r00tkit
شنبه 10 دی 1390, 12:33 عصر
سلام
self-protection یکی از مواردی هستش که محصولات امنیتی بهش توجه می کنن یعنی به طوری که شده کل کل
توی انتی ویروس ها kaspersky , dr.web بهترین self-protection رو دارن
kasper برای اینکه کسی فایل هاش رو پاک نکنه یا کسی نتونه پراسسش رو کیل کنه و رجیستری رو تغییر بده کلی تابع توی ssdt هوک کرده ( توابع زیادی هم در shadowssdt و minifilter )
این لیست توابع هوک شده فقط توی ssdt هستش
Fun Name
NtAdjustPrivilegesToken
NtClose
NtConnectPort
NtCreateEvent
NtCreateMutant
NtCreatePort
NtCreateProcess
NtCreateProcessEx
NtCreateSection
NtCreateSemaphore
NtCreateSymbolicLinkObject
NtCreateThread
NtCreateWaitablePort
NtDebugActiveProcess
NtDeleteKey
NtDeleteValueKey
NtDeviceIoControlFile
NtDuplicateObject
NtEnumerateKey
NtEnumerateValueKey
NtLoadDriver
NtLoadKey
NtLoadKey2
NtMapViewOfSection
NtNotifyChangeKey
NtOpenEvent
NtOpenMutant
NtOpenProcess
NtOpenSection
NtOpenSemaphore
NtOpenThread
NtPlugPlayControl
NtQueryKey
NtQueryMultipleValueKey
NtQueryObject
NtQuerySection
NtQueryValueKey
NtQueueApcThread
NtRenameKey
NtReplaceKey
NtReplyPort
NtReplyWaitReceivePort
NtRequestWaitReplyPort
NtRestoreKey
NtResumeThread
NtSaveKey
NtSaveKeyEx
NtSaveMergedKeys
NtSecureConnectPort
NtSetContextThread
NtSetInformationToken
NtSetSystemInformation
NtSetValueKey
NtSuspendProcess
NtSuspendThread
NtSystemDebugControl
NtTerminateProcess
NtTerminateThread
NtUnmapViewOfSection
NtWriteVirtualMemory
با این حال با بررسی هایی که من کردم دو تا چیز رو یادشون رفته که باعث می شه کاربر به سادگی از user-mode از کار بندازتش ( توی boot بعدی دیگه بالا نیاد )
یکی از روش ها به صورت POC توی فیلم زیر قرار دادم که باعث می شه kaspersky توی boot بعدی دیگه بالا نیاد
انتی ویروس های دیگه ارزش وقت صرف کردن رو ندارن ( panda , bitdefender ,..... )
http://www.mediafire.com/?yldk355feivtxi5
موفق باشید
self-protection یکی از مواردی هستش که محصولات امنیتی بهش توجه می کنن یعنی به طوری که شده کل کل
توی انتی ویروس ها kaspersky , dr.web بهترین self-protection رو دارن
kasper برای اینکه کسی فایل هاش رو پاک نکنه یا کسی نتونه پراسسش رو کیل کنه و رجیستری رو تغییر بده کلی تابع توی ssdt هوک کرده ( توابع زیادی هم در shadowssdt و minifilter )
این لیست توابع هوک شده فقط توی ssdt هستش
Fun Name
NtAdjustPrivilegesToken
NtClose
NtConnectPort
NtCreateEvent
NtCreateMutant
NtCreatePort
NtCreateProcess
NtCreateProcessEx
NtCreateSection
NtCreateSemaphore
NtCreateSymbolicLinkObject
NtCreateThread
NtCreateWaitablePort
NtDebugActiveProcess
NtDeleteKey
NtDeleteValueKey
NtDeviceIoControlFile
NtDuplicateObject
NtEnumerateKey
NtEnumerateValueKey
NtLoadDriver
NtLoadKey
NtLoadKey2
NtMapViewOfSection
NtNotifyChangeKey
NtOpenEvent
NtOpenMutant
NtOpenProcess
NtOpenSection
NtOpenSemaphore
NtOpenThread
NtPlugPlayControl
NtQueryKey
NtQueryMultipleValueKey
NtQueryObject
NtQuerySection
NtQueryValueKey
NtQueueApcThread
NtRenameKey
NtReplaceKey
NtReplyPort
NtReplyWaitReceivePort
NtRequestWaitReplyPort
NtRestoreKey
NtResumeThread
NtSaveKey
NtSaveKeyEx
NtSaveMergedKeys
NtSecureConnectPort
NtSetContextThread
NtSetInformationToken
NtSetSystemInformation
NtSetValueKey
NtSuspendProcess
NtSuspendThread
NtSystemDebugControl
NtTerminateProcess
NtTerminateThread
NtUnmapViewOfSection
NtWriteVirtualMemory
با این حال با بررسی هایی که من کردم دو تا چیز رو یادشون رفته که باعث می شه کاربر به سادگی از user-mode از کار بندازتش ( توی boot بعدی دیگه بالا نیاد )
یکی از روش ها به صورت POC توی فیلم زیر قرار دادم که باعث می شه kaspersky توی boot بعدی دیگه بالا نیاد
انتی ویروس های دیگه ارزش وقت صرف کردن رو ندارن ( panda , bitdefender ,..... )
http://www.mediafire.com/?yldk355feivtxi5
موفق باشید