[POC] Kaspersky Killer

Iniciado por XcryptOR, 13 Abril 2009, 19:55 PM

0 Miembros y 1 Visitante están viendo este tema.

Littlehorse

An expert is a man who has made all the mistakes which can be made, in a very narrow field.

‭‭‭‭jackl007

mi pregunta es donde has encontrado toda la informacion necesaria para la elaboracion del code?
como has estado investigando al kis?; porque esto parecia imposible de realizar en vb; y asombra, por eso lo digo...

invisible_hack

Citar
porque esto parecia imposible de realizar en vb; y asombra, por eso lo digo

Bueno, creo que precisamente eras tu el que tenias hace tiempo puesto en la firma (o en el texto personalizado, no sé) algo asi como "lo imposible es imposible hasta que alguien lo consigue", o algo que venia a significar lo mismo...asi que en este caso viene bien aplicar esa frase jeje  :P

Una cosa es que no se pueda hacer y otra cosa es que se pueda hacer pero que nadie se hubiese tomado aún el tiempo necesario como para sacarlo ^^

Bueno, perdonen por este pequeño Off topic jeje, pero me pareció interesante recalcar eso, además VB es uno de los lenguajes en que se puede hacer casi todo lo imaginable, pero claro, todo depende del ingenio del programador.

P.D. si no fuiste tu el que tenias esa frase disculpa, pero sé que a alguien se la vi puesta hace tiempo  :xD

Saludos ^^
"Si no visitas mi blog, Chuck te dará una patada giratoria"

XcryptOR

#23
mira muchos me dijeron que desde VB no era factible, que se necesitaba un driver en c corriendo en modo kernel en fin nadie confiaba que se pudiera eliminar al kasper desde modo usuario en vb, y como dice invisible_hack no hay cosas imposibles. fue dificil en especial lo del unhook de las apis como veran el modulo mas complejo y gracias a Iceboy por su code, magistral los creditos para el.  muchas gracias a todos.  ;D ;D



Arkangel_0x7C5

muy buen code mi amigo XcryptOR

XcryptOR

Salio de nuestro laboratorio, jeje muchas gracias compañero



‭‭‭‭jackl007

si no me equivoco creo que fue Hendrix quien dijo que no era posible (no recuerdo bien), Hendrix conoce bien el tema; al menos en la epoca en que lo dijo era imposible, ahora nos han demostrado que ya no lo es...
Yo no ando metido mucho en este tema, pero si lo dice un experto, hay que considerarlol...

Arkangel_0x7C5

tan bien se podría escribir en la memoria del nucleo con create file a \.\PhysicalMemory y luego mapeandolo en memoria.

Saludos

Hendrix

Cita de: Arcangel_0x7C5 en 16 Abril 2009, 12:11 PM
tan bien se podría escribir en la memoria del nucleo con create file a \.\PhysicalMemory y luego mapeandolo en memoria.

Saludos

Exacto, es el unico metodo que conocia para escribir en el kernel en modo usuario....

http://archive.cert.uni-stuttgart.de/bugtraq/2004/02/msg00512.html

Citar
Tested systems
==============

Windows XP Pro SP1 with latest patches

It's likely that Windows 2003 also is vulnerable.


ZwSystemDebugControl(), exported from ntdll.dll, calls a Windows operating system function NtSystemDebugControl(). This function is executed in ring 0 (kernel mode) and is meant to be used by user mode debuggers having the SeDebugPrivilege privilege.

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

Distorsion

En nivel de seguridad tengo puesto: recomendado, y en caso de deteccion: preguntar por la acción.

Vamos una configuración bastante estandar, auque no se si es la que venia por defecto al instalarlo, puede que lo modificara.

Saludos.