[DUDA] Procesos Persistentes

Iniciado por HJZR4, 11 Enero 2008, 10:59 AM

0 Miembros y 2 Visitantes están viendo este tema.

Freeze.

Cita de: Tughack en 12 Enero 2008, 00:24 AM
Cita de: ►Freeze en 12 Enero 2008, 00:23 AM
Ahi dios mio esto es muy facil. Tughack lo dijo todo (De hecho tampoco es nuevo) pero es bueno ;)

Solo no es nuevo el tema...

Exacto y yo ahora tengo un proceso persistente aca que lo cierro y se abre todo porque les iba a mostrar el code pero luego quedaban ciegos...

Tughack

Citar
Exacto y yo ahora tengo un proceso persistente aca que lo cierro y se abre todo porque les iba a mostrar el code pero luego quedaban ciegos...

Lo dudo xD

salu2

???

Cita de: Hendriҳ en 11 Enero 2008, 12:15 PM
O llamando a tu archivo services.exe

Un Saludo  ;)

Ah??   :o

Esta info me la perdi... es decir que si yo creo un programa con VB y lo nombro "services" no va a dejar de ejecutarse??

es decir... el metodo de Controlarlo con otra aplicación o el de llamarlo de nuevo al ejecutarse un unload ya lo sabia...

pero nombrarlo "services"? tan facil como eso para mantenerlo vivo??  :o
O debo hacer algo extra???

Tughack

Cita de: Otto VanHackman en 12 Enero 2008, 00:37 AM
Cita de: Hendriҳ en 11 Enero 2008, 12:15 PM
O llamando a tu archivo services.exe

Un Saludo  ;)

Ah??   :o

Esta info me la perdi... es decir que si yo creo un programa con VB y lo nombro "services" no va a dejar de ejecutarse??

es decir... el metodo de Controlarlo con otra aplicación o el de llamarlo de nuevo al ejecutarse un unload ya lo sabia...

pero nombrarlo "services"? tan facil como eso para mantenerlo vivo??  :o
O debo hacer algo extra???

Para k sea interminable si... solo eso, aun te recomiendo k hagas lo k dije con el queryunload o sino tu makina no se apaga.

Salu2

PD: No se puede terminar con el taskmgr ni en el dos prompt. Pero puedes terminarlo con por ejemplo el task viewer del PEiD xD

???

Cita de: Tughack en 12 Enero 2008, 00:42 AM

Para k sea interminable si... solo eso, aun te recomiendo k hagas lo k dije con el queryunload o sino tu makina no se apaga.


Si la PC no se apaga creo que puedo utilizarlo para aquellas aplicaciones que no estan destinadas a ejecutarse en mi PC...  ;D

Salu2  ;)

Tughack

Se en el queryunload permites el unloadmode 2 ya se apaga el pc..

Salu2

~~

CitarExacto y yo ahora tengo un proceso persistente aca que lo cierro y se abre todo porque les iba a mostrar el code pero luego quedaban ciegos...

Freeze, sabemos q programas mal, pero hasta el punto de dejarnos ciegos  :xD :xD :xD no, es broma ;) ;) . Hacer un proceso inmortal no tiene mucho misterio, tenemos varias opciones:

- Hacer un vigia, q lo mas elegante es inyectarnos en el explorer por ejemplo y comprovar con mutex si el ejecutable está funcionando. Dejo un ejemplo mio en C, q paso de hacer estas cosas en VB, q es muy complicado:
https://foro.elhacker.net/index.php/topic,186943.0.html

- Renombrar el proceso

- O lo q ha dicho Tughack.

