elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
24 Mayo 2012, 19:01  


Tema destacado: Sigue las noticias más importantes de elhacker.net en ttwitter!

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  TDL3 Anti-Hook detection		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: TDL3 Anti-Hook detection  (Leído 1,428 veces)
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.210


Como no sabían que era imposible, lo hicieron...


Ver Perfil
TDL3 Anti-Hook detection
« en: 23 Febrero 2010, 13:08 »
Interesante:

Código:
http://blog.s21sec.com/2010/02/tdl3-anti-hook-detection.html
« Última modificación: 23 Febrero 2010, 15:49 por Karcrack » En línea
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.190


Se siente observado ¬¬'


Ver Perfil
Re: TDL3 Anti-Hook detection
« Respuesta #1 en: 23 Febrero 2010, 15:49 »
Muy buenos enlaces Kamsky! :D
Pero recuerda ponerlos entre etiquetas CODE ;)
En línea
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: TDL3 Anti-Hook detection
« Respuesta #2 en: 23 Febrero 2010, 17:58 »
Utiliza irp hooking de toda la vida, esto es facilmente detectable. lo que las herramientas de seguridad quizas no lo contemplan.
En línea
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.271



Ver Perfil WWW
Re: TDL3 Anti-Hook detection
« Respuesta #3 en: 23 Febrero 2010, 20:08 »
Cita de: ctlon en 23 Febrero 2010, 17:58
Utiliza irp hooking de toda la vida, esto es facilmente detectable. lo que las herramientas de seguridad quizas no lo contemplan.

Bueno, en realidad no lo detectan porque saltan dos veces, la primera dentro del "rango" del driver victima (ya que no sale, no detecta hook) y luego salta a su propio código.

Citar
... las herramientas antirookit incorporan su detección para seguir hooks en apis en ring3 o ring0 pero no ha sido empleado para seguir hooks en las dispatch routine.

Creía que hacían eso siempre (con ais y con IRP's). Aunque, a mi parecer, es una técnica algo vieja, no se como a EP_X0FF se le pudo pasar eso  :-\

Se agradece el artículo  :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
detection
Hacking Wireless 		mariosky63 0 757 Último mensaje 17 Octubre 2011, 14:45
por mariosky63
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines