No veo nada interesante a ser restaurado o algo, tendrias que decirme a que te referis con ese 'funciona'?
Calculo que sera que funciona porque consigue una shell fuera del SandBox, acaso no puede escribir en el disco haciendo eso? Igual comparto que el método no es seguro.. pero es un método..
Calculo que sera que funciona porque consigue una shell fuera del SandBox, acaso no puede escribir en el disco haciendo eso? Igual comparto que el método no es seguro.. pero es un método..
Me cito a mi mismo para corregirme, ese método no es funcional, o ya no.. la shell se ejecuta en sandbox..
Parece que no escatima en hook's el AV.. esto pone las cosas a otro nivel, (del cual me falta mucho aprender )
Para deshookear en Ring0, hay que estar en Ring0, no?
Para cerrar el programa programa si estamos en SB, tiene que ser mas sencillo.. Vi unos ejemplos que usan los ciclos de algunas instrucciones (o el tiempo que demoran, algo asi..) pero no me pareció viable.. Alguna idea? Quizás leer el registro? No se podrá leer la clave que indica que sandbox esta activado? (Si la hay..)
Me pregunto si ese scriptkiddie americano hizo todo ese analisis o sólo se le ocurrio joder en NTDLL...
Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo.
Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel.
La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...
Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo.
Lo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl. Ese tipo que ha programado un bootkit puro copy-paste de carberp + StBt Framework y ahora piensa que es un hacker de elite, por favor... La gente que no sabe del tema es claro que lo piensa pero los que sabemos de eso, sabemos que es un scriptkiddie.
Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel.
La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...
No necesaria mente, si abres el dispositivo de la memoria fisica, la ram. podrias escribir en Ring 0 estando en Ring 3
Saludos
No precisamente, esa fue una vulnerabilidad/Caracteristica que Windows parcheo hace mucho tiempo y no funciona más desde Windows XP + SP3. La unica manera es otra vulnerabilidad o un Driver pero si se tiene un driver para que restaurar los hooks? Bueno si se tiene una aplicación para Ring3.
Lo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl. Ese tipo que ha programado un bootkit puro copy-paste de carberp + StBt Framework y ahora piensa que es un hacker de elite, por favor... La gente que no sabe del tema es claro que lo piensa pero los que sabemos de eso, sabemos que es un scriptkiddie.
Se ve que sabes quién es ese americano y pasas horas con él en IRC
Me resulta curioso que siempre acabas usando argumentos ad hominem Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.
Me resulta curioso que siempre acabas usando argumentos ad hominem Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.
No precisamente, esa fue una vulnerabilidad/Caracteristica que Windows parcheo hace mucho tiempo y no funciona más desde Windows XP + SP3. La unica manera es otra vulnerabilidad o un Driver pero si se tiene un driver para que restaurar los hooks? Bueno si se tiene una aplicación para Ring3.
Yo sabia que lo había visto hacer hace tiempo. Y el problema del driver reside en conseguir cargarlo, ya que ultimamente hay muchas trabas por parte del SO como que tengan que estar firmados. Y luego habrá que sumarle que el propio AV te deje realizar esa acción. yo tenia un driver que restauraba la SSDT
Ya me había aburrido del tema,, porque siempre por un motivo o por otro terminan discutiendo al pedo.. por cualquier cosa se desvían del tema.. En fin.. solo queria aportar esto, (que a mi parecer es un fake terrible..)
Autor
En línea
)
Se ve que sabes quién es ese americano y pasas horas con él en IRC 
Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.
