Implementando inline Hooking o IAT puedes interceptar las llamadas a las funciones que tu quieras yo lo conseguí en Firefox e IE para ver el contenido de las peticiones SSL (HTTPS) antes de que los datos se cifraran, y bueno muchas mas cosillas. Para leer direcciones de memoria tendras que hacer reversing pero para ello no necesitas estar en el mismo espacio de memoria del proceso victima por ejemplo ReadProcessMemory utiliza el Process Handle para situarse en el espacio de memoria del proceso destino. Eso si cuidado con ASLR.

Saludos

Muchas gracias a los dos por contestar y por aportar este material tan valioso, os lo agradezco.

Hace tiempo que llevo experimentando en VMs el como ganar privilegios de forma casera, es decir, utilizando las propias herramientas del OS. Encontré varias cosillas que me permitían lidiar con toda la seguridad el sistema, eran indirectas, dependían del usuario, pero al final lograba mi cometido (SYSTEM).

Esto sinceramente es la bomba, sin problemas el código se entiende de maravilla. Lo más apropiado seria DLL Hijacking alterando el árbol de búsqueda de dependencias o bien reemplazando la DLL, como comentas Karcrack, así nos aseguramos de que siempre se ejecuta nuestro código aunque existen varias contramedidas fáciles de implementar contra este tipo de situaciones.

Supongo que inyectarias código en un proceso que se auto eleve para sobreescribir la DLL de OTRO proceso  no iniciado en este instante (ya que las DLL del servicio actual estarían en uso). Y acto seguido iniciarias el servicio en el cual sustituiste la dependencia. ¿Qué tal lo ves?

Se me ocurre otra: ¿Podría reiniciar el proceso  y dormir sus subprocesos/hilos en el arranque? ¿De esa forma podrías sobreescribir la DLL?

Sólo falta decir que con schtask te elevas a SYSTEM teniendo privilegios de Admin, por lo que alguno se iria al kernel land  

Gracias amigos por vuestra ayuda,

Saludos!

Muy buenas,

llevo mucho tiempo sumergiendome en el mundo de la escalación de privilegios. He publicado hace tiempo por el foro varias formas caseras de escalación de privilegios sin embargo hoy vengo a preguntar una cuestión en concreto.

Muchos habreis llegado a la conclusion de que para esquivar (bypass) UAC es necesario tocar el registro (HKLM), crear tareas que ejecuten nuestro software bajo SYSTEM o admin o bien tirar de ingeniería social (para que el user ejecute el software en modo admin.. propiedad asInvoker en los manifest).

Todos sabemos que el Administrador de tareas permite mostrar todos los procesos del sistema, por lo que necesita de los máximos privilegios del usuario en cuestión.

La pregunta es la siguiente: ¿Qué ocurre cuando pulsamos dicho botón?

Este proceso no alerta al usuario de que la aplicación necesita de privilegios. ¿Cómo lo hace?

Un saludo!

Buenas StevenKhooks,

¿Podrías explicar exactamente los pasos que estas siguiendo? ¿Qué código adicional estás añadiendo al ejecutable de la GUI? Imagino que tu objetivo será que la GUI cargue cierto programa así que lee sobre Assembly.

Concretamente: https://www.google.es/url?sa=t&source=web&rct=j&ei=DL2eU76ID6Tt0gWXyYG4AQ&url=http://msdn.microsoft.com/es-es/library/system.reflection.assembly.load(v%3Dvs.110).aspx&cd=1&ved=0CB8QFjAA&usg=AFQjCNELYNCZDJ31SmOd2aCanw2LW2MFsw&sig2=bOsijGt1cWM4TylHLaSsDA

Saludos!

Perdona pero no digas que es ring0 cuando no lo es, simplemente es otro malware en user mode donde tiras de WinAPI para ocultar ciertas claves del registro o ciertos procesos del taskmanger. Ring0 sería en modo kernel cargando un driver por lo que C#...

Aun así muy buen aporte para aquellos que quieran entrar en el mundillo pues hace años este code me hubiera venido de maravilla.

Saludos!

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

@daryo: Seguramente con esa lib ya se arregle el tema ya que es común entre ambas plataformas.

Podrías usar directivas #define para determinar la plataforma destino y declarar un bloque de código que utilice sockets en Win$ o GNU/Linux.

Aquí te dejo varias alternativas:

http://stackoverflow.com/questions/9201244/know-of-any-cross-platform-socket-library-windows-linux-in-c
http://stackoverflow.com/questions/678367/c-sockets-library-for-cross-platform

Saludos!

Echale un vistazo a esto sino: http://tangentsoft.net/wskfaq/articles/bsd-compatibility.html

Saludos!

¿Y no podrias modificar el fuente a tu antojo para implementar cierto seguimiento de pila para ver el orden de llamadas? Tambien se me ocurre implementar un sistema de logs que haga dump de la data antes de cifrar.

La pega es que deberías de recompilar el apk con las nuevas modificaciones.

Saludos!

Buenas,

Si lo que quieres es controlar los momentos es los que se intenta borrar un archivo entonces debes buscar sobre API Hooking concretamente: API Hooking Nt/ZwDeleteFile.

Lamentablemente este es el foro incorrecto aqui nl tratamos temas de subversión ni de inyeccion de Dll, ahi tienes los subforos de analisis de malware o seguridad.

No ayudo con este tipo de técnicas ya que son cosecha propia no se lo tomen a mal y busquen un poquito como hice yo en su día.

Saludos!

Buenas noches VisualGEN,

estaría bien que pusieras por aquí los errores que has ido obteniendo, para podernos acercar a la solución. ¿Qué versión de SQL Express 2008 has descargado? Por lo de WOW64 supongo que será 32 bits, inténtalo con la de 64 bits.

Cuando te salte el Firewall simplemente permítele a la aplicación el tráfico de red, ya que el instalador simplemente necesita realizar varias peticiones a servidores de Microsoft bien para validar la instalacion o bien para descargar algun que otro recurso.

Un saludo!