Mensajes

ajajajaj p**a degeneración chaval, Mallorca capital del herpes, talco y tecno pop.

Buenas SARGE553413,

Puede que estés trabajando con un proyecto de consola y no tengas agregada la referencia a System::Windows::Forms por defecto.

En tal caso tienes que agregar la referencia al proyecto mediante el asistente ya que te permite buscar la librería en una lista de namespaces del Framework de .NET. Si tienes el Framework y VS no es necesario que descargues ese tipo de librerías.

http://msdn.microsoft.com/es-es/library/wkze6zky.aspx

Saludos.

El proceso es el siguiente:

1. Se genera una IRQ en un proceso que responde a un evento (ej: pulsación de una tecla).
2. Al haberse generado una interrupción sucede un cambio de contexto (cambio de modo Usuario a Kernel).

3. La IRQ es procesada por el OS. Se busca la función que maneja la pulsación de la tecla en una tabla de rutinas (IDT) de interrupción.
En la IDT no solo residen rutinas para manejar Interrupciones Hardware (IRQ) si no también Interrupciones Software.

4. Se ejecuta dicha rutina en modo Kernel para procesar la IRQ.
5. Al finalizar se devuelve el control al contexto que generó la IRQ.

Obviamente el código que reside en esas rutinas se puede alterar, interceptar etc es lo que hacen los rootkit, pero necesitas estar en ring0.

Si te interesa lee un poquillo sobre el tema, aquí te dejo + info -> http://wiki.osdev.org/Interrupts

Saludos!

Piensa que el hardware necesita ser accedido por la parte lógica del sistema, para ello los OS utilizan drivers (controladores de dispositivos), los cuales completan una interfaz de comunicación para el envio o recibimiento de datos. Obviamente el Kernel se ocupa de gestionar dichos accesos.

No te voy a liar simplemente cuando una IRQ sucede se cambia de modo usuario a supervisor (Kernel) y se busca la función de interrupción correspondiente a la IRQ. Si pulsas una tecla, se genera una IRQ y se llama a la rutina X que pertenece al driver Y.

Todas esas rutinas se generan al cargar el Kernel del sistema, todas ellas en la IDT (Interrupt Descriptor Table).

Saludos.

Buen aporte EleKtro, estaría bien que añadieses las siguientes cosas:

• Autoarranque al logear el usuario.
• Menú contextual "subir imagen" al hacer click derecho sobre un archivo.

• Icono en el área de iconos del sistema.

• Menú en el icono del área de iconos del sistema, para un acceso rapido.

Saludos!

Buenas tardes Doddy,

Gracias por compartirlo, a todo esto, te leo desde hace mucho tiempo y sé que sueles publicar muchas tools básicas en lenguajes de scripting. Me refiero a que siempre publicas algo nuevo y dejas de lado lo anterior, ¿no se te ha ocurrido hacer una suite donde tengas todas las tools? Yo me la descargaría si pulieras y le añadieras más funcionalidad a este code

Un saludo y esperemos volverte a ver por aquí.

Lo he visto en las noticias panda de incompetentes y enchufados, huele muy mal llevamos asi mucho tiempo y empieza a salir la verdad a la luz.

O se reciclan o a la p**a calle.

Saludos!

Cheat Engine es perfecto para encontrar punteros a las funciones o bien las direcciones reales en el mejor de los casos (estas últimas están marcadas en verde).

Si quieres leer un integer de x memory address utilizaras la API ReadProcessMemory pasandole el Process Handle del juego, especificando la dirección de memoria donde empiezas a leer y el número de bytes a leer (offsetting). Más info aquí es una función muy simple y fácil de usar así como divertida

http://msdn.microsoft.com/en-us/library/windows/desktop/ms680553(v=vs.85).aspx

Implementando inline Hooking o IAT puedes interceptar las llamadas a las funciones que tu quieras yo lo conseguí en Firefox e IE para ver el contenido de las peticiones SSL (HTTPS) antes de que los datos se cifraran, y bueno muchas mas cosillas. Para leer direcciones de memoria tendras que hacer reversing pero para ello no necesitas estar en el mismo espacio de memoria del proceso victima por ejemplo ReadProcessMemory utiliza el Process Handle para situarse en el espacio de memoria del proceso destino. Eso si cuidado con ASLR.

Saludos

Muchas gracias a los dos por contestar y por aportar este material tan valioso, os lo agradezco.

Hace tiempo que llevo experimentando en VMs el como ganar privilegios de forma casera, es decir, utilizando las propias herramientas del OS. Encontré varias cosillas que me permitían lidiar con toda la seguridad el sistema, eran indirectas, dependían del usuario, pero al final lograba mi cometido (SYSTEM).

Esto sinceramente es la bomba, sin problemas el código se entiende de maravilla. Lo más apropiado seria DLL Hijacking alterando el árbol de búsqueda de dependencias o bien reemplazando la DLL, como comentas Karcrack, así nos aseguramos de que siempre se ejecuta nuestro código aunque existen varias contramedidas fáciles de implementar contra este tipo de situaciones.

Supongo que inyectarias código en un proceso que se auto eleve para sobreescribir la DLL de OTRO proceso  no iniciado en este instante (ya que las DLL del servicio actual estarían en uso). Y acto seguido iniciarias el servicio en el cual sustituiste la dependencia. ¿Qué tal lo ves?

Se me ocurre otra: ¿Podría reiniciar el proceso  y dormir sus subprocesos/hilos en el arranque? ¿De esa forma podrías sobreescribir la DLL?

Sólo falta decir que con schtask te elevas a SYSTEM teniendo privilegios de Admin, por lo que alguno se iria al kernel land  

Gracias amigos por vuestra ayuda,

Saludos!