CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

begin process at 2010 03 18 18:23:53

Accueil Codes Tutoriels Forum Livres Emploi Services Connexion

Trouver un code source :

dans

[ Dernières recherches ]

Accueil >

HIDEVCD OU ANTI-BLAXX LIKE

Information sur la source

Note :
Aucune note

Catégorie :Systeme Classé sous :rootkit, drivers, services, menus, popup Niveau :Initié Date de création :09/12/2005 Date de mise à jour :10/12/2005 10:12:35 Vu / téléchargé :6 682 / 352

Auteur : patatalo

Ecrire un message privé

Commentaire sur cette source (4)

Ajouter un commentaire et/ou une note

Description

le programme est composé de 2 modules.
le launch.exe partie gui et le service rootkit.sys pour le coté system.

le service s'empare de la SSDT ( Regmon,... ) pour empecher les application indiquées d'acceder aux clefs de registre permettant de verifier que le lecteur est virtuel ou reel.
la recherche du process se fait par le nom. Attention !!!

si jamais un programme rehook la SSDT, le driver refusera de se desinstaller.

Conclusion

un super gros merci a Mark Russinovich, Four-F, Iczelion, EliCZ, et les autres pour tout les documents, exemples et logiciels...
le gain de temps se compte en milliards d'années.

Fichier Zip

Les Membres Club peuvent télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

exe
- launch.bat 19 702 octets
- rk32_32_32.ico 22 486 octets
- rsrc.obj23 608 octets
- rsrc.rc 402 octets
- sysldr.asm 3 186 octets
inc
- base.inc762 octets
- rkioctl.inc579 octets
sys
- hidevcd.asm 13 067 octets
- hkssdt.asm 5 789 octets
- rootkit.bat 8 347 octets
- rootkit.inc383 octets
launch.exe30 720 octets
Rootkit.sys5 088 octets

Télécharger le zip

Historique

10 décembre 2005 10:12:36 :: La structure EPROCESS n'etant pas compatible sur tout les noyau NT, le programme ne peut fonctionner que sur OS XP+ c'est pourquoi j'ai mis a jour avec une verification du system d'exploitation dans launch.exe

Sources du même auteur

SCHEDULEUR TEST

LIVE CD OMF

V86 HOOK BIOS/DOS

TORITO LOADER & ISOEMUL

COFFVIEW

Toutes les sources de patatalo

Sources de la même categorie

DÉPLACEMENT D'UN RÉCTANGLE ROUGE A L'AIDE DE LA SOURIS par KIMI1632

SCHEDULEUR TEST par patatalo

LIVE CD OMF par patatalo

"MORTIMER": UN HOBBY OS par bofur

LE SYSTÈME D'EXPLOITATION LOGRAM par steckdenis

Toutes les sources de la catégorie Systeme

Commentaires et avis

Commentaire de vecchio56 le 10/12/2005 16:55:29 administrateur CS

Ils sont pas un peu bizarres tes .bat?
Sinon, j'ai pas bien compris le but du code, ca m'a l'air relativement compliqué...

Commentaire de patatalo le 11/12/2005 10:36:47 administrateur CS

les .bat c'est le code source auto-compilable, c'est reelement le melange d'un batch et du code asm. Le principal etant que cela fonctionne, pour ma part, je trouve ça pratique.

Le launch s'occupe de la partie GUI (l'icone se met en TRAY)
je ne pense pas que la difficultée soit là.

Le driver lui est composé de 3 parties:
rootkit.bat contient les fonctions de bases pour la gestion du driver.
hkssdt.asm contient le code permettant de hooker les services systemes de Windows ( Fonction Zw/Nt ... )
hidevcd.asm contient les fonctions specifiques du driver a savoir l'installation de la fonction hook HookZwOpenKey et la gestion d'un filtre qui nous permet de savoir ce qu'il faut autoriser ou refuser.

Tout appel system passe tout par une fonction syscall qui verifie si interruption ou syscall et simule toute entrée comme arrivant d'une interruption ( structure KTRAP_FRAME )

Si c'est un appel system, le code va chercher un pointeur vers une table ( System service Descriptor Table SSDT ) dans laquelle sont stockés les pointeurs vers les fonctions systemes et le nombre de parametres que ces fonctions prennent en charge.

c'est dans cette table que le programme intervient et introduit un hook.

Regmon de sysinternals fonctionne de cette maniere là et je soupçonne aussi Anti-Blaxx d'utiliser cette methode.

D'une manière générale c'est aussi comme cela que fonctionne les rootkits ( code permettant de prendre controle de ta becane ) et c'est surtout pour cela que j'ai partagé ce code.

@++

Commentaire de patatalo le 11/12/2005 11:09:24 administrateur CS

voilà pour le hook,

ntoskrnl.exe exporte cette structure par le Symbol KeServiceDescriptorTable on la retrouve aussi dans KTHREAD.ServiceTable

ServiceDescriptorEntry STRUCT
ServiceTableBase DWORD ?
ServiceCounterTableBase DWORD ?; DWORD PTR
NumberOfServices DWORD ?
ParamTableBase DWORD ?; DWORD PTR
ServiceDescriptorEntry ENDS

ServiceTableBase est un pointeur vers un tableau de pointeurs vers les fonctions system. La taille du tableau etant fournie par NumberOfServices.

ensuite, les exports de ntoskrnl ne nous permettent d'obtenir que l'adresse de la fonction Zw et non son ID dans le tableau.
Le probleme est là, suivant les versions de NT, l'ID peut changer aussi.

en fait, Toute fonction Zw commence par:

IF OS<XP THEN SYSCALL=int 2Eh ELSE SYSCALL=SYSENTER

ZwOpenKey PROC
mov eax,ID
...
SYSCALL
ZwOpenKey ENP

donc [ZwOpenKey+1] = ID

le reste ne devrait pas poser de problemes

@++

Commentaire de silkscalp le 15/12/2005 18:09:54

Franchement sympa ton code de rootkit.
Je connaissait pas les .bat auto-compilable qui melange des .bat et l'ASM... Très interressant.
CE code es à explorer par tout ceux qui apprecient l'ASM sous win3 2 et la seurité.
En tout cas je dl pour explorer cela de très près .
Et merci pour partager tes connaissances avec les autres comme l'on fait d'autre comme Izelion
++
Silkscalp

Le savoir est un pouvoir
Le partager est un devoir

Ajouter un commentaire

Discussions en rapport avec ce code source dans le forum

Popup basé sur un calendrier à certaines heures ... en batch ou autre. [ par raztou ] Bonjour chers amis programmeurs !Je suis responsable d'une petite équipe au sein de mon travail, et ceux-ci oublient régulièrement de remplir une tâch

Nos sponsors

Derniers Blogs

TECHDAYS 2010 GENèVE : RETROUVEZ-MOI POUR UNE SESSION SUR LA HAUTE DISPONIBILITé ET LE SCALEOUT AVEC SQL SERVER par christian

[MIX10] KEYNOTE DEUXIèME JOURNéE - INTERNET EXPLORER 9, HTML5, VISUAL STUDIO 2010, ODATA par cyril

CERTIFICATIONS BETA .NET 4 par KooKiz

[MIX 2010] - MICROSOFT TRANSLATOR TECHNOLOGY PREVIEW V2 par redo

LANCEMENT EN PREVIEW DE CYCLONE LORS DES TECHDAYS 2010! par MPOWARE

Forum

TéLéCHARGEMENT GRATUIT DE : ACE AIMS7000 par CGL3615

ASSEMBLEUR par solleil

SYSTEME DE POINTAGE PAR CARTE A PUCE par mecmec16

PROBLèME ENTRE LA SIMULATION ET LA RéALITé par bibou1234

RE : CSHARP par ghuysmans99

Côté IT

Offres d'emploi

Formations Video

Appels d'offres

URGENT Travaux PAO iWork 09 arabe hebreu anglais captures ecran
Budget : 400€
creation site web Joomla
Budget : 4 000€
plateforme voyance rencontre boutique
Budget : 3 000€

Logiciels

Academy System (10.9.4.0)
ACADEMY SYSTEM (10.9.4.0)

Logiciel de gestion des établissements. - élèves/étudiants (inscription, dossier, absence...) -...

Cliquez pour télécharger Academy System
Xilisoft Convertisseur Vidéo Ultimate (5.1.39.0305)
XILISOFT CONVERTISSEUR VIDéO ULTIMATE (5.1.39.0305)

Xilisoft Convertisseur Vidéo Ultimate est un outil puissant de conversion vidéo, facile à utilise...

Cliquez pour télécharger Xilisoft Convertisseur Vidéo Ultimate
Xilisoft DVD Ripper Ultimate (5.0.64.0304)
XILISOFT DVD RIPPER ULTIMATE (5.0.64.0304)

Xilisoft DVD Ripper Ultimate est un logiciel excellent pour copier et convertir DVD vers presque ...

Cliquez pour télécharger Xilisoft DVD Ripper Ultimate
Axalot, logiciel de sauvegarde de données en ligne (1.10.108.1)
AXALOT, LOGICIEL DE SAUVEGARDE DE DONNéES EN LIGNE (1.10.108.1)

Perdre tout le contenu de votre disque dur, vous imaginez ? Vos photos, vos musiques, votre compt...

Cliquez pour télécharger Axalot, logiciel de sauvegarde de données en ligne
Rigs of Rods (63.3)
RIGS OF RODS (63.3)

c'est un jeu de multi-simulation camions,autobus voitures, avions, bateaux, hélicoptère avec défo...

Cliquez pour télécharger Rigs of Rods