\WINDOWS\system32\drivers\aswSnx.sys
NtQueryValueKey             0xB2A918C6 ssdt hook 0x806184BE C:\WINDOWS\system32\drivers\aswSnx.sys
NtQueueApcThread         0xB2A4E81A ssdt hook 0x805C7466 C:\WINDOWS\system32\drivers\aswSnx.sys
NtRenameKey                 0xB2D923D8 ssdt hook 0x80619CA8 C:\WINDOWS\system32\drivers\aswSP.sys
NtRestoreKey             0xB2A90857 ssdt hook 0x8061BC3E C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetBootEntryOrder         0xB2A4CBCE ssdt hook 0x8060CB50 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetBootOptions         0xB2A4CC34 ssdt hook 0x8060CB50 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetContextThread         0xB2A4E1E2 ssdt hook 0x805C792A C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetSystemInformation     0xB2A4C788 ssdt hook 0x80605E76 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetSystemPowerState     0xB2A4C95A ssdt hook 0x80648DD6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetValueKey             0xB2A9202A ssdt hook 0x8061880C C:\WINDOWS\system32\drivers\aswSnx.sys
NtShutdownSystem         0xB2A4C8E8 ssdt hook 0x80609092 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSuspendProcess         0xB2A4E532 ssdt hook 0x805CACEA C:\WINDOWS\system32\drivers\aswSnx.sys
NtSuspendThread             0xB2A4E694 ssdt hook 0x805CAB5C C:\WINDOWS\system32\drivers\aswSnx.sys
NtSystemDebugControl     0xB2A4C9E2 ssdt hook 0x8060E1DA C:\WINDOWS\system32\drivers\aswSnx.sys
NtTerminateProcess         0xB2A4E020 ssdt hook 0x805C8C2A C:\WINDOWS\system32\drivers\aswSnx.sys
NtTerminateThread         0xB2A4E1C2 ssdt hook 0x805C8E24 C:\WINDOWS\system32\drivers\aswSnx.sys
NtVdmControl             0xB2A4CC9A ssdt hook 0x805F1502 C:\WINDOWS\system32\drivers\aswSnx.sys
NtWriteVirtualMemory     0xB2A4D5D6 ssdt hook 0x805A981C C:\WINDOWS\system32\drivers\aswSnx.sys


shadow:

Name                     Current Entry Hook   Original Entry Module
NtGdiAlphaBlend             0xB2A53BB8 inline hook 0xBF83B4CD C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiBitBlt                 0xB2A53828 inline hook 0xBF809FDF C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiCreateCompatibleDC     0xB2A53706 inline hook 0xBF80CF90 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiDeleteObjectApp     0xB2A536BA inline hook 0xBF8138FE C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiGetPixel             0xB2A53756 inline hook 0xBF87882D C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiMaskBlt             0xB2A5399E inline hook 0xBF838560 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiOpenDCW             0xB2A535AE inline hook 0xBF838A7E C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiPlgBlt                 0xB2A53A62 inline hook 0xBF9438F8 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiStretchBlt             0xB2A538E0 inline hook 0xBF873983 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiTransparentBlt         0xB2A53B10 inline hook 0xBF857D74 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserAttachThreadInput     0xB2A52CAE inline hook 0xBF8F4FC9 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserBlockInput         0xB2A52462 inline hook 0xBF9131E6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserBuildNameList         0xB2A52AAC inline hook 0xBF8B37FB C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserCallHwndParamLock     0xB2A522FA inline hook 0xBF82868B C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetAsyncKeyState     0xB2A52C72 inline hook 0xBF84928E C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetClipboardData     0xB2A526F6 inline hook 0xBF8F9709 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetKeyboardState     0xB2A52D68 inline hook 0xBF852720 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetKeyState         0xB2A52C90 inline hook 0xBF820E6C C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserOpenDesktop         0xB2A527D2 inline hook 0xBF8B3770 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserOpenInputDesktop     0xB2A52898 inline hook 0xBF88FFB6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserRegisterHotKey     0xB2A52D86 inline hook 0xBF8ADD61 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserRegisterRawInputDevices   0xB2A52BCC inline hook 0xBF915BA7 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSendInput             0xB2A524CA inline hook 0xBF8C31E7 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetClipboardViewer 0xB2A525AE inline hook 0xBF8F9489 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetSysColors         0xB2A52282 inline hook 0xBF912612 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetWindowsHookEx     0xB2A5207E inline hook 0xBF8527E0 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetWinEventHook     0xB2A51F68 inline hook 0xBF8ED991 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSwitchDesktop         0xB2A52A66 inline hook 0xBF890AD9 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSystemParametersInfo 0xB2A5219A inline hook 0xBF81E743 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserUnregisterHotKey     0xB2A52E30 inline hook 0xBF9128BE C:\WINDOWS\system32\drivers\aswSnx.sys


Además de varias callbacks  de notificación para procesos, hilos, modulos, apagado y drivers de tipo filtro en el Filesystem, Ndis.

