Comentarios en: A paradox: Writing to another process without openning it nor actually writing to it

Por: c0de90e7

c0de90e7 — Thu, 03 May 2007 13:47:04 +0000

gracias tron )

Por: ack

ack — Sun, 29 Apr 2007 08:37:41 +0000

Vaya, veo que ya lo has publicado… Buen trabajo! Yo diría que ésta técnica se le debe colar a todo o casi todo el software anti virus/rootkit/etc…

Y ese nick, eeeejeeeemmmm

Por: c0de90e7

c0de90e7 — Sun, 08 Apr 2007 14:09:16 +0000

Gracias Mario Si, el nick esta chulo, algo flipadillo, pero mola xD y lo mejor es que entra en un DWORD en hexadecimal . Lo he usado en algun que otro exploit donde necesitaba un patron ( la del expand-down data segment de w2k… ) y bueno, ahora lo uso como nick

Por: Mario

Mario — Sun, 08 Apr 2007 12:30:27 +0000

Está interesante la técnica ), seguramente cuele en la mayoría de software con detecciones "proactivas", por cierto el nick también muy bueno xD

Un saludo!,

Mario

Por: c0de90e7

c0de90e7 — Sat, 07 Apr 2007 11:08:09 +0000

En principio deberia funcionar en todos o la mayoria de NTs eh ? yo lo he probado en varios 2000es diferentes ( SP0,SP4 ), varios XPs diferentes, varios 2003 diferentes, 2 betas de Vista y la release final de Vista tambien, y todas han funcionado... no deberia influir el tema de localizaciones... En cuanto a que ya hay doc de esto... puedes rularme referencias. Precisamente, cuando consegui hacerlo, lo primero que hice fue mirar en rootkit.com y en esos temas en general a ver si veia algo, y nada, solo encontre un hilo en rootkit.com de un tio que planteaba algo similar ( aunque se trataba de inyectar una .DLL ) y no lo habia conseguido, he preguntado a gente del mundillo y me dicen que exactamente de eso no tienen constancia...

Ya digo, puede que haya habiado algo, no lo niego, aunque no he visto nada... de todas formas, espero que no te refieras al tipico caso de abrir el proceso normal y usar writeprocessmemory etc. y _solo para evitar el uso de createremotethread_ utilizar setthreadcontext...

La referencia de lo unico que yo haya encontrado de esto, que ya te digo, no se conseguia, es:

www.rootkit.com/newsread....

mira el reply de "dsei":

www.rootkit.com/board.php...

este es el unico que tenia una idea algo mas ambiciosa, pues todo esto era para evitar controles de ejecucion en antirootkits, firewalls, avs... y por mucho que evites createremotethread ( eso no es nuevo ), todo el mundo abria el proceso y hacia writeprocessmemory...

No se, por favor, pasame referencias, por que si en verdad alguien ya lo ha hecho, pues oye, sin mas, estaba en el desconocimiento...

Gracias y un saludo,

P.S.: De todas formas, puedes indicarme que error te da o algo asi... he probado muchos windows diferentes ( corriendo en maquinas IA32 ) y me ha ido bien :S

Por: abruzzi

abruzzi — Sat, 07 Apr 2007 10:17:14 +0000

Hola, he probado el código y no me ha funcionado, se deben tomar en cuenta requisitos especiales (versión ansi o unicode de windows, tamaño mínimo de memoria, no tener segun que procesos corriendo, etc)?. Aparte, creo que no has descubierto nada nuevo.., ya hay documentación en ingles sobre la modificación de código en threads remotos mediante únicamente GetThreadContext & SetThreadContext, yo lo he leido en algún que otro paper sobre ingeniería inversa, y en alguno otro sobre rk’s para windows.

Por: TensionHead

TensionHead — Sat, 07 Apr 2007 09:08:33 +0000

Pues entre elegir Perl o Python la respuesta la tendría clara; el segundo.
A mi la sintaxis de Perl no me gusta nada, y Python me parece una fiera. Ruby no lo conozco nada.

Supongo que esto es como todo. Gustos, y sobre gustos...

Por: c0de90e7

c0de90e7 — Sat, 07 Apr 2007 06:35:45 +0000

Hehe, mirando… bueno, aveces si xD.

Si, me referia a eso: razones románticas . Enamorado… mas bien del ensamblador o codigo maquina hehe. De hecho, la primera version de esta PoC la hice en ensamblador ( si alguien la quiere… pero esta guarrilla guarrilla… era cuando estaba haciendo el research en si… ), y luego la pase a C para que se entendiera mas facil y tal.

No se cual sera la preferencia de txipi, creo que C si que le gusta, y luego es un mastah del Shell Scripting ( que puede ser un compendio de varios lenguajes, ademas de ello mismo ), incluyendo algun que otro lenguaje interpretado, no se si le gusta python , aunque en deusto si que recuerdo que habia un enamorado de python ( muy enamorado )…

Es mi asignatura pendiente, aprender o bien perl, o bien python o bien ruby.

Hace un tiempo tuvimos que traducir un fichero de un mega de texto ( includes para ensamblador en win32 que estaban hechas para MASM, y las portamos a NASM ) y gracias a un par de scripts en perl el trabajo se redujo al 5%, que aun asi fue tedioso, pero realizable. Desde entonces me pica bastante aprender perl… pero no hay tiempo para todo…

Por: TensionHead

TensionHead — Sat, 07 Apr 2007 04:14:22 +0000

0_o ¿Y no se os quedan mirando cuando cantais esas cosas tan "raras"? :^)

Por cierto c0de90e7, con lo de razones romaticas supongo que quieres decir románticas, y seguro que como txipi serás un enamorado de C, ¿o de Python quizás?. Por allí por Deusto "parece" que se estila mucho.

Saludos

Por: txipi

txipi — Fri, 06 Apr 2007 10:09:11 +0000

A parte que Java Desktop fue una distro de GNU/Linux que sacó Sun para intentar conseguir meterse en el mercado linuxero y no fue nada exitosa, así que "Java Desktop fue un error"