Conseguir permisos de system

Iniciado por patilanz, 27 Septiembre 2014, 00:24 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

patilanz

27 Septiembre 2014, 00:24 AM
Hola estoy probando una cosa, un experimento y quiero para mi antivirus avg 2015 pero esta claro que no me deja así de simple. Con permisos de administrador y TerminateProcess() en windows no lo consigo. Ahora supongo que con permisos de system si se cerrara. Se que los antivirus utilizan métodos de rootkit para evitar que pasen estas cosas o me equivoco? Si es así como se cierra y como consigo permisos system si se puede?

Saludos

Shout

#1
27 Septiembre 2014, 02:23 AM
Una palabra: ring0
I'll bring you death and pestilence, I'll bring you down on my own

x64core

#2
27 Septiembre 2014, 03:14 AM
Cita de: patilanz en 27 Septiembre 2014, 00:24 AM
Hola estoy probando una cosa, un experimento y quiero para mi antivirus avg 2015 pero esta claro que no me deja así de simple. Con permisos de administrador y TerminateProcess() en windows no lo consigo. Ahora supongo que con permisos de system si se cerrara. Se que los antivirus utilizan métodos de rootkit para evitar que pasen estas cosas o me equivoco? Si es así como se cierra y como consigo permisos system si se puede?

Saludos

Para terminar Antivirus desde modo usuario que usen auto protección con un driver las unicas maneras son por medio de alguna llamada del sistema que no sea monitorizada por este o mediante una vulnerabilidad ya sea en el Antivirus o en el SO.

patilanz

#3
28 Septiembre 2014, 20:36 PM
Para ring0 seria hacer lo como un driver no?

Para saber la función del sistema que no es monitorizada seria probando ?
Luego para vulnerabilidad no se tanto para poder encontrar, pero en internet supongo que habrá información pero esto me lo tomo como alternativa.

Shout

#4
29 Septiembre 2014, 14:03 PM
Cita de: patilanz en 28 Septiembre 2014, 20:36 PM
Para ring0 seria hacer lo como un driver no?

Para saber la función del sistema que no es monitorizada seria probando ?
Luego para vulnerabilidad no se tanto para poder encontrar, pero en internet supongo que habrá información pero esto me lo tomo como alternativa.
Haz un driver, es lo más fácil.
Aunque si piensas usarlo como RAT o algo así, te va a costar, ya que para instalar un driver hace falta confirmación del usuario.
I'll bring you death and pestilence, I'll bring you down on my own

x64core

#5
28 Noviembre 2014, 17:43 PM
Cita de: patilanz en 28 Septiembre 2014, 20:36 PM
Para ring0 seria hacer lo como un driver no?

Para saber la función del sistema que no es monitorizada seria probando ?
Luego para vulnerabilidad no se tanto para poder encontrar, pero en internet supongo que habrá información pero esto me lo tomo como alternativa.
Ya que hasta ahora (Windows10) sólo hay una llamada del sistema creada para cerrar procesos ( TerminateProcess/NtTerminateProcess), no hay una solución en general sino el proposito de un AV no tendria sentido.
- Cargando un driver: la carga de driver los interceptadas por AVs (x86); en x64 está el PG, UEFI el cual se ha venido mejorando de versión a version.
- Exploit: Una vez que sea reportada a microsoft, adios a tu solución todo el trabajo sólo para terminar un miserable AV como AVG.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario