elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Ayuda: Programar módulos para un AV-Killer
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 5 6 7 8 Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda: Programar módulos para un AV-Killer  (Leído 23,466 veces)
nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #10 en: 15 Octubre 2007, 18:15 pm »

Weno pues la verdad yo cuando prové con el KAV 6 y no me daba permisos ni para modificar el directorio ni el registro (donde se encuentra el servicio) pues lo primero que hice fue provar con CALCS y a modificar las ACL's, pero aunke me ponia permisos totales me seguía sin dejar, por eso suponí que era el driver...también prové con SC pero parar no se puede y borrar si, pero hay que reiniciar la PC...tampco prové si realmente así se borraba...pués también eso de tener que reiniciar no me servía de nada...

Varias preguntas, yo estoy haciendo un AV/FW-Killer, para matar a los procesos utilizo el comando taskkill...como haces tu para matarlos?? ya que la API TerminateProcess es detectada por casi todos los AVs...

Que APIs puedo utilizar en vez del comando CALCS (para que me quede mas en VB mas puro)??

Y por último como haces para matar a algunos sin ascender a SYSTEM?? Serviría con la API AdjustTokens para conseguir esos privilegios??

Saludos ;)


En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
lll_swamp_lll

Desconectado Desconectado

Mensajes: 79



Ver Perfil
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #11 en: 15 Octubre 2007, 19:51 pm »

tskill nombre del proceso


En línea

Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #12 en: 15 Octubre 2007, 21:39 pm »

Y la otra forma se puede hacer desde Ring3, pero según Hendrix eso es imposible hacerlo en VB, la solución sería escribir directamente en el disco duro...es decir, escribir directamente en un sector X de archivo X longitud directamente, lo primero sería hayar el sector del driver, después la longitud (facil) y por ultimo escribir en ese sector del disco con 0's por ejemplo...el driver no te va a poner restriccion alguna pork tocas directamente el hardware...a mi me hablaron que con las API's OpenFile y WriteFile se podría hacer pero no lo conseguí...y segun Hendrix en VB no se puede...

Eso desde Ring3 no se puede, Para mas info: aqui

E0n, lo del ZA lo consegui inyectando "basura" dentro de su codigo y ejecutandolo...Eso en una cuenta no-admin no funciona....

A ver, esto del driver que deja el KAV en modo Ring0 no es problema y he conseguido matar el AntiVirus Karspersky 7.0 desde VB6 sin usar el comando AT ni drivers. El único problema es que para que el AV-Killer del KAV funcione requiere un reinicio del PC

Precisamente por eso se requiere el driver  ;D

En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #13 en: 15 Octubre 2007, 21:40 pm »

Y la otra forma se puede hacer desde Ring3, pero según Hendrix eso es imposible hacerlo en VB, la solución sería escribir directamente en el disco duro...es decir, escribir directamente en un sector X de archivo X longitud directamente, lo primero sería hayar el sector del driver, después la longitud (facil) y por ultimo escribir en ese sector del disco con 0's por ejemplo...el driver no te va a poner restriccion alguna pork tocas directamente el hardware...

La idea es buena y funcionaría si se tratara de un proceso y no de un driver, me explico... El KAV usa 3 drivers guardados en

%SystemRoot%\System32\drivers\kl1.sys
%SystemRoot%\System32\drivers\klif.sys
%SystemRoot%\System32\drivers\klim5.sys


Sólo uno de estos 3 drivers es el encargado de las protecciones y los otros 2 se protegen entre sí (esta información esta en el registro). La idea de Hendrix es sobreescribir estos archivos directamente en el sector del disco duro, pero para este caso no serviría de nada, pues los drivers SON CARGADOS EN MEMORIA AL INICIO DEL SISTEMA.

Para poner en practica la idea de Hendrix tendriamos que cambiar la palabra "disco duro" por "memoria RAM" dejando su teoría en:

Citar
Crear un programa que localizara los sectores de la memoria RAM donde se hallen cargados los drivers para sobreescribirlos, CON EL INCONVENIENTE que ese espacio de RAM ha sido reservado (con un simple mAlloc por ejemplo) desde Ring0.

O lo que es lo mismo, no puedes modificar un espacio de memoria que ya ha sido reservado por un "usuario" más fuerte que tú (Ring0).



Vamos, que nos olvidemos de cargarnos esos 3 drivers, es imposible (o al menos es imposible cargarselos sin necesidad de reiniciar).

Alguna idea más? xD
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #14 en: 15 Octubre 2007, 22:23 pm »

es lo k keda...ascender a Ring0...mientras tanto no habría alguna manera de confundir al Kaspersky o algo?...si no lo veo dificil...

Weno mi idea de los discos duros si weno...ya suponía que tendría que reiniciar...y para escribir en memoria los drivers...mmm...esta complicado pork como dice Mad hay que estar en Ring0...

