elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Articulo interesante, saltarse hooks de la sdt.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Articulo interesante, saltarse hooks de la sdt.  (Leído 10,052 veces)
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Articulo interesante, saltarse hooks de la sdt.
« en: 12 Mayo 2010, 08:08 am »

Código:
http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

verificado, es super sencillo saltarse las restricciones.
« Última modificación: 12 Mayo 2010, 11:35 am por Karcrack » En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #1 en: 12 Mayo 2010, 11:35 am »

Muy buen enlace :D ;-) ;-)
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #2 en: 12 Mayo 2010, 13:08 pm »

Pero esto no es nuevo :P, lo bueno es que esta bien explicado

:http://www.eset.com/blog/2010/05/11/khobe-wan-these-arent-the-droids-youre-looking-for
:http://blogs.eset-la.com/laboratorio/2010/05/11/khobeterremoto-causado-caida-alfiler/

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #3 en: 12 Mayo 2010, 15:28 pm »

no claro que no, pero yo personalmente para ese uso no lo conocia. es super sencillo y efectivo ;).
En línea

dark_hat

Desconectado Desconectado

Mensajes: 185



Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #4 en: 12 Mayo 2010, 19:07 pm »

Si he entendido bien, el método consiste en que un hilo de ejecución secundario cambie los parámetros de una llamada al system después de que el AV los compruebe y antes de que se realice la verdadera llamada al sistema no hookeada no?
« Última modificación: 13 Mayo 2010, 00:41 am por dark_hat » En línea

Eso que huele es un poco de incienso,
eso marrón una tableta de turrón...
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #5 en: 12 Mayo 2010, 19:26 pm »

asi es. aqui dejo un pequeño ejemplo basandome en ese articulo de como burlar la proteccion de un software en modo kernel desde modo usuario http://www.sendspace.com/file/hyt16d

Solo hay que escribir el process id del proceso a testear, este tiene que estar bloqueando OpenProcess desde el kernel.
« Última modificación: 12 Mayo 2010, 19:58 pm por ctlon » En línea

Debci
Wiki

Desconectado Desconectado

Mensajes: 2.021


Actualizate o muere!


Ver Perfil WWW
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #6 en: 12 Mayo 2010, 22:24 pm »

WoW que bueno no tenia ni idea

Saludos  ;-)
En línea

dark_hat

Desconectado Desconectado

Mensajes: 185



Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #7 en: 13 Mayo 2010, 00:36 am »

Pero y digo yo, ¿cómo debe hacer el hilo que cambiará los parámetros para saber cuándo cambiarlos sin hacerlo ni antes de la comprobación del AV ni después de la system call?
« Última modificación: 13 Mayo 2010, 00:42 am por dark_hat » En línea

Eso que huele es un poco de incienso,
eso marrón una tableta de turrón...
isseu


Desconectado Desconectado

Mensajes: 325


°º¤ø,¸¸,El conocimiento es poder°º¤ø,¸¸,ø¤º°`°º¤ø,


Ver Perfil WWW
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #8 en: 13 Mayo 2010, 00:48 am »

Pero y digo yo, ¿cómo debe hacer el hilo que cambiará los parámetros para saber cuándo cambiarlos sin hacerlo ni antes de la comprobación del AV ni después de la system call?
Segun el texto lo hace hookeando el System Service Descriptor Table (SSDT). No se como, pero ponen algunos codigos por hay
En línea

bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Articulo interesante, saltarse hooks de la sdt.
« Respuesta #9 en: 13 Mayo 2010, 00:51 am »

por ejemplo yo lo hago de este modo, hago un bucle y dentro de el intento obtener un manejador con NtOpenProcess:

Código:
    while(!Fin)
    {
     uno.UniqueProcess=(DWORD*)1234;
     NtOpenProcess(&hProc,PROCESS_ALL_ACCESS,&nn,&uno);
     if (hProc!=0)
     {
      printf("OpenProcess OK %X -> Presiona enter para cerrar el proceso.",hProc);
      getchar();
      TerminateProcess(hProc,0);
      Fin=1;
     }

antes de entrar en el while he creado un thread que cambia el pid por el del proceso real que se quiere abrir, en el while abrimos el proceso inexistente con pid 1234. en el otro thread cambio el pid por el que realmente se quiere abrir del mismo modo hasta que Fin es 1 que solo se cumple cuando ya tenemos el manejador del proceso, y el hook a sido burlado. es una forma un poco burra de hacerlo, pero es al instante, asi que es valida.

Como prueba intenta cerrar un proceso que use este metodo desde el taskmgr y veras que te dice acceso denegado, despues usa el ejemplo que puse arriba y veras que es cuestion de segundos.
« Última modificación: 13 Mayo 2010, 00:53 am por ctlon » En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Interesante Artículo sobre colisión de Hash MD5
Seguridad
dimitrix 2 2,776 Último mensaje 11 Enero 2013, 10:24 am
por dimitrix
malvertising algun articulo interesante
Análisis y Diseño de Malware
quimera 4 4,001 Último mensaje 4 Diciembre 2017, 16:57 pm
por quimera
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines