Proceso Totalmente Invisible.

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
Hola todos Laneros...
no queria postearlo pero siempre he tenido esta duda.
Hay algun ejecutable(dll, ocx, *.*) que sea totalemente Oculto para cualquier Visor de procesos, por ejemplo: un archivo dropeado, bindeado, etc. que se oculte perfectamente, que cree un Tipo de Archivo tipo Ext3, negable a los Ojos de Xp u otro win y que alli trabaje como un bash o tipo shell... no se que diablos pudiera ser.
Aunque no me crean, durante miles de horas que he pasado frente a la pc, y antes de conocer el AVG, mis unicas herramientas contra los Virus han sido. Un disco de Booteo, Pcrview, www.vsantivirus.com, mis ojos y mis dedos... asi me me librado de varios virus, troyanos y spyware(sasser, Mydoom, Bagle, blaster, etc., en los dias que usaba el ñorton y el máscafre), pero siempre he tenido esa duda, que algun troyano este trabajando sin que yo lo hubiere dado cuenta. no sé, quizas trabaje en un sistema diferente de archivos como el ext3 u otro Linux/Unix y dado que windows no quiere reconocer la existencia de estos sistemas de ficheros, ningun Antivirus o Visualizador de procesos os detecte, alguna vez escuche deun programa que escodia particiones y las trabajaba sin que ningun admnistrador se diera cuenta... es solo un temor....
 

johansan

Lanero Reconocido
30 Ene 2004
4,098
creo que windows no pueda interactuar con las ext3, la verdad hay muchos procesos que si corren ocultos en windows, hay otro visor, pero igual no se de donde salen, hay tengo un backup de windows, medio jodido, solo lo uso por rescate, porque cuando comienza a abrir procesos nunca los cierra y llega hasta 2gb de uso de paginacion, que vaina.
 

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
johansan dijo:
creo que windows no pueda interactuar con las ext3, la verdad hay muchos procesos que si corren ocultos en windows, hay otro visor, pero igual no se de donde salen, hay tengo un backup de windows, medio jodido, solo lo uso por rescate, porque cuando comienza a abrir procesos nunca los cierra y llega hasta 2gb de uso de paginacion, que vaina.
windows no, pero debe haber algun genio que corra algun emulador. y si se te llena el archivo de paginacion, no hay nada mejor que un reseteo forzoso y luego un booteo con algun Antivirus... :)
 

Darknesshell

Lanero Reconocido
11 Abr 2004
1,843
Hay espías que pueden ocultarse de forma muy efectiva en el pc.

No, no hablo de los spyware. Son programas completos.

Suerte.
 

Darknesshell

Lanero Reconocido
11 Abr 2004
1,843
Aaaah, técnicas. Por ahí debo tener algún documento al respecto, pero es difícil. Si lo encuentro te aviso, ahora ya te entendí. Sorry.

Quizás puedas analizar como trabaja uno de esos programas, sé que es muy difícil detectarlos ya que no los detecta ni antivirus ni antispyware.

Suerte.
 

Perro_Manson

Lanero Reconocido
14 Ene 2005
642
www.neuber.com prueben el security task manager, es interesante saber lo que tienes corriendo, aviso de una vez, aparecen todos los procesos, hay unos que un usuario no experto no conoce y se le puede hacer sospechoso, mucho cuidado con lo que borran.

Perro Manson
 

luser

Lanero Reconocido
7 Nov 2004
137
Se llaman Rootkits y son basicamente drivers, tienen su propio stack etc. Una vez sea instalado, puedes cambiar toda la estructura del sistema y basicamente en el caso de windows modificas muchos API's de el sistema original, eso si corren en el ring 0. Cualquier programa que haga uso de las API's modificadas, generara informacion falsa, como tasklist, taskmgr etx( esto incluye antiviruses etx). La unica manera de detectarlos, es usando otro SO, como un livecd(FIRE es de lo mejor) o bootdisk.
 

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
Perro_Manson dijo:
probe el STM en la version TRIAL y me aparecia un mensaje de alerta... para comprar el Full y me baje un Full de la web, parece bueno, aunque se basa en argumentos algo superfluos...
luser dijo:
Se llaman Rootkits y son basicamente drivers, tienen su propio stack etc. Una vez sea instalado, puedes cambiar toda la estructura del sistema y basicamente en el caso de windows modificas muchos API's de el sistema original, eso si corren en el ring 0.
sobre todo a la modificacion de las API´s del Güindows, una vez ya infectado corres el riego de engañarte tu solo, no he tenido la oportunidad de probar el FIRE(ya pertenece a mi coleccion), esa es una de los "Talones de Aquiles" de windows, que los procesos system corren con muchos derechos, demasiados diria yo. :s, afortunadamente el Linux, la buena configuracion de los cheksum MD5, hacen previsible y evitable este problema... :) :)
 

