DH Anasayfa
İndirim Kodu
Ara
Popüler
Foruma Git
Hakkımızda
Destek
Mobil Sürüm
Standart Site Görünümü
Bu Konuda
  • Tüm Forumlar
  • Web Tasarım - Programlama
  • Yazılım Geliştirme
  • Delphi / C++ /Vb
  • Bu Konuda
Arama butonu
Bağlan:
Facebook
Google+
Twitter
Aşağı Git Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme Delphi / C++ /Vb Direct Kernel Object Manipulation hakkında. (Rootkit Driver'ı Windows Kerneline Load Etmek.)
Bu konudaki kullanıcılar: 1 misafir
6
Cevap 307
Tıklama 0
Öne Çıkarma
Direct Kernel Object Manipulation hakkında. (Rootkit Driver'ı Windows Kerneline Load Etmek.)
Cevap Yaz
Konuya Özel
G
Guest-8F0924900
6 yıl
Yüzbaşı
Konu Sahibi

Böyle bir şeye merak saldım. Bir loader buldum ve direct kernel object manipulation(DKOM) rootkit'i(driver.sys) buldum. Rootkit driver'ı system32\drivers yoluna attım ve anti-virüs'ü devre dışı bıraktım. OSRLoader ile driver'ı load ettim fakat bu rootkit driver'ı kabak gibi DriverWiew vari programlar bunu görüyor. Ayrıca kaldırılabiliyor.Meşhur BSOD ekranı falanda gelmiyor.

Çelişki :

DKOM Rootkitleri'nin flink ve blink göstericilerine bağlandıklarını okudum. Benim kullandığım rootkit'de dkom rootkit driver'ı idi ? Peki neden silinebiliyor ben bunu anlayamadım.


Yani amacım kernel ring 0 (user tarafından erişilemez | user mode 0) injection ile process(exe) gizlemek ama kafam çok karışık.


İlham aldığım kaynaklar projeler:

https://en.wikipedia.org/wiki/Direct_kernel_object_manipulation
https://en.wikipedia.org/wiki/Rootkit

https://github.com/landhb/HideProcess // loader,driver
https://github.com/nbqofficial/HideDriver // hide driver



Kullandığım diller C/C++.





< Bu mesaj bu kişi tarafından değiştirildi Guest-8F0924900 -- 1 Şubat 2020; 11:55:43 >

V
Vidar
5 yıl
Çavuş

Ben de saatlerdir uğraşayım ki kurayım bayağı da yabancıyım bu işlere ama. Eğer olmuyor diyorsanız hiç denemeyeyim hocam. Ben bir başka programın açtığım programı görmemeesi için uğraşıyordum.


Bu mesaja 2 cevap geldi.
G
Guest-8F0924900
5 yıl
Yüzbaşı
Konu Sahibi

https://github.com/landhb/HideProcess Linkteki driver'i ve loaderi derleyin. Ardından cmd'yi yönetici olarak çalıştırıp bcdedit -set TESTSIGNING on yapın, bu sizin test driver'inizi sistem içinde kullanabilmenizi sağlayacaktır. Ardından loader'i yönetici olarak çalıştırıp bir process gösterin. Yaklaşık 30 saniye içinde artık process'iniz görünmez olacaktır.



Fakat böyle bir işi farklı sistemlerede yapmak istiyorsanız(virüs) önce patchguard'ı delmeniz gerekir. Başarılar. Gittiğiniz yol sıkıntılı bir yol, önceden söyleyeyim.

Fakat farklı bilgisayara yayma söz konusu değilse rahatlıkla yaparsınız, testsigning'i on yaparak. Fakat testsigning yapsan bile EPROCESS listesinden kendi processini silmene windows ne der bilemiyorum. Cevabı bsod olabilir :D

rohitab.com hala yaşıyor mu bilmiyorum ama orda sağlam kernel module driver, virus programmerlar vardı. baya sağlam.
Yani bunlar için hackforums.net'e falanda bilgi için giremezsin çünkü onlar da lamer millete rat sokmaya çalışıp birbirlerine crypter satmaya çalışan aptal sürüsü onlar :D.

Fakat aralarında yine bir şeyler geliştirebilenler var. Yani kernel mod bilgin yoksa şimdiden temelleri öğrenmeye başla. C++ bilgin yoksa direk onun temellerini öğrenmeye başla derim ben(kernel mod için). Halledeceğin işi user-mode'dan yaparsan hem zaman olarak senin kârına olur.




Bu mesajda bahsedilenler: @Vidar
G
Guest-8F0924900
5 yıl
Yüzbaşı
Konu Sahibi

Benim önerim bunu user mode rootkitler ile atlatmaya çalış. Kernel ile çok uğraşırsın temelin yoksa.

not : Bu arada sakın ordan burdan indirme o user mode rootkitleri. kaynak kodlarını incele. :D sonra ben sorumlu olmam bak.





< Bu mesaj bu kişi tarafından değiştirildi Guest-8F0924900 -- 30 Mayıs 2020; 10:54:46 >


Bu mesajda bahsedilenler: @Vidar
V
Vidar
5 yıl
Çavuş

Vallahi inanılmaz çok root-kit yükledim :) Türlü türlü denemeler yaptım ama başarısz oldum maalesef :)

Şöyle bir injector lazım bana ama exe dosyasını oluşturamadım maalesef bir türlü :)https://www.youtube.com/watch?v=ByhMK_HiwEY





< Bu mesaj bu kişi tarafından değiştirildi Vidar -- 2 Haziran 2020; 15:7:36 >
Bu mesaja 1 cevap geldi.
G
Guest-8F0924900
5 yıl
Yüzbaşı
Konu Sahibi

Umarım sanal makineye yüklemişsinizdir.

Saklamaya çalıştığınız şey bir Remote Access Trojan(RAT) veya farklı bir virüs çeşidi mi ?





< Bu mesaj bu kişi tarafından değiştirildi Guest-8F0924900 -- 2 Haziran 2020; 15:30:22 >
Bu mesaja 1 cevap geldi.

Bu mesajda bahsedilenler: @Vidar
V
Vidar
5 yıl
Çavuş

Yok yahu :) Ekran kayıt etme programını saklamaya çalışıyorum. Bir program var ve hiç bir şeyin açılmasına izin vermiyor. Eğitim programı kendisi. Virtual Machine yapıp kurayım dedim fakat o zaman da bu program sadece bir bilgisayar ile çalışır hatası verdi. Program açıkken başka hiç bir şey açılamıyor. Açıkken de başlamıyor. Nasıl yaptılar bilmiyorum fakat bayağı iyi korumuşlar. Bu programdan gizlemeye çalışıyorum ama bir yolunu bulamadım maalesef.




Bu mesajda bahsedilenler: @codforc
Cevap Yaz
Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme Delphi / C++ /Vb Direct Kernel Object Manipulation hakkında. (Rootkit Driver'ı Windows Kerneline Load Etmek.)
DH Mobil uygulaması ile devam edin. Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin.
App Store'danİndirin Google Play'denİndirin
Gizle ve güncelleme çıkana kadar tekrar gösterme.
DonanımHaber Forum - Mini Sürüm

Hakkımızda | Yukarı

Tam sürüm için tıklayınız
Version: 1.2.871
Donanım Sponsoru: incehesap.com