CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

begin process at 2010 02 09 21:40:29

Accueil Codes Tutoriels Forum Livres Emploi Services Connexion

Trouver un code source :

dans

[ Dernières recherches ]

Accueil >

HIDEVCD OU ANTI-BLAXX LIKE

Information sur la source

Note :
Aucune note

Catégorie :Systeme Classé sous :rootkit, drivers, services, menus, popup Niveau :Initié Date de création :09/12/2005 Date de mise à jour :10/12/2005 10:12:35 Vu / téléchargé :6 584 / 350

Auteur : patatalo

Ecrire un message privé

Commentaire sur cette source (4)

Ajouter un commentaire et/ou une note

Description

le programme est composé de 2 modules.
le launch.exe partie gui et le service rootkit.sys pour le coté system.

le service s'empare de la SSDT ( Regmon,... ) pour empecher les application indiquées d'acceder aux clefs de registre permettant de verifier que le lecteur est virtuel ou reel.
la recherche du process se fait par le nom. Attention !!!

si jamais un programme rehook la SSDT, le driver refusera de se desinstaller.

Conclusion

un super gros merci a Mark Russinovich, Four-F, Iczelion, EliCZ, et les autres pour tout les documents, exemples et logiciels...
le gain de temps se compte en milliards d'années.

Fichier Zip

Les Membres Club peuvent télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

exe
- launch.bat 19 702 octets
- rk32_32_32.ico 22 486 octets
- rsrc.obj23 608 octets
- rsrc.rc 402 octets
- sysldr.asm 3 186 octets
inc
- base.inc762 octets
- rkioctl.inc579 octets
sys
- hidevcd.asm 13 067 octets
- hkssdt.asm 5 789 octets
- rootkit.bat 8 347 octets
- rootkit.inc383 octets
launch.exe30 720 octets
Rootkit.sys5 088 octets

Télécharger le zip

Historique

10 décembre 2005 10:12:36 :: La structure EPROCESS n'etant pas compatible sur tout les noyau NT, le programme ne peut fonctionner que sur OS XP+ c'est pourquoi j'ai mis a jour avec une verification du system d'exploitation dans launch.exe

Sources du même auteur

SCHEDULEUR TEST

LIVE CD OMF

V86 HOOK BIOS/DOS

TORITO LOADER & ISOEMUL

COFFVIEW

Toutes les sources de patatalo

Sources de la même categorie

DÉPLACEMENT D'UN RÉCTANGLE ROUGE A L'AIDE DE LA SOURIS par KIMI1632

SCHEDULEUR TEST par patatalo

LIVE CD OMF par patatalo

"MORTIMER": UN HOBBY OS par bofur

LE SYSTÈME D'EXPLOITATION LOGRAM par steckdenis

Toutes les sources de la catégorie Systeme

Commentaires et avis

Commentaire de vecchio56 le 10/12/2005 16:55:29 administrateur CS

Ils sont pas un peu bizarres tes .bat?
Sinon, j'ai pas bien compris le but du code, ca m'a l'air relativement compliqué...

Commentaire de patatalo le 11/12/2005 10:36:47 administrateur CS

les .bat c'est le code source auto-compilable, c'est reelement le melange d'un batch et du code asm. Le principal etant que cela fonctionne, pour ma part, je trouve ça pratique.

Le launch s'occupe de la partie GUI (l'icone se met en TRAY)
je ne pense pas que la difficultée soit là.

Le driver lui est composé de 3 parties:
rootkit.bat contient les fonctions de bases pour la gestion du driver.
hkssdt.asm contient le code permettant de hooker les services systemes de Windows ( Fonction Zw/Nt ... )
hidevcd.asm contient les fonctions specifiques du driver a savoir l'installation de la fonction hook HookZwOpenKey et la gestion d'un filtre qui nous permet de savoir ce qu'il faut autoriser ou refuser.

Tout appel system passe tout par une fonction syscall qui verifie si interruption ou syscall et simule toute entrée comme arrivant d'une interruption ( structure KTRAP_FRAME )

Si c'est un appel system, le code va chercher un pointeur vers une table ( System service Descriptor Table SSDT ) dans laquelle sont stockés les pointeurs vers les fonctions systemes et le nombre de parametres que ces fonctions prennent en charge.

c'est dans cette table que le programme intervient et introduit un hook.

Regmon de sysinternals fonctionne de cette maniere là et je soupçonne aussi Anti-Blaxx d'utiliser cette methode.

D'une manière générale c'est aussi comme cela que fonctionne les rootkits ( code permettant de prendre controle de ta becane ) et c'est surtout pour cela que j'ai partagé ce code.

