Autor
|
Tema: Ocultar IP a herramientas de Administracion de Redes (Leído 6,268 veces)
|
el_trocha
Desconectado
Mensajes: 11
|
Hola gente.....
Alguien sabe como ocultar la conexion establecida en un determinado puerto a las herramientas de administracion de redes tipo NETSTAT.
Me gustaria poder ocultar la conexion que hace mi trojan ya que usando el NOIP no se arregla este problema,al tener que asociar una ip al dns.
Si alguie sabe como seria genial. Hayyyy y se de sobra los comandos del netstat para ocultar una determinada conexion.
Lo que pregunto es si hay algun metodo de acceder a las apis del sistema y poder modificar las llamadas a las apis que utilizan estos programas para modificar la informacion que retornan a las funciones que las llaman.
Un saludo.
|
|
|
En línea
|
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
Buenas ! Si no me equivoco, esto debería ir en análisis y diseño de malware. Sobre el post, podés remplazar netstat.exe (solución simple y mala ). Por otra parte, si no me equivoco, podés ocultar conexiones usando un rootkit (usando api hooking ). Un abrazo
|
|
|
En línea
|
|
|
|
el_trocha
Desconectado
Mensajes: 11
|
El problema de los rootkits es que son harto conocidos y por lo tanto son detectadisimos por los AV.
Mi idea era poder programarlo yo y por eso necesitaba que alguien me orientara en la programacion.
Un saludo.
|
|
|
En línea
|
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
Buenas ! Te repito la respuesta. 1: esto no debería estar aquí 2: lee sobre api hooking. Un abrazo
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
La unica forma de hacerlo es interceptando el proceso con un Hook... o bien puedes hacer un Hook a ciertas APIs o la forma mas sencilla, reemplazar el netstat original con uno que filtra los resultados: - 1. Programas una aplicacion de consola que ejecute netstat con los parametros que esta ha recibido... Y despues en el resultado del netstat se filtra lo que tu quieras
- 2. Renombras el netstat original como te de la gana
- 3. Renombras la aplicacion de consola que creaste como netstat (Evidentemente ha de estar en %SYSTEM32%)
Ahora cuando un usuario haga p.e netstat -ano tu aplicacion interceptara esta llamada, y la redireccionara al original que has renombrado... y de lo que el netstat original le devuelva filtra lo que le da la gana y muestra los datos ya filtrados Ademas de ser la forma mas sencilla es la mas cutre Ya que ademas de tener que trabajar sobre ficheros en %SYSTEM32% cualquier otra aplicacion que liste las conexiones se saltara tu "filtro" Espero haber sido claro Luego puedes hacerlo de la forma guay Te dare una pistita : Image File Execution Options Feliz Añoo!
|
|
« Última modificación: 1 Enero 2011, 14:34 pm por Karcrack »
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
La pistilla no la pillo xD
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
La pistilla es la forma avanzada... y tampoco me gusta darlo todo hecho... asi que a partir de ese dato hay que investigar
|
|
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Bueno, sera pork no tengo mucha idea de eso xD...
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo
|
|
|
Space.Medafighter.X
Desconectado
Mensajes: 24
|
Cuando se trata de aplicaciones ejecutadas en línea de comandos, es un desperdicio el reemplazar el ejecutable de netstat, que posiblemente mostraría el típico mensaje de Windows cuando una de sus aplicaciones ha sido reemplazada por "versiones desconocidas". Si bien es cierto que lo óptimo seria el uso de Hooks, existe otra alternativa, aunque sólo aplicable si netstat es ejecutado desde el intérprete de comandos. La solución consistiría en agregar en "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" un valor alfanumérico llamado "AutoRun" y hacer un doskey de la siguiente forma : [poc]@doskey netstat.exe=filtro[/poc], otra solución, si no se especifica la extensión del ejecutable, sin recurrir a "doskey", es crear un nestat.com en system32, para que cuando se ejecute "netstat", se ejecute nuestro .com. A todo esto, http://www.osix.net/modules/article/?id=781
|
|
« Última modificación: 22 Enero 2011, 01:58 am por Space.Medafighter.X »
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ocultar barra de herramientas con una opción?? SOLUCIONADO!!
.NET (C#, VB.NET, ASP)
|
Hartigan
|
1
|
2,742
|
28 Abril 2010, 20:17 pm
por Meta
|
|
|
Administración de redes
Redes
|
NeWorlD
|
2
|
2,569
|
20 Febrero 2011, 14:53 pm
por NeWorlD
|
|
|
Herramientas de seguridad en Redes Publicas
Seguridad
|
Swain
|
0
|
1,847
|
6 Octubre 2013, 22:50 pm
por Swain
|
|
|
BOTS, HERRAMIENTAS SEO REDES SOCIALES .
Dudas Generales
|
Sc0m
|
0
|
1,895
|
28 Enero 2023, 22:41 pm
por Sc0m
|
|