PHP Forum - Coding Board
Juni 19, 2018, 09:02:37 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News:
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
Seiten: [1]
  Drucken  
Autor Thema: [SRC] Slayer616's Usermode Rootkit  (Gelesen 271 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« am: Juni 24, 2009, 10:09:29 »

url]http://rapidshare.com/files/248044649/Usermode_Rootkit.rar[/urlhttp://rapidshare.com/files/248044649/Usermode_Rootkit.rar
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
ntaryl
Newbie
*
Beiträge: 3


Profil anzeigen E-Mail
« Antworten #1 am: Juli 17, 2009, 07:03:59 »

Thanks  bro  nice  sharing
Gespeichert
Nop0x90
Full Member
***
Beiträge: 197


541820
Profil anzeigen E-Mail
« Antworten #2 am: Juli 18, 2009, 03:54:18 »

Ich hab auch sowas geschrieben aber mit direkter CodeInjection, ohne die DLL. Macht das irgendwelche Unterschiede in Effizienz/Sicherheit?
Gespeichert

greetz Nop (ehem. Av0c4d0)
-Coding & RE


Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #3 am: Juli 18, 2009, 04:15:47 »

Naja ist halt keine DLL dabei, die detected werden könnte Smiley
Gespeichert

Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #4 am: Juli 18, 2009, 04:22:21 »

Mit direkter Code Injection? Kannste mir grob sagen was du da tust?
Ich kann mir nicht vorstellen irgendwo die Callback Funktion reinzuschreiben. Oder geht das doch?!
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #5 am: Juli 18, 2009, 04:33:12 »

Doch doch, geht indem du z.B. direkt Assemblercode injizierst. Kann mal ein Beispiel machen ..
Gespeichert

Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #6 am: Juli 18, 2009, 04:38:22 »

Merk grad, er meint doch die "RemMelt" Methode wo ich funktionen in einen andren Prozess injizieren kann oder?
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
Nop0x90
Full Member
***
Beiträge: 197


541820
Profil anzeigen E-Mail
« Antworten #7 am: Juli 18, 2009, 04:38:44 »

Du holst dir Speicher im Fremden Prozess, schreibst deine Funktion rein, überschreibst den jump zur API mit JMP zu deiner Funktion. In deiner Funktion callst du die echte API.
Gespeichert

greetz Nop (ehem. Av0c4d0)
-Coding & RE


Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #8 am: Juli 18, 2009, 04:41:51 »

Ja merk ich auch Lächelnd
Das ist dann doch simpel, ich schreibe die Funktion rein und nehme anstatt der "lokalen" Adresse der Funktion die Adresse die injected wurde.
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
Seiten: [1]
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines | New Look by Nolt Prüfe XHTML 1.0 Prüfe CSS