@++

Commentaire de patatalo le 11/12/2005 11:09:24 administrateur CS

voilà pour le hook,

ntoskrnl.exe exporte cette structure par le Symbol KeServiceDescriptorTable on la retrouve aussi dans KTHREAD.ServiceTable

ServiceDescriptorEntry STRUCT
ServiceTableBase DWORD ?
ServiceCounterTableBase DWORD ?; DWORD PTR
NumberOfServices DWORD ?
ParamTableBase DWORD ?; DWORD PTR
ServiceDescriptorEntry ENDS

ServiceTableBase est un pointeur vers un tableau de pointeurs vers les fonctions system. La taille du tableau etant fournie par NumberOfServices.

ensuite, les exports de ntoskrnl ne nous permettent d'obtenir que l'adresse de la fonction Zw et non son ID dans le tableau.
Le probleme est là, suivant les versions de NT, l'ID peut changer aussi.

en fait, Toute fonction Zw commence par:

IF OS<XP THEN SYSCALL=int 2Eh ELSE SYSCALL=SYSENTER

ZwOpenKey PROC
mov eax,ID
...
SYSCALL
ZwOpenKey ENP

donc [ZwOpenKey+1] = ID

le reste ne devrait pas poser de problemes

@++

Commentaire de silkscalp le 15/12/2005 18:09:54

Franchement sympa ton code de rootkit.
Je connaissait pas les .bat auto-compilable qui melange des .bat et l'ASM... Très interressant.
CE code es à explorer par tout ceux qui apprecient l'ASM sous win3 2 et la seurité.
En tout cas je dl pour explorer cela de très près .
Et merci pour partager tes connaissances avec les autres comme l'on fait d'autre comme Izelion
++
Silkscalp

Le savoir est un pouvoir
Le partager est un devoir

Ajouter un commentaire

Discussions en rapport avec ce code source dans le forum

Popup basé sur un calendrier à certaines heures ... en batch ou autre. [ par raztou ] Bonjour chers amis programmeurs !Je suis responsable d'une petite équipe au sein de mon travail, et ceux-ci oublient régulièrement de remplir une tâch

Nos sponsors

Derniers Blogs

[DIVERS] SUIVRE VOS SéRIES PRéFéRéS SUR LA TOILE par orion

TECHDAYS PARIS 2010 : LA BI DANS SHAREPOINT 2010 par ROMELARD Fabrice

TECHDAYS PARIS 2010 : DéPLOIEMENT DE NOUVELLES TECHNOLOGIES - RETOUR D'EXPéRIENCE PAR L'INFORMATIQUE DE MICROSOFT par ROMELARD Fabrice

TECHDAYS PARIS 2010 : PLAN DE MIGRATION VERS SHAREPOINT 2010 par ROMELARD Fabrice

TECHDAYS PARIS 2010 : LA PLEINIèRE DU SECOND JOUR par ROMELARD Fabrice

Forum

RE : PIC 16F84 par pont

RE : PIC 16F84 par belounis

RE : GETDLGITEMTEXT ET SETDLGITEMTEXT par BruNews

RE : PIC 16F84 par pont

GETDLGITEMTEXT ET SETDLGITEMTEXT par swadfish

Côté IT

Offres d'emploi

Formations Video

Appels d'offres

PLATEFORME SUR L ESOTERISME VOYANCE - sans charte graphique
Budget : 3 500€
Joomla 15 module paiement adaptation composant cuisine
Budget : 250€
Integrateur web dans template
Budget : 500€

Logiciels

DB-MAIN (9.1.0)
DB-MAIN (9.1.0)

DB-MAIN is a data-modeling and data-architecture tool. It is designed to help developers and anal...

Cliquez pour télécharger DB-MAIN
Xilisoft DPG Convertisseur (5.1.37.0120)
XILISOFT DPG CONVERTISSEUR (5.1.37.0120)

Xilisoft DPG Convertisseur offre aux fans de Nintendo DS une bonne solution leur permettant de dé...

Cliquez pour télécharger Xilisoft DPG Convertisseur
GraphicsGale (2.01.01)
GRAPHICSGALE (2.01.01)

GraphicsGale est un logiciel de PixelArt avec de nombreuse fonctionnalités permettant de réalisé ...

Cliquez pour télécharger GraphicsGale
Architecte 3D (Platinum 2010)
ARCHITECTE 3D (PLATINUM 2010)

Architecte 3D Platinium vous permet de concevoir facilement les plans votre future maison, de l'é...

Cliquez pour télécharger Architecte 3D
TeamViewer 5 (TeamViewer 5)
TEAMVIEWER 5 (TEAMVIEWER 5)

Dépanner un ami,expliquer une manipulation devient un jeu d'enfant. Prise en main d'un autre ord...

Cliquez pour télécharger TeamViewer 5