elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
24 Mayo 2012, 15:17  


Tema destacado: Nueva página de elhacker.net en Google+ Google+

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  PROACTIVA de Kaspersky		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: PROACTIVA de Kaspersky  (Leído 1,840 veces)
3an71n

Desconectado Desconectado

Mensajes: 31


Ver Perfil
PROACTIVA de Kaspersky
« en: 7 Octubre 2009, 21:31 »
Buenas  a todos. LLevo como cosa de un mes trabajando en mis ratos libres en un pequeño proyecto de rootkit-keylogger en C++.
Si bien las firmas ni la heuristica de los antivirus son un problema, el problema me surge al hacer que mi programa quede indetectable ante ciertas defensas como la PROACTIVA de kaspersky.

Por si alguien no lo sabe este tipo de defensas crean hooks en las apis a niver KERNEL.
Y aqui reside mi principal problema, ya que me es imposible por el momento por mas que he intentado, burlar esta defensa para poder instalar en el equipo de pruebas (en el que dispongo corriendo Windows Vista y el susodicho kaspersky) mis propios hooks y es que tiene un monton de apis pilladas.

Bueno pues eso es todo, estaria super agradecido si alguien pudiese minimamente orientarme o si supieran algo sobre apis "no hookeadas" por kaspersky , o cualquier tipo de engines de keyloggers que a dia de hoy no sean detectados por estas soluciones de seguridad, asi como cualquier tipo de informacion relacionada con el tema.

Un saludo a todos. :D
En línea
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.271



Ver Perfil WWW
Re: PROACTIVA de Kaspersky
« Respuesta #1 en: 7 Octubre 2009, 21:34 »
puedes extraer la dirección real de la API desde Ring 3, luego la pasas a Ring0 y trabajas con la API normalmente, siempre apuntando a la dirección correcta....también puedes reparar la SSDT y luego, una vez reparada, hookear....

Que versión del KAV es??

Un Saludo  :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
3an71n

Desconectado Desconectado

Mensajes: 31


Ver Perfil
Re: PROACTIVA de Kaspersky
« Respuesta #2 en: 7 Octubre 2009, 21:45 »
Muchas gracias Hendrix por esa rapidez al contestar :D.

Sí, eso fue lo que se me paso por la cabeza en un principio e incluso anoté la direccion de algunas apis y todo. :) , el problema es k si no me equivoco el enlace de kaspersky es a las apis primitivas (ntdll.dll,etc..) y a nivel kernel asi que no sé si será posible, te agradeceria un  monton si me puedes aclarar este asunto.

Sobre el tema de la tabla de descriptores ¿seria posible meterle mano a nivel usario?? En este aspecto es que estoy un poco verde...


Un saludo y muy buenos por cierto los manuales y documentacion que tienes por el foro.  ;-) Espero terminar pronto este tema y poder subir el codigo en modo de manual "como se hizo". Xdddd  ;D
En línea
3an71n

Desconectado Desconectado

Mensajes: 31


Ver Perfil
Re: PROACTIVA de Kaspersky
« Respuesta #3 en: 7 Octubre 2009, 21:47 »
PD: la version de kaspersky es la ultima (kaspersky internet security 2010) .  ;)
En línea
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.271



Ver Perfil WWW
Re: PROACTIVA de Kaspersky
« Respuesta #4 en: 7 Octubre 2009, 22:03 »
Aqui tienes un ejemplo de como sacar las direcciones de la SSDT desde Ring3:

http://www.rootkit.com/newsread.php?newsid=176

Cita de: 3an71n en  7 Octubre 2009, 21:45
si no me equivoco el enlace de kaspersky es a las apis primitivas (ntdll.dll,etc..) y a nivel kernel asi que no sé si será posible, te agradeceria un  monton si me puedes aclarar este asunto.

Evidentemente estos hooks son a nivel de Kernel....tendras que cargar un driver para reparar la SSDT (y el KIS detecta la carga de drivers creo  :-\). En Ring3 creo que no se puede hacer....

Un Saludo  :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
3an71n

Desconectado Desconectado

Mensajes: 31


Ver Perfil
Re: PROACTIVA de Kaspersky
« Respuesta #5 en: 7 Octubre 2009, 22:21 »
Gracias de nuevo Hendrix, le estoy echando un vistazo al codigo de rootkit. Ya te contaré que tal.

Un saludo  :D
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines