Título: Userland Rootkit test [Source] Publicado por: cobein en 7 Agosto 2008, 18:52 pm Bueno aca les dejo algo que estaba haciendo para como se dice por aca "sacarme la leche", es un pseudo rootkit que se inyecta y hookea la API MessageBoxW, el ejemplo se inyecta en el notepad y "consume" los messagebox como por ejemplo al querer reemplazar un archivo, pueden usar ProcessExplorer para ver la libreria en memoria y DebugView para ver las llamadas a la API.
El ejemplo es muy basico pero funciona correctamente, hay incluida una version compilada para los que no saben como hacerlo.... no hay mucho mas para decir. Descarga: http://www.uploadsourcecode.com.ar/d/lNS2csLimZ1aQwIb5U6MryTxW0Wk6Ost Título: Re: Userland Rootkit test [Source] Publicado por: jackl007 en 7 Agosto 2008, 23:27 pm bien, hace tiempo estaba buscando algo como esto para estudiarlo. >:D
Título: Re: Userland Rootkit test [Source] Publicado por: Hendrix en 7 Agosto 2008, 23:56 pm En el subforo de seguridad hay una chincheta con un programa mio que lo que hace es detectar estos tipos de hooks y los repara, estaria bien que en tu Dll verifique eso (que la dirección sea la tuya y no la original).
Un Saludo :D Título: Re: Userland Rootkit test [Source] Publicado por: cobein en 8 Agosto 2008, 00:44 am Es buena idea Hendriҳ , este ejemplo esta muuuy crudo, pero lo voy a implementar cuando haga algo mas decente, la verdad me dio muchos dolores de cabeza hacer andar esto.
Gracias por el dato! |