Userland Rootkit test [Source]

Iniciado por cobein, 7 Agosto 2008, 18:52 PM

0 Miembros y 1 Visitante están viendo este tema.

cobein

Bueno aca les dejo algo que estaba haciendo para como se dice por aca "sacarme la leche", es un pseudo rootkit que se inyecta y hookea la API MessageBoxW, el ejemplo se inyecta en el notepad y "consume" los messagebox como por ejemplo al querer reemplazar un archivo, pueden usar ProcessExplorer para ver la libreria en memoria y DebugView para ver las llamadas a la API.

El ejemplo es muy basico pero funciona correctamente, hay incluida una version compilada para los que no saben como hacerlo.... no hay mucho mas para decir.

Descarga: http://www.uploadsourcecode.com.ar/d/lNS2csLimZ1aQwIb5U6MryTxW0Wk6Ost
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

‭‭‭‭jackl007

bien, hace tiempo estaba buscando algo como esto para estudiarlo.  >:D

Hendrix

En el subforo de seguridad hay una chincheta con un programa mio que lo que hace es detectar estos tipos de hooks y los repara, estaria bien que en tu Dll verifique eso (que la dirección sea la tuya y no la original).

Un Saludo  :D
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

cobein

Es buena idea Hendriҳ , este ejemplo esta muuuy crudo, pero lo voy a implementar cuando haga algo mas decente,  la verdad me dio muchos dolores de cabeza hacer andar esto.

Gracias por el dato!
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.