Vaagish

CitarCalculo que sera que funciona porque consigue una shell fuera del SandBox, acaso no puede escribir en el disco haciendo eso?  :huh:
Igual comparto que el método no es seguro.. pero es un método..
Me cito a mi mismo para corregirme, ese método no es funcional, o ya no.. la shell se ejecuta en sandbox..

Parece que no escatima en hook's el AV.. esto pone las cosas a otro nivel, (del cual me falta mucho aprender  :¬¬ )

Para deshookear en Ring0, hay que estar en Ring0, no?

Para cerrar el programa programa si estamos en SB, tiene que ser mas sencillo.. Vi unos ejemplos que usan los ciclos de algunas instrucciones (o el tiempo que demoran, algo asi..) pero no me pareció viable..
Alguna idea? Quizás leer el registro? No se podrá leer la clave que indica que sandbox esta activado? (Si la hay..)

Karcrack

Cita de: x64Core en 25 Abril 2014, 20:57 PM
Me pregunto si ese scriptkiddie americano hizo todo ese
analisis o sólo se le ocurrio joder en NTDLL...
Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo.

Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel.

La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...

Arkangel_0x7C5

Citar
Advertencia - mientras estabas leyendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
Cita de: Vaagish en 26 Abril 2014, 00:20 AM
Para deshookear en Ring0, hay que estar en Ring0, no?
No necesaria mente, si abres el dispositivo de la memoria fisica, la ram. podrias escribir en Ring 0 estando en Ring 3

Saludos

x64core

Cita de: Karcrack en 26 Abril 2014, 16:03 PM
Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo.
Lo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl.
Ese tipo que ha programado un bootkit puro copy-paste de carberp + StBt Framework y ahora piensa que es un hacker de elite,
por favor... La gente que no sabe del tema es claro que lo piensa pero los que sabemos de eso, sabemos que es un scriptkiddie.


Cita de: Karcrack en 26 Abril 2014, 16:03 PM
Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel.

La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...

Cita de: Arkangel_0x7C5 en 26 Abril 2014, 16:07 PM
No necesaria mente, si abres el dispositivo de la memoria fisica, la ram. podrias escribir en Ring 0 estando en Ring 3

Saludos
No precisamente, esa fue una vulnerabilidad/Caracteristica que Windows parcheo hace mucho tiempo y no funciona más desde Windows XP + SP3.
La unica manera es otra vulnerabilidad o un Driver pero si se tiene un driver para que restaurar los hooks? Bueno si se tiene una aplicación para Ring3.


Karcrack

Cita de: x64Core en 26 Abril 2014, 16:57 PM
Lo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl.
Ese tipo que ha programado un bootkit puro copy-paste de carberp + StBt Framework y ahora piensa que es un hacker de elite,
por favor... La gente que no sabe del tema es claro que lo piensa pero los que sabemos de eso, sabemos que es un scriptkiddie.
;-) Se ve que sabes quién es ese americano y pasas horas con él en IRC :)

Me resulta curioso que siempre acabas usando argumentos ad hominem :silbar: Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.

x64core

Cita de: Karcrack en 26 Abril 2014, 17:07 PM
;-) Se ve que sabes quién es ese americano y pasas horas con él en IRC :)
Yo lo sé, puedo apostar mucho, o te referis a eso que ha dicho que es ruso? Yo sé que es americano ( Norteamericano ).

Cita de: Karcrack en 26 Abril 2014, 17:07 PM
Me resulta curioso que siempre acabas usando argumentos ad hominem :silbar: Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.
Lo he hecho pero no como x64Core :)

Arkangel_0x7C5

Cita de: x64Core en 26 Abril 2014, 16:57 PM
No precisamente, esa fue una vulnerabilidad/Caracteristica que Windows parcheo hace mucho tiempo y no funciona más desde Windows XP + SP3.
La unica manera es otra vulnerabilidad o un Driver pero si se tiene un driver para que restaurar los hooks? Bueno si se tiene una aplicación para Ring3.
Yo sabia que lo había visto hacer hace tiempo.
Y el problema del driver reside en conseguir cargarlo, ya que ultimamente hay muchas trabas por parte del SO como que tengan que estar firmados. Y luego habrá que sumarle que el propio AV te deje realizar esa acción. yo tenia un driver que restauraba la SSDT

Saludos

Vaagish

Ya me había aburrido del tema,, porque siempre por un motivo o por otro terminan discutiendo al pedo.. por cualquier cosa se desvían del tema.. En fin.. solo queria aportar esto, (que a mi parecer es un fake terrible..)

[youtube=640,360]http://www.youtube.com/watch?v=RtVUyN2M158[/youtube]

Saludos!