Mensajes

Entendí la función fork.

De los enlaces de los rootkit no tengo las librerias que aparecen en los códigos son para linux.

Encontré esto para BSD.

Código [Seleccionar] Expandir

http://www.thc.org/root/docs/loadable_kernel_modules/openbsd-lkm.html

El último código me parece interesante.

Alex que te parecen estos libros?

Código [Seleccionar] Expandir

http://www.amazon.com/Designing-BSD-Rootkits-Introduction-Hacking/dp/1593271425

Código [Seleccionar] Expandir

http://books.google.es/books/about/The_Design_of_the_Unix_Operating_System.html?id=eWRCPgAACAAJ&redir_esc=y

¿Probaste armarla en C? En Assembly te vas a volver loco incluso para algo tan chiquito como eso si no estás acostumbrado a desarrollar sobre ese lenguaje.

Nota: Y perdés portabilidad

No estoy acostumbrado, tampoco tengo muchos conocimientos en ASM, pero C me parecio muy lioso al menos a mi cuando llegué al tema de los arreglos, y que ASM es mucho más directo que C, entiendo mejor el disassembler que el código de C en algunos casos xD.

En lo de la portabilidad tienes toda la razón, ya veré lo que pasa cuando tenga que hacer códigos más complejos que el de hay arriba.

El código de stackoverflow por lo que entiendo quiere "hookear" la syscall open la 5.

Pero no entiendo una vez que consigues la dirección que haces con ella?

Un saludo.

Gracias a los dos, voy a leer tranquilo toda esa información.

Un saludo.

Mira esta tabla:

Código [Seleccionar] Expandir

http://docs.cs.up.ac.za/programming/asm/derick_tut/syscalls.html

Verás que requiere lo que te dije anteriormente, para salir de dudas busca la syscall en syscall.h, hay te dira los arg que requiere.

Código [Seleccionar] Expandir

/usr/include/sys/syscall.h

El primero es el nombre del módulo creo, el segundo es la estructura te puedes guiar con las de mi código.

Un saludo.

Los argumentos de la syscall son un puntero a void, un unsigned long y un puntero a char. El unico que se para que sirve es el puntero a char, que son los argumentos que se le pasan al modulo.

La syscall init_module necesita dos argumentos un puntero a char y una estructura que es module si no me equivoco, tienes que rellenar la estructura y copiarla a %ecx creo.

En cuanto a lo de la backdoor me vendria genial ver ese codigo, me lio mucho con los sockets en ASM.

Código [Seleccionar] Expandir

http://foro.elhacker.net/unixunixlike/ocultar_procesos-t376125.0.html

Un saludo.

Gracias por contestar pensaba que nadie lo haría.

¿Toqueteando argv? si, ponele que es muy cutre ... pero hay gente que pisa el palito

Bueno seguro que los usuarios de Mac OS X caen  xD.

(Algo como lo segundo te interesaría en realidad, pero ahí ya hablamos de rootkit ... de una manera u otra necesitás ser root y los códigos son poco felices)

Hace dos dias que estoy con esto algo de esos códigos entiendo, puede que sea por que los dos somos poco felices  .

¿Hay alguna base por donde pueda empezar con los rootkit?

Sería genial ... se te puede corregir y enseñar mucho más si mostrás el código.

Código (asm) [Seleccionar] Expandir

.section .data
.equ puerto, 10

sockaddr_in:
sin_len:
   .byte 0
sin_family:
   .byte 0
sin_port:
   .word 0
sin_addr:
   .long 0
sin_zero:
   .byte 0,0,0,0,0,0,0,0

in_addr:
s_addr:
.long 0

sockdes:
.long 0
lonsock:
.long 0

.section .text
.globl _start
_start:

   leaq sockaddr_in, %r8

   movq $97, %rax       
   movq $2, %rdi
   movq $1, %rsi
   movq $6, %rdx
   int $0x80                 
   movq %rax, sockdes       

   movq $2, sin_family   
   movq $in_addr, sin_addr   
   movq $puerto, sin_port       

   movq $104, %rax         
   movq sockdes, %rdi
   movq %r8, %rsi
   movq $16, %rdx
   int $0x80                   

   pushq $1
   pushq sockdes
   movq $106, %rax     
   int $0x80                   
   addq $8, %rsp

   movq $30, %rax       
   movq sockdes, %rdi
   movq %r8, %rsi
   movq $lonsock, %rdx
   int $0x80                   

   xorq %rax, %rax           
   movq $1, %rax               
   int $0x80

No tiene ninguna función podría crear alguna con execve pero bueno, conecto con netcat.

Estoy pensando en meterle alguna shellcode, por ejemplo que desactive pf por que no me deja hacer nada xD, tambien que pueda cifrar la conexión o cosas así, a ver si puedo hacerlo.

Un saludo.

P.D: El código es muy básico, me diste una solución para ps, pero que pasa con netstat?

Hola

Voy a intentar ayudarte, veo algunas cosas mal.

Código (asm) [Seleccionar] Expandir


init:
xor eax,eax
or eax,80
add eax,48
push image
jmp n
m:
call init_module
jmp exit

n:
call m
name:
db "mylkm.o",0



section .bss

image: resb (tamanio de struct image)

No hace falta que incluyas ninguna libreria, ya tienes init_module en las llamadas al sistema la 128, cosa que haces con el or y el add, que no lo entiendo no es mejor con mov?

Requiere dos arg, el nombre y la estructura si no me equivoco, y tu metes uno en el stack.

Y en realidad tengo otro, y es que no se si tengo que rellenar la estructura o algo, no hay ejemplos ni nada, pero con eso ya me apaño.

¿Sabes rellenar una estructura en C?

Creo que es lo mismo.

Un saludo.

P.D: Hice algo parecido a una backdoor, tuve que rellenar la estructura sockaddr_in y la in_addr las quieres de ejemplo, o te quemas la cabeza tú solo?

[muy básica]

Hola

Voy al grano.

Tengo algo parecido a una backdoor, como un netcat, pero es "muy básica".

Cuando miro las conexiones activas hay aparece, y en ps también, la oculto cambiando el nombre por un proceso común, pero es muy cutre no?

Hay una práctica llamada "Hooking" si no me equivoco, pero todo es para windows, alguien puede echarme un cable para un unix-like?

Un saludo.

P.D: Muestro el código si alguien quiere.

En teoría.

Tcpdump es tú amigo.

Un saludo.

P.D: Dejarías log a la máquina servidor si el firewall tiene alguna política de log, o en el tuyo, en el caso que te dije yo.

Cuando utilizas el msn, skype etc... te conectas a sus servidores y dejas log, te refieres a eso?

Un saludo

Hola

Yo creo que si es más seguro.

si te comunicas de ip a ip

La función atomicio de netcat envia mensajes, como un "chat" y la conexión es directa, puedes probarlo a nivel local y exterior por supuesto.

Si quieres más seguridad tienes ssh, o si eres más paranoico crea un tunel con ipsec con cifrado AES de 256 bits con tú máquina y la otra.

Un saludo.