Una pregunta, para ascender a Ring0 yo se que hay que correr un driver .SYS como un servicio, pero para hacer esto hay que reiniciar???? pork si no ya estaría...

La verdad llevo mucho tiempo mirando como joder al KAV y de momento no encontré muchas soluciones...

Sobre los drivers no entendí una cosa, uno protege la aplicación, pero eso de k los otros se protegen entre ellos no lo entendí muy bien...a k te refieres entre ellos, no lo protege el mismo que protege la aplicación??

Saludos ;)
En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #15 en: 15 Octubre 2007, 22:32 pm »

Se me olvidó decir k una posible solución que se me ocurrió sería hacerse pasar por el programa de desinstalación...lo malo es que pienso k primero tienes que cerrar el Kaspersky de manera manual y despues desinstalarlo, además creo k necesitas reiniciar también...

O te podrías hacer pasar por el humano para desactivarlo...pero pienso k esto no se puede...

Saludos ;)
En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #16 en: 15 Octubre 2007, 22:40 pm »

Se nos han adelantado.... recuerdo hace meses que ANELKAOS advirtió de un bug en KAV que permitía la ejecución de código remoto, para ello se basaban en un bug del driver klif.sys

Aqui la review

Este método era bueno, explotar un bug própio del driver, aunque ahora ya está parcheado...

Sobre los 3 drivers, uno de ellos es para monitorear el AV el otro el Frw y el otro es una protección adicional.
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #17 en: 15 Octubre 2007, 23:32 pm »

Acabo de hablar con una persona k sabe bastante de C y hace rootkits, k al fin y al cabo son servicios .SYS corriendo como servicios en Ring0 y me dijo que no hace falta reiniciar, k puedes instalar el driver y ejecutarlo sin reiniciar...asi k si consigues crear uno o sabes de alguien k sepa (yo no se C y desde VB no se puede) pues desde aí conseguirás matarlo...es la unica solución...

Si eso le pido a la persona si me puede hacer un driver para matar al KAV...pero entonces dadme la mayor información posible de como lo tiene que hacer...aunke yo tengo algun log para aí k pienso k tiene casi toda la info...

Weno k os parece? saludos ;)
En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #18 en: 16 Octubre 2007, 00:28 am »

Si, cuando insertas un driver no es necesario reiniciar el equipo (por ejemplo el Process Explorer de Sysinternals aloja un driver SYS temporal y no requiere reinicio).

De todas formas si esta parece ser la unica posibilidad de matar el KAV creo que voy a pasar de él y no la implementaré en el Joiner, ahora te dejo la info para crear el driver para matar el KAV



Lo que yo haría sería crear un driver que volcara todo el contenido que hay en la memoria que aloja el driver del KAV, es decir... La idea es conseguir un LOG donde se muestren las llamadas a las APIS que hace el driver del KAV, saber si carga otros drivers, que instrucciones ejecuta, etc...

Una vez con esta información en nuestro poder podríamos centrarnos en atacar esos otros drivers del propio Windows o a las APIS que permiten monitorear todo el sistema

Esta es mi idea, no se si servirá de algo. Lo que si se es que no es tarea facil
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Ayuda: Programar módulos para un AV-Killer
« Respuesta #19 en: 16 Octubre 2007, 11:09 am »

Mad, en posts anteriores dices: La idea de Hendrix....y esa no era mi idea  :xD :xD

Por lo del bug del driver...es cierto, lo conocia desde hacer tiempo, aunque no recuerdo que dejara eejcutar codigo, creia que provocaba una BSOD solamente... :-\ :-\

Por el tema drivers, Mek me proporcionó la DDK para Fasm, e echo algunos drivers, aunque poca cosa, si quereis puedo mirar de hacer el driver ese que comentas Mad  ;)

PD: Hay (o habia, no lo encuentro :-\) un articulo sobre drivers "anti-cheats" que hookeaban la SSDT o la SDT (no lo recuerdo) y hablaron sobre como hookear direcciones ya hookeadas por esos drivers, es una pena que no encuentre el post... :-\ :-\
En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Páginas: 1 [2] 3 4 5 6 7 8 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Modulos para ww2.0.2
Wireless en Linux
marisiverce 0 1,628 Último mensaje 15 Abril 2011, 02:55 am
por marisiverce
Ayuda implementando modulos
ASM
Vaagish 0 2,336 Último mensaje 14 Mayo 2013, 22:06 pm
por Vaagish
[PHYTON-AYUDA] ¿Donde guardar modulos para luego importarlos?
Scripting
Santi__ 2 2,059 Último mensaje 25 Febrero 2016, 20:47 pm
por LaThortilla (Effort)
ayuda con modulos
Programación General
kerberos91 1 2,289 Último mensaje 28 Septiembre 2018, 03:49 am
por Captain Nemo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines