Hola gente.....

Alguien sabe como ocultar la conexion establecida en un determinado puerto a las herramientas de administracion de redes tipo NETSTAT.

Me gustaria poder ocultar la conexion que hace mi trojan ya que usando el NOIP no se arregla este problema,al tener que asociar una ip al dns.

Si alguie  sabe como seria genial. Hayyyy y se de sobra los comandos del netstat para ocultar una determinada conexion.

Lo que pregunto es si hay algun metodo de acceder a las apis del sistema y poder modificar las llamadas a las apis que utilizan estos programas para modificar la informacion que retornan a las funciones que las llaman.

Un saludo.

El problema de los rootkits es que son harto conocidos y por lo tanto son detectadisimos por los AV.

Mi idea era poder programarlo yo y por eso necesitaba que alguien me orientara en la programacion.

Un saludo.

La unica forma de hacerlo es interceptando el proceso con un Hook... o bien puedes hacer un Hook a ciertas APIs o la forma mas sencilla, reemplazar el netstat original con uno que filtra los resultados:

• 1. Programas una aplicacion de consola que ejecute netstat con los parametros que esta ha recibido... Y despues en el resultado del netstat se filtra lo que tu quieras
• 2. Renombras el netstat original como te de la gana
• 3. Renombras la aplicacion de consola que creaste como netstat (Evidentemente ha de estar en %SYSTEM32%)

Ahora cuando un usuario haga p.e netstat -ano tu aplicacion interceptara esta llamada, y la redireccionara al original que has renombrado... y de lo que el netstat original le devuelva filtra lo que le da la gana y muestra los datos ya filtrados

Ademas de ser la forma mas sencilla es la mas cutre Ya que ademas de tener que trabajar sobre ficheros en %SYSTEM32% cualquier otra aplicacion que liste las conexiones se saltara tu "filtro"

Espero haber sido claro

Luego puedes hacerlo de la forma guay Te dare una pistita : Image File Execution Options

Feliz Añoo!

La pistilla es la forma avanzada... y tampoco me gusta darlo todo hecho... asi que a partir de ese dato hay que investigar

Cuando se trata de aplicaciones ejecutadas en línea de comandos, es un desperdicio el reemplazar el ejecutable de netstat, que posiblemente mostraría el típico mensaje de Windows cuando una de sus aplicaciones ha sido reemplazada por "versiones desconocidas". Si bien es cierto que lo óptimo seria el uso de Hooks, existe otra alternativa, aunque sólo aplicable si netstat es ejecutado desde el intérprete de comandos.

La solución consistiría en agregar en "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" un valor alfanumérico llamado "AutoRun" y hacer un doskey de la siguiente forma : [poc]@doskey netstat.exe=filtro[/poc], otra solución, si no se especifica la extensión del ejecutable, sin recurrir a "doskey", es crear un nestat.com en system32, para que cuando se ejecute "netstat", se ejecute nuestro .com.

A todo esto, http://www.osix.net/modules/article/?id=781