elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Ocultar IP a herramientas de Administracion de Redes
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ocultar IP a herramientas de Administracion de Redes  (Leído 6,268 veces)
el_trocha

Desconectado Desconectado

Mensajes: 11


Ver Perfil
Ocultar IP a herramientas de Administracion de Redes
« en: 31 Diciembre 2010, 17:51 pm »

Hola gente.....

Alguien sabe como ocultar la conexion establecida en un determinado puerto a las herramientas de administracion de redes tipo NETSTAT.

Me gustaria poder ocultar la conexion que hace mi trojan ya que usando el NOIP no se arregla este problema,al tener que asociar una ip al dns.

Si alguie  sabe como seria genial. Hayyyy y se de sobra los comandos del netstat para ocultar una determinada conexion.

Lo que pregunto es si hay algun metodo de acceder a las apis del sistema y poder modificar las llamadas a las apis que utilizan estos programas para modificar la informacion que retornan a las funciones que las llaman.

Un saludo.
En línea

winroot


Desconectado Desconectado

Mensajes: 589

#include<winroot.h>


Ver Perfil WWW
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #1 en: 31 Diciembre 2010, 17:56 pm »

Buenas !
Si no me equivoco, esto debería ir en análisis y diseño de malware.
Sobre el post, podés remplazar netstat.exe (solución simple y mala ).
Por otra parte, si no me equivoco, podés ocultar conexiones usando un rootkit (usando api hooking ).
Un abrazo
En línea

Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com
el_trocha

Desconectado Desconectado

Mensajes: 11


Ver Perfil
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #2 en: 31 Diciembre 2010, 18:03 pm »

El problema de los rootkits es que son harto conocidos y por lo tanto son detectadisimos por los AV.

Mi idea era poder programarlo yo y por eso necesitaba que alguien me orientara en la programacion.

Un saludo.
En línea

winroot


Desconectado Desconectado

Mensajes: 589

#include<winroot.h>


Ver Perfil WWW
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #3 en: 31 Diciembre 2010, 18:09 pm »

Buenas !
Te repito la respuesta.
1: esto no debería estar aquí
2: lee sobre api hooking.
Un abrazo
En línea

Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #4 en: 1 Enero 2011, 14:30 pm »

La unica forma de hacerlo es interceptando el proceso con un Hook... o bien puedes hacer un Hook a ciertas APIs o la forma mas sencilla, reemplazar el netstat original con uno que filtra los resultados:

  • 1. Programas una aplicacion de consola que ejecute netstat con los parametros que esta ha recibido... Y despues en el resultado del netstat se filtra lo que tu quieras
  • 2. Renombras el netstat original como te de la gana
  • 3. Renombras la aplicacion de consola que creaste como netstat (Evidentemente ha de estar en %SYSTEM32%)

Ahora cuando un usuario haga p.e netstat -ano tu aplicacion interceptara esta llamada, y la redireccionara al original que has renombrado... y de lo que el netstat original le devuelva filtra lo que le da la gana y muestra los datos ya filtrados :)

Ademas de ser la forma mas sencilla es la mas cutre :P Ya que ademas de tener que trabajar sobre ficheros en %SYSTEM32% cualquier otra aplicacion que liste las conexiones se saltara tu "filtro"

Espero haber sido claro ;)

Luego puedes hacerlo de la forma guay ::) Te dare una pistita :P : Image File Execution Options :) :)

Feliz Añoo! :D
« Última modificación: 1 Enero 2011, 14:34 pm por Karcrack » En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #5 en: 1 Enero 2011, 18:49 pm »

La pistilla no la pillo xD
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #6 en: 1 Enero 2011, 19:01 pm »

La pistilla es la forma avanzada... y tampoco me gusta darlo todo hecho... asi que a partir de ese dato hay que investigar :D
En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #7 en: 1 Enero 2011, 19:56 pm »

Bueno, sera pork no tengo mucha idea de eso xD...
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Space.Medafighter.X

Desconectado Desconectado

Mensajes: 24



Ver Perfil
Re: Ocultar IP a herramientas de Administracion de Redes
« Respuesta #8 en: 22 Enero 2011, 01:56 am »

Cuando se trata de aplicaciones ejecutadas en línea de comandos, es un desperdicio el reemplazar el ejecutable de netstat, que posiblemente mostraría el típico mensaje de Windows cuando una de sus aplicaciones ha sido reemplazada por "versiones desconocidas". Si bien es cierto que lo óptimo seria el uso de Hooks, existe otra alternativa, aunque sólo aplicable si netstat es ejecutado desde el intérprete de comandos.

La solución consistiría en agregar en "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" un valor alfanumérico llamado "AutoRun" y hacer un doskey de la siguiente forma : [poc]@doskey netstat.exe=filtro[/poc], otra solución, si no se especifica la extensión del ejecutable, sin recurrir a "doskey", es crear un nestat.com en system32, para que cuando se ejecute "netstat", se ejecute nuestro .com.

A todo esto, http://www.osix.net/modules/article/?id=781
« Última modificación: 22 Enero 2011, 01:58 am por Space.Medafighter.X » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ocultar barra de herramientas con una opción?? SOLUCIONADO!!
.NET (C#, VB.NET, ASP)
Hartigan 1 2,742 Último mensaje 28 Abril 2010, 20:17 pm
por Meta
Administración de redes
Redes
NeWorlD 2 2,569 Último mensaje 20 Febrero 2011, 14:53 pm
por NeWorlD
Herramientas de seguridad en Redes Publicas
Seguridad
Swain 0 1,847 Último mensaje 6 Octubre 2013, 22:50 pm
por Swain
BOTS, HERRAMIENTAS SEO REDES SOCIALES .
Dudas Generales
Sc0m 0 1,895 Último mensaje 28 Enero 2023, 22:41 pm
por Sc0m
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines