Título: [FILTRO] Ocultando procesos a NtQuerySystemInformacion Publicado por: fary en 6 Febrero 2016, 08:03 am No es el código completo, ya que sería todo demasiado masticado :xD peeero, lo que queda de implementar (el hook a la api) se puede hacer fácilmente siguiendo mi tutorial sobre ello.
Esto es solo un ejemplo de cómo sería el filtro para ocultar procesos a dicha API (la que usa el admin de tareas para listar los procesos) >:D Si abrimos la calculadora de windows (calc.exe) y descomentamos las línea de código vamos a ver como va mostrando todos los procesos menos el que ocultamos nosotros (con el while anterior). En fin, aquí esta el código. Código
Sí teneis alguna duda o queréis que ponga el código completo del rootkit avisar, aunque perdería la gracia. saludos. Título: Re: [FILTRO] Ocultando procesos a NtQuerySystemInformacion Publicado por: Arnaldo Otegi en 6 Febrero 2016, 20:22 pm Mui buena fary si señor,un pedazo de aporte como siempre,va para el baul.
Título: Re: [FILTRO] Ocultando procesos a NtQuerySystemInformacion Publicado por: crack81 en 7 Febrero 2016, 03:27 am Hola fary he estado mirando tu codigo, pero no se de donde te sacaste
la estructura system_process_information segun la documentacion de microsoft es esta Código
pero obviamente no funciona ya que el tamano de la estructura es diferente me he dado cuenta que a fuerza se necesitan reservan 56 bytes para que la siguiente variable pueda almacenar la direccion del nombre del proceso en este caso para que funcione tengo que comentar la variable reserved2 y reasginar el tamano de reserved1 a 56 algo asi Código
Asi si funciona pero algo no cuadra ya que presiento que los valores de la estrucutra que publico microsoft por algo son y no entiendo porque hay que estar modificandolos o no alcanzo a entenderlo del todo. la info la he sacado de aqui : https://msdn.microsoft.com/en-gb/library/windows/desktop/ms724509.aspx (https://msdn.microsoft.com/en-gb/library/windows/desktop/ms724509.aspx) ademas cuesta trabajo leer esto Código no se que sicnifica ese cinco, te recomiendo que pongas el enumerado que le corresponde en este caso Código
y obivamente la llamada seria Código
Título: Re: [FILTRO] Ocultando procesos a NtQuerySystemInformacion Publicado por: fary en 8 Febrero 2016, 13:58 pm crack81,
La estructura que publica microsoft como habrás podido comprobar no esta completa... vamos, que no sirve para nada esa documentación, te dice que existe pero no sus campos. http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FSystem%20Information%2FNtQuerySystemInformation.html Por otra parte, aquí: Código: ret = __SystemProcessInformation(5, spi, 1024*1024, NULL); No he puesto el nombre de la constante pues no sé por que la verdad pero no creo que cueste tanto leerlo, Si quieres saber como funciona la API vas a mirar la documentación y si miras la documentación vas a ver porque es así. saludos. |