luser

Lanero Reconocido
7 Nov 2004
137
pata_de_jaguar dijo:
probe el STM en la version TRIAL y me aparecia un mensaje de alerta... para comprar el Full y me baje un Full de la web, parece bueno, aunque se basa en argumentos algo superfluos...
sobre todo a la modificacion de las API´s del Güindows, una vez ya infectado corres el riego de engañarte tu solo, no he tenido la oportunidad de probar el FIRE(ya pertenece a mi coleccion), esa es una de los "Talones de Aquiles" de windows, que los procesos system corren con muchos derechos, demasiados diria yo. :s, afortunadamente el Linux, la buena configuracion de los cheksum MD5, hacen previsible y evitable este problema... :) :)
En windows tambien puede tener checksums, pero da la misma, si alguien es root en linux, puede alterar los md5 tambien y no es dificl. Para lo unico que sirven, es si cambia el disco duro a otra maquina y lo reviza, de resto, una maquina comprometida de la manera correcta, no le dara informacion valida, ni haciendo checksums incluso con IDS como tripwire.
 

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
luser dijo:
En windows tambien puede tener checksums, pero da la misma, si alguien es root en linux, puede alterar los md5 tambien y no es dificl. Para lo unico que sirven, es si cambia el disco duro a otra maquina y lo reviza, de resto, una maquina comprometida de la manera correcta, no le dara informacion valida, ni haciendo checksums incluso con IDS como tripwire.
como tu dices luser, si alguien es root... facil seria en windows..
 

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
pero a final de cuenta luser, creo que estamos de acuerdo que un SO es mas vulnerable que otro... al menos creo que estamos de acuerdo... y retomando el tema: que tecnicas que no populen en la red usan los rootkid? estan bindeados, dropeados, o qué... para que desde un inicio el antivirus no lo detecte. se de antemano que hay bindeadores tan buenos como el yast(si no me equivoco) o el Juntador, incluso un dia me esta creando unas protecciones Anti..c..r..a..c..k y el mugre AVG no me lo dejo abrir de ninguna forma... :)
 

luser

Lanero Reconocido
7 Nov 2004
137
No, yo no estoy de acuerdo que linux es mas seguro que windows. Estoy de acuerdo que linux es mas flexible, lo que puede llevar a tener un nivel de inseguridad menor, pero linux por si solo no es mas seguro, ademas que habria que comparar una distribucion especifica de linux contra una de windows.

En cuanto a los rootkits, ni se bindean, ni se dropean, pork no tengo idea que se refiera con "bindear" o "dropear", que en windows apliquen varios hooks a ciertos .dll es cierto, pero eso no es bindear. Ademas los metodos son demasiados, pero como le dije, son device drivers. En linux, pf pues muchos, desde un Loadable kernel module, hasta un kernel patch Todo depende del tiempo que desee invertir en el desarrollo de uno.
 

Grissom.

Lanero Reconocido
15 Dic 2003
3,948
Procesos totalmente invisibles no he visto, excepto los virus :D ... aún los keyloggers aparecen en el listado de programas, solo que se cambian el nombre para no parecer sospechosos, ejemplo: nombres como bpl ó cosas así ...
 

luser

Lanero Reconocido
7 Nov 2004
137
El_Rulas dijo:
Procesos totalmente invisibles no he visto, excepto los virus :D ... aún los keyloggers aparecen en el listado de programas, solo que se cambian el nombre para no parecer sospechosos, ejemplo: nombres como bpl ó cosas así ...
Plop !
La gente en estos foros pocas veces mira en que va la discusion y sueltan comentarios que nada tienen que ver....es interesante ver esto.......................
 

Darknesshell

Lanero Reconocido
11 Abr 2004
1,843
luser dijo:
La gente en estos foros pocas veces mira en que va la discusion y sueltan comentarios que nada tienen que ver....es interesante ver esto
Si lees el primer post de pata_de_jaguar verás que está contestando dentro del tópico del foro, independientemente de que alguien se haya salido del tema.

Está correcto el comentario de El_Rulas.

Suerte.
 

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
luser dijo:
Plop !
La gente en estos foros pocas veces mira en que va la discusion y sueltan comentarios que nada tienen que ver....es interesante ver esto.......................
yo no le veo nada de malo al aporte del rulas... y ciertamente se debe ser un usuario muy avanzado de linux para protegerlo en un 99.99%, pero yo me quiero enfocar al SO monopolista de Microsoft que es que la Mayoria Usamos.
y no es critica luser... se ve que conoces mucho de seguridad, pero trata de ser un poco mas humilde. Todos, ABSOLUTAMENTE TODOS TENEMOS UN LIMITE DE CONOCIMIENTO, SUPERADO MUCHAS VECES POR NUESTRO EGO.
 

luser

Lanero Reconocido
7 Nov 2004
137
a mi no me molestan los aportes, ni que se desordene, solo me parece interesante ver eso, y sucede amenudo en estos fors...............
Sobre mi ego, pues si, muy grande.....................pero uno va madurando tranquilo...