elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Virtual File (API redirection) [Source]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Virtual File (API redirection) [Source]  (Leído 3,621 veces)
cobein


Desconectado Desconectado

Mensajes: 759



Ver Perfil WWW
Virtual File (API redirection) [Source]
« en: 9 Julio 2008, 13:14 pm »

Holi Holas =)

Bueno, aca les dejo un modulito para emular la existencia de archivos, no esta 100% listo pero el ejemplo es totalmente funcional.

Lo que hace basicamente es redireccionar las APIs utilizadas para leer archivos engañando a nuestro programa para que lea desde la memoria.

El ejemplo muestra como usar LoadPicture para cara cargar un archivo BMP encryptado, desencryptandolo on the fly en memoria.

Descarga: http://www.uploadsourcecode.com.ar/d/cYtS2QjvGRr0Kr8AxtuzEYFScMgV8xYV


En línea

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Virtual File (API redirection) [Source]
« Respuesta #1 en: 9 Julio 2008, 16:48 pm »

Muy bueno, tiene bastante utilidad :P

Saludos :D


En línea

el_c0c0


Desconectado Desconectado

Mensajes: 307


Ver Perfil
Re: Virtual File (API redirection) [Source]
« Respuesta #2 en: 9 Julio 2008, 20:41 pm »

.
« Última modificación: 14 Septiembre 2008, 19:53 pm por el_c0c0 » En línea

'-     coco
"Te voy a romper el orto"- Las hemorroides
LeandroA
Moderador
***
Desconectado Desconectado

Mensajes: 760


www.leandroascierto.com


Ver Perfil WWW
Re: Virtual File (API redirection) [Source]
« Respuesta #3 en: 10 Julio 2008, 01:05 am »

Che esta muy bueno, pero la verdad no cacho una como lo hace, esto esta haciendo un hook a las dll?, de esta forma se puede engañar a un shell?

Saludos
En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Virtual File (API redirection) [Source]
« Respuesta #4 en: 10 Julio 2008, 01:36 am »

Pues leyéndolo por encima lo que hace es un hooking clásico poniendo un jmp en el comienzo de la función deseada para que salte a tu propia función, me lo he leido muy por encima, pero vamos, tiene toda la pinta de ser eso. El mecanismo es simple, si quieres lo explico un poco por encima, por que al principio cuesta pillarlo, pero vamos que en cualquier texto de rootkits lo encuentras.

Citar
de esta forma se puede engañar a un shell?

A que te refieres con eso? Si te refieres a ocultar archivos, procesos o lo que sea del ms-dos o windows en general si, se puede hacer de una forma similar a esa, la esencia es la misma, luego cambia mucho.

Salu2
En línea

cobein


Desconectado Desconectado

Mensajes: 759



Ver Perfil WWW
Re: Virtual File (API redirection) [Source]
« Respuesta #5 en: 10 Julio 2008, 03:08 am »

Exactamente pone un jmp en las API deseadas (en este caso CreateFile, CloseHandle, etc) asi las apunta a nuestro codigo y el codigo lo que hace es manejar un byte array como si fueran los datos en el disco, de esa manera logra que cualquier funcion que llame a estas apis sea redireccionada a nuetro archivo en memoria
En línea

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.
el_c0c0


Desconectado Desconectado

Mensajes: 307


Ver Perfil
Re: Virtual File (API redirection) [Source]
« Respuesta #6 en: 10 Julio 2008, 03:15 am »

.
« Última modificación: 14 Septiembre 2008, 19:43 pm por el_c0c0 » En línea

'-     coco
"Te voy a romper el orto"- Las hemorroides
cobein


Desconectado Desconectado

Mensajes: 759



Ver Perfil WWW
Re: Virtual File (API redirection) [Source]
« Respuesta #7 en: 10 Julio 2008, 03:37 am »

Por lo que vi usa CreateFile, CloeHandle, ReadFile y SetFilePointer para acceder al archivo. El tamaño del archivo aparentemete lo determina moviendo el puntero al final del archivo asi que no usa GetFileSize o GetFileSizeEx.
En línea

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Conectar dos redes en 1 ordenador (redirection protocol on Windows)
Redes
TigreDARK 0 3,381 Último mensaje 3 Enero 2011, 10:35 am
por TigreDARK
[SOURCE] File 2 startup v1.2
.NET (C#, VB.NET, ASP)
Eleкtro 0 2,532 Último mensaje 15 Enero 2015, 01:59 am
por Eleкtro
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines