[POC] Kaspersky Killer

Littlehorse · 15 Abril 2009, 16:43 PM

Excelente

‭‭‭‭jackl007 · 15 Abril 2009, 19:49 PM

mi pregunta es donde has encontrado toda la informacion necesaria para la elaboracion del code?
como has estado investigando al kis?; porque esto parecia imposible de realizar en vb; y asombra, por eso lo digo...

invisible_hack · 15 Abril 2009, 19:58 PM

Citar
porque esto parecia imposible de realizar en vb; y asombra, por eso lo digo

Bueno, creo que precisamente eras tu el que tenias hace tiempo puesto en la firma (o en el texto personalizado, no sé) algo asi como "lo imposible es imposible hasta que alguien lo consigue", o algo que venia a significar lo mismo...asi que en este caso viene bien aplicar esa frase jeje

Una cosa es que no se pueda hacer y otra cosa es que se pueda hacer pero que nadie se hubiese tomado aún el tiempo necesario como para sacarlo ^^

Bueno, perdonen por este pequeño Off topic jeje, pero me pareció interesante recalcar eso, además VB es uno de los lenguajes en que se puede hacer casi todo lo imaginable, pero claro, todo depende del ingenio del programador.

P.D. si no fuiste tu el que tenias esa frase disculpa, pero sé que a alguien se la vi puesta hace tiempo

Saludos ^^

XcryptOR · 15 Abril 2009, 20:10 PM

mira muchos me dijeron que desde VB no era factible, que se necesitaba un driver en c corriendo en modo kernel en fin nadie confiaba que se pudiera eliminar al kasper desde modo usuario en vb, y como dice invisible_hack no hay cosas imposibles. fue dificil en especial lo del unhook de las apis como veran el modulo mas complejo y gracias a Iceboy por su code, magistral los creditos para el. muchas gracias a todos.

Arkangel_0x7C5 · 16 Abril 2009, 04:05 AM

muy buen code mi amigo XcryptOR

XcryptOR · 16 Abril 2009, 04:24 AM

Salio de nuestro laboratorio, jeje muchas gracias compañero

‭‭‭‭jackl007 · 16 Abril 2009, 04:30 AM

si no me equivoco creo que fue Hendrix quien dijo que no era posible (no recuerdo bien), Hendrix conoce bien el tema; al menos en la epoca en que lo dijo era imposible, ahora nos han demostrado que ya no lo es...
Yo no ando metido mucho en este tema, pero si lo dice un experto, hay que considerarlol...

Arkangel_0x7C5 · 16 Abril 2009, 12:11 PM

tan bien se podría escribir en la memoria del nucleo con create file a \.\PhysicalMemory y luego mapeandolo en memoria.

Saludos

Hendrix · 16 Abril 2009, 12:16 PM

Cita de: Arcangel_0x7C5 en 16 Abril 2009, 12:11 PM
tan bien se podría escribir en la memoria del nucleo con create file a \.\PhysicalMemory y luego mapeandolo en memoria.

Saludos

Exacto, es el unico metodo que conocia para escribir en el kernel en modo usuario....

http://archive.cert.uni-stuttgart.de/bugtraq/2004/02/msg00512.html

Citar
Tested systems
==============

Windows XP Pro SP1 with latest patches

It's likely that Windows 2003 also is vulnerable.

ZwSystemDebugControl(), exported from ntdll.dll, calls a Windows operating system function NtSystemDebugControl(). This function is executed in ring 0 (kernel mode) and is meant to be used by user mode debuggers having the SeDebugPrivilege privilege.

Distorsion · 16 Abril 2009, 17:24 PM

En nivel de seguridad tengo puesto: recomendado, y en caso de deteccion: preguntar por la acción.

Vamos una configuración bastante estandar, auque no se si es la que venia por defecto al instalarlo, puede que lo modificara.

Saludos.