Citarsaludos amigos, bueno disculpen mi interrupcion, mi ignorancia, y el fastidios!xD pero bueno, me podrian explcar algito de como hacerlo, osea como aplicarselo a algun form de VB6, que veo que es algo interesante, y tengo ganas de aprender!.
El metodo que posteo TugHack eso es lo que se usa? y me podrian dar un ejemplito si pueden! undecided

Salu2's! 8)

Google + vbAppTaskManager =

'Ejemplo para usarlas:
Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
    'Sólo cerrar si es un mensaje de windows
    Select Case UnloadMode
    Case vbFormCode, vbAppTaskManager, vbAppWindows
        'ok, cerrar
    Case Else
        MsgBox "No se permite cerrar la aplicación.", vbInformation, "Mensajes"
        Cancel = True
        WindowState = vbMinimized
    End Select
End Sub


Y no se me ocurren mas metodos ahora mismo...
Salu2

Hendrix

Luego hay el metodo "profesional" que es desde Ring0, 2 opciones (que conozco), hookear la API que nos venga en gana para aprovecharnos o utilizar DKOM y eliminamos el proceso del Kernel. Eso se sale del VB, en VB no se puede llegar hay, pero seria lo mas profesional para realizar esta tarea  :)

Lo del services.exe no estoy seguro, pero creo que es porque el Windows a la hora de sacar el pid del proceso saca el del proceso del sistema llamado services y no lo cierra al ser un proceso de sistema, lo mismo pasa si lo renombras a smss.exe, csrss.exe.....Y lo que hace el proces explorer por ejemplo es matar el pid correcto, por eso se puede finalizar desde el proces explorer. No estoy seguro, pero creo que es asi.

Un Saludo  :)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

Mad Antrax

Cita de: Hendriҳ en 12 Enero 2008, 02:36 AM
Lo del services.exe no estoy seguro, pero creo que es porque el Windows a la hora de sacar el pid del proceso saca el del proceso del sistema llamado services y no lo cierra al ser un proceso de sistema, lo mismo pasa si lo renombras a smss.exe, csrss.exe.....Y lo que hace el proces explorer por ejemplo es matar el pid correcto, por eso se puede finalizar desde el proces explorer. No estoy seguro, pero creo que es asi.

Exacto, llamar a un proceso services.exe consigues que no te cierren el proceso con las herramientas de Windows (TaskMngr, taskkill, etc...) pero con cualquier gestor de procesos podrán matarlo, como bien dicen con Process Explorer de Sysinternals lo haces sin despeinarte xD

Solución: Hooks a nivel de Kernel o Centinelas.
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

nhaalclkiemr

Cita de: Hendriҳ en 11 Enero 2008, 12:15 PM
O llamando a tu archivo services.exe

Un Saludo  ;)

Jaja de esto ya no me acordaba ;D ...pero esto es para evitar un taskkill o desde el taskmgr.exe...desde otras aplicaciones os lo pueden cerrar facilmente...

Tambien lo puedes llamar lsass.exe, csrss.exe, smss.exe o winlogon.exe  ;D

estuve mirando una cosa que me pareció curiosa...prové a renombrar el típico regedit.exe (quien no sabe que es :xD) a esos nombres...y lo que me pareció raro es que con lsass.exe de nombre la ventana era del estilo clásico...es decir...aparte del tema que todos dejan de ser vulnerables a ser cerrados con aplicaciones de Windows pork se ejecutan de diferente forma???

Provad vosotros...a por ejemplo renombrar el block de notas (notepad.exe) a lsass.exe y ejecutarlo...aparece con la ventana como si fuese el estilo clásico...solo con lsass.exe con services.exe o cualkier otro se ejecuta de una manera normal...

ya se que esto no parece importante pero me intriga que Windows ejecute de diferente forma sus aplicaciones dependiendo de...su nombre??? :huh: :huh:

Weno a ver si alguien sabe algo al respecto...

Y por cierto...lo de que un proceso vigile a otro no sirve tampoco de mucho pork si pogo un bucle que intente matarlos los dos (casi) al mismo tiempo ya os cerraría los dos...

Lo mejor son hooks (VB pienso que se queda corto para eso)...en C sería hacer un rootkit que hookee ZwOpenProcess si mal no pienso...

Otros métodos es por ejepmlo usar el método que usaba el troyano del Sub7 para iniciarse...que es facil de implementar...aunke tiene sus consecuencias...y weno más que un proceso persistente sería que se volvería a ejecutar cada vez que se abriese un archivo ejecutable...

Saludos ;)
StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%