HIDEVCD OU ANTI-BLAXX LIKE rootkit, drivers, services, menus, popup, Source N°35005

Information sur la source

Catégorie :Systeme Classé sous : rootkit, drivers, services, menus, popup Niveau : Initié Date de création : 09/12/2005 Date de mise à jour : 10/12/2005 10:12:35 Vu / téléchargé: 4 975 / 284

Auteur : patatalo

Ecrire un message privé

Note :
Aucune note

Commentaire sur cette source (4)

Ajouter un commentaire et/ou une note

Description

le programme est composé de 2 modules.
le launch.exe partie gui et le service rootkit.sys pour le coté system.

le service s'empare de la SSDT ( Regmon,... ) pour empecher les application indiquées d'acceder aux clefs de registre permettant de verifier que le lecteur est virtuel ou reel.
la recherche du process se fait par le nom. Attention !!!

si jamais un programme rehook la SSDT, le driver refusera de se desinstaller.

Conclusion

un super gros merci a Mark Russinovich, Four-F, Iczelion, EliCZ, et les autres pour tout les documents, exemples et logiciels...
le gain de temps se compte en milliards d'années.

Fichier Zip

Pour les "Membres Club", vous pouvez télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

exe
- launch.bat 19 702 octets
- rk32_32_32.ico 22 486 octets
- rsrc.obj23 608 octets
- rsrc.rc 402 octets
- sysldr.asm 3 186 octets
inc
- base.inc762 octets
- rkioctl.inc579 octets
sys
- hidevcd.asm 13 067 octets
- hkssdt.asm 5 789 octets
- rootkit.bat 8 347 octets
- rootkit.inc383 octets
launch.exe30 720 octets
Rootkit.sys5 088 octets

Télécharger le zip

Historique

10 décembre 2005 10:12:36 :: La structure EPROCESS n'etant pas compatible sur tout les noyau NT, le programme ne peut fonctionner que sur OS XP+ c'est pourquoi j'ai mis a jour avec une verification du system d'exploitation dans launch.exe

Sources du même auteur

Toutes les sources de patatalo

Sources de la même categorie

Toutes les sources de la catégorie Systeme

Commentaires

Commentaire de vecchio56 le 10/12/2005 16:55:29 administrateur CS

Ils sont pas un peu bizarres tes .bat?
Sinon, j'ai pas bien compris le but du code, ca m'a l'air relativement compliqué...
Commentaire de patatalo le 11/12/2005 10:36:47 administrateur CS

les .bat c'est le code source auto-compilable, c'est reelement le melange d'un batch et du code asm. Le principal etant que cela fonctionne, pour ma part, je trouve ça pratique.

Le launch s'occupe de la partie GUI (l'icone se met en TRAY)
je ne pense pas que la difficultée soit là.

Le driver lui est composé de 3 parties:
rootkit.bat contient les fonctions de bases pour la gestion du driver.
hkssdt.asm contient le code permettant de hooker les services systemes de Windows ( Fonction Zw/Nt ... )
hidevcd.asm contient les fonctions specifiques du driver a savoir l'installation de la fonction hook HookZwOpenKey et la gestion d'un filtre qui nous permet de savoir ce qu'il faut autoriser ou refuser.

Tout appel system passe tout par une fonction syscall qui verifie si interruption ou syscall et simule toute entrée comme arrivant d'une interruption ( structure KTRAP_FRAME )

Si c'est un appel system, le code va chercher un pointeur vers une table ( System service Descriptor Table SSDT ) dans laquelle sont stockés les pointeurs vers les fonctions systemes et le nombre de parametres que ces fonctions prennent en charge.

c'est dans cette table que le programme intervient et introduit un hook.

Regmon de sysinternals fonctionne de cette maniere là et je soupçonne aussi Anti-Blaxx d'utiliser cette methode.

D'une manière générale c'est aussi comme cela que fonctionne les rootkits ( code permettant de prendre controle de ta becane ) et c'est surtout pour cela que j'ai partagé ce code.

@++
Commentaire de patatalo le 11/12/2005 11:09:24 administrateur CS

voilà pour le hook,

ntoskrnl.exe exporte cette structure par le Symbol KeServiceDescriptorTable on la retrouve aussi dans KTHREAD.ServiceTable

ServiceDescriptorEntry STRUCT
ServiceTableBase DWORD ?
ServiceCounterTableBase DWORD ?; DWORD PTR
NumberOfServices DWORD ?
ParamTableBase DWORD ?; DWORD PTR
ServiceDescriptorEntry ENDS

ServiceTableBase est un pointeur vers un tableau de pointeurs vers les fonctions system. La taille du tableau etant fournie par NumberOfServices.

ensuite, les exports de ntoskrnl ne nous permettent d'obtenir que l'adresse de la fonction Zw et non son ID dans le tableau.
Le probleme est là, suivant les versions de NT, l'ID peut changer aussi.

en fait, Toute fonction Zw commence par:

IF OS<XP THEN SYSCALL=int 2Eh ELSE SYSCALL=SYSENTER

ZwOpenKey PROC
mov eax,ID
...
SYSCALL
ZwOpenKey ENP

donc [ZwOpenKey+1] = ID

le reste ne devrait pas poser de problemes

@++
Commentaire de silkscalp le 15/12/2005 18:09:54

Franchement sympa ton code de rootkit.
Je connaissait pas les .bat auto-compilable qui melange des .bat et l'ASM... Très interressant.
CE code es à explorer par tout ceux qui apprecient l'ASM sous win3 2 et la seurité.
En tout cas je dl pour explorer cela de très près .
Et merci pour partager tes connaissances avec les autres comme l'on fait d'autre comme Izelion
++
Silkscalp

Le savoir est un pouvoir
Le partager est un devoir