tag:blogger.com,1999:blog-5190877782491799334.post5253475820171938836..comments2020-01-09T01:25:06.259-08:00Comments on 0vercl0k's blog.: h0l0c4ust ou l'illustration d'une technique utilisée dans les rootkits ring3.0vercl0khttp://www.blogger.com/profile/04851747716024429465noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-5190877782491799334.post-84699673669554872752010-05-27T00:58:38.790-07:002010-05-27T00:58:38.790-07:00Salut à toi,
Je viens de t'envoyer un e-mail a...Salut à toi,<br />Je viens de t'envoyer un e-mail afin de tenter de résoudre ton problème ; c'est plus pratique pour discuter =).<br />Cordialement, 0vercl0k.0vercl0khttps://www.blogger.com/profile/04851747716024429465noreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-48790373132049975442010-05-26T15:55:35.137-07:002010-05-26T15:55:35.137-07:00Ah tant que j'y suis, en fait mon problème vie...Ah tant que j'y suis, en fait mon problème vient probablement du fait que ma dll est unloadée trop tôt, ce qui fait que l'adresse que j'ai foutu dans l'iat n'est plus valide... Une idée du pourquoi du comment, par hasard? Sioupli? ? :)x00.null AT gmail.comnoreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-83887637241983276032010-05-26T15:30:31.460-07:002010-05-26T15:30:31.460-07:00@Z: au passage, si ça peut aider, même si ça date ...@Z: au passage, si ça peut aider, même si ça date grave:<br />SystemInformationClass == 2 c'est SYSTEM_PROCESSOR_INFORMATION<br /><br />La structure est dispo sur le net, même si ça ressemble surtout à des infos sur le processeur... A mon avis, ça n'a rien à voir avec le listing de processus.x00.null AT gmail.comnoreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-72463419178344796082010-05-26T15:22:51.270-07:002010-05-26T15:22:51.270-07:00Iop,
en cherchant à faire un hook IAT sur firefox...Iop,<br /><br />en cherchant à faire un hook IAT sur firefox (ou chrome), sur la fonction send(), je me suis rendu compte que ws2_32.dll ou wsock32.dll sont loadées non pas par l'exécutable firefox.exe ou chrome.exe, mais par certaines de leurs dll.<br />(docu hook iat, pour exemple [url]http://0vercl0k.blogspot.com/2007/12/bonsoir-tous-comme-chaque-semaine-je.html[/url] )<br />Bref, les codes "normaux" ne peuvent donc pas aller directement dans l'IAT du processus direct changer ce qu'on veut.<br /><br />Du coup, j'ai bouclé récursivement sur les entry directory, en les prenant comme modules (plutot que faire un getModuleHandle(0), je fais un getModuleHandle, et je parcoure normalement/récursivement, comme si c'était l'exécutable).<br /><br />Sauf que là, j'ai deux hics. Primo, boucle infinie sur les modules (même si je spécifie bien que faut pas prendre les ntdll, et compagnie). <br /><br />Bon, qu'à cela ne tienne, en attendant, j'ai limité la récursivité au seul cas de nspr4.dll de firefox, qui importe tout ce qui est ws2_32.dll et wsock32.dll. Ce qui m'amène au secundo, sous firefox: j'arrive bien à trouver la fonction send (de wsock32.dll). Mais quand je la remplace par ma valeur, cette dernière est re-changée par une autre valeur alakon, d'où le méga plantage quand un send apparaît.<br />Or, à un moment, j'avais pas traité le type de dwReason de ma dll, du coup je hookais aussi quand je détachait la dll, ce qui m'a permis de voir que mon hook était correct (bonne adresse de ma dll à la place de wsock32.dll:send). Ce qui signifie qu'après mon 1er hook (qui était donc correct), ce blaireau de firefox m'en a fait une belle. Why??? T'as déjà traité ce cas où l'import est fait par une dll importée?<br /><br />Tchaw!x00.null AT gmail.comnoreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-13312653427008158602008-02-07T09:10:00.000-08:002008-02-07T09:10:00.000-08:00Encore merci à toi,Je pense que la source que je d...Encore merci à toi,<BR/>Je pense que la source que je donne en fin de source peut t'aider.<BR/>Elle inclus un module de hide de processus, et bien évidemment c'est le même principe qu'avec les fichiers oui.<BR/>Je te recommande aussi le post d'ivanlef0u "SSDT Hooking Reinvented".<BR/>Bonne chance à toi, en espérant t'avoir apporté de l'aide.0vercl0khttps://www.blogger.com/profile/04851747716024429465noreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-86853262876783633732008-02-06T23:03:00.000-08:002008-02-06T23:03:00.000-08:00SalutPour commencer je trouve que c'est un super a...Salut<BR/>Pour commencer je trouve que c'est un super article, et je te remercie d'avoir fourni le code source.<BR/>Ensuite je m'en suis un peu servi pour faire mumuse, et je me suis dis que si non pouvais le faire avec des fichiers y'a pas de raison qu'avec des processus se soit different.<BR/>Alors ni une ni deux je m'y suis mis.<BR/>Je fini tranquillement, je suis content, je teste et la a ma grande surprise ca ne fonctionne pas !<BR/>Je regarde mes debugs, j'ai essayer d'injecter dans process explorer (procexp.exe) sur mes debugs je vois qu'il n'utilise pas NtQuerySystemInformation pour lister des fichiers (soit SystemInformationClass == 5) mais uniquement avec SystemInformationClass == 2 (je ne sais pas a quoi ca correspond).<BR/>Je teste alors avec le task manager de windows (Taskmgr.exe), lui n'utilise meme pas pour SystemInformationClass == 2, donc aucun apelle a ma fonction.<BR/>Je supose qu'ils doivent loader l'API directement depuis la DLL mais je n'en suis pas du tout sur.<BR/>Si tu as une quelquonque explication (voir meme solution) elle serait la bien venue.<BR/>Merci encore ^^<BR/>`Z`Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-39746437545301617642007-12-11T12:07:00.000-08:002007-12-11T12:07:00.000-08:00tres sympa ton article " Overclok"tres sympa ton article " Overclok"Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-71077553016492575272007-12-11T11:45:00.000-08:002007-12-11T11:45:00.000-08:00Sympa comme article, il suffit d'injecter la dll d...Sympa comme article, il suffit d'injecter la dll dans tous les process et on a un jouli rk en ring3. :)Anonymousnoreply@blogger.com