|
Título: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: locot3 en 8 Mayo 2009, 00:10 am Buenas y gracia spor el tiempo , explicare mi problema :
tengo un troyano programado por mi en VB6 y todo va perfecto con el ;) , ahora cuando infecto una victima que esta en su casa el troyano sigue activo para siempre porque le añadi una entrada al registro pero cuando infecto a alguien que esta conectado desde un cafe internet el server corre de maravilla hasta que reinician la PC el bicho no vuelve nuca mas ahora me di cuenta que es por el deep freeze ( por eso del titulo hehehe ) que segun lo que entiendo hace que cualquier cambio echo en el registro no tenga efecto en el siguiente reinicio ya que recupera la config del registro desde un backup , ahora queria saber si me pueden ayudar en alguna manera de saltar esta proteccion y que mi bicho se quede permanentemente en el equipo infectado,cualquier respuestas sra bien agradecias , gracia de antemanso saludos !!1 PD : mi troyano se copia asi mismo en c:\windows\bicho.exe el deep freeze lo elimina despues del sig . reinico o no ? Título: Re: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: XcryptOR en 8 Mayo 2009, 00:36 am eso no lo vas a ver tan facil, sabes de quitar hooks desde la SSDT, o mapear procesos en memoria. pues la verdad si no lo sabes te va aquedar muy dificil, aunque elimines los procesos servicios y drivers, el sistema se te va a colgar al proximo reinicio. ademas de que el deep 6.x elimina privilegios como el de debug, y asi dudo que se puedan tocar sus procesos muy dificil que consigas ayuda en este tema.
mira aqui te dejo algo quizas puedas sacar algunas cosas interesantes, segun el programador funciona para las versiones 6.x, se trata de un deep freeze password remover. Descargar (http://www.megaupload.com/?d=1HGQUHFR) Título: Re: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: locot3 en 8 Mayo 2009, 01:06 am ok,entendido, y que acerca del tema de las inyecciones DLL ? eso no funcionaria en este caso? si lo inyecto a algun proceso conocido del windows como el explorer.exe ?? o esque lo antiviruz pordrian reconocer esto ?¿¿?¿ gracias !
Título: Re: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: Arkangel_0x7C5 en 8 Mayo 2009, 03:58 am lo crudo del DeepFreze es que tiene el control del hdd y nunca escrives en el. Por eso da igual lo que borres del systema. Siempre volverá a estar si no desactivas el deepfreze. y si consiguieras pararlo y no restauras el registro de manera adecuada conseguiras una bonita BSOD cada vez que enciendas.
Saludos Título: Re: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: yovaninu en 8 Mayo 2009, 05:07 am A no ser que tengas acceso a la PC que quieras infectar practicamente sera imposible que puedas romper al osito deep freeze, mas aun si es la version 6 o superior, quiza si tuviera la version anterior, 3 o 4 podria descongelarse la PC de algun modo pero desde ya supone un gran problema.
Ya el panorama cambia si tienes acceso a esa pc que tiene el DeepFreeze, hoy en dia quitarlo es algo sencillo aunque no tanto, ya sea por medio de un Live CD de Windows (BartPE) o bien con USB Boot BartPE y como deduciras ambos requieren no solo que tengas acceso al PC sino tambien al BIOS para que puedas configurar alli el arranque desde el CD o del USB, en fin... Saludos Título: Re: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: Graphixx en 28 Junio 2009, 02:47 am Se podria estudiar el deepfreeze , para infectar la backup que el guarda del disco duro.... no ?, si no te toca infectar el explorador, para que descargue una copia nueva cada que reinicien, modifica la dll del IE, es facil.
Título: Re: Frontera DeepFreeze ,hehe asi le digo yo Publicado por: seba123neo en 28 Junio 2009, 03:05 am Hola, Graphixx podes dejar de revivir post viejos?????
|