Proceso Totalmente Invisible.

Perro_Manson

Lanero Reconocido
14 Ene 2005
642
jeje...

bueno, y que tal si se vuelve al topico original?????

otra cosa, pilas con lo que bajan, siempre escaneenlo con su AV favorito, y utilicen firefox, netscape u algo parecido si usan guindos, si usan linux, el netscape es una maravilla, el iexplore es un roto el 30hp, esa vaina deberian borrarla de la faz de la tierra, y si son niños malos y bajan c.r.a.c.k.s de paginas de aquellas, fijo se les instala un spyware ....

mucho cuidado, el diablo es puerco...

ahh ahi mando un link sobre iexplore y firefox, interesante...

http://www.pcworld.com/news/article/0,aid,120087,00.asp

Perro Manson
 

luser

Lanero Reconocido
7 Nov 2004
137
otra cosa, pilas con lo que bajan, siempre escaneenlo con su AV favorito, y utilicen firefox, netscape u algo parecido si usan guindos, si usan linux, el netscape es una maravilla, el iexplore es un roto el 30hp, esa vaina deberian borrarla de la faz de la tierra, y si son niños malos y bajan c.r.a.c.k.s de paginas de aquellas, fijo se les instala un spyware ....
Estamos hablando de rootkits, y no de virus. Nada puede detener un rootkit.
 

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
recalentemos el tema:
hablemos de rootkids, del que habla luser.
la unica forma de quitar un Rootkit que modifica el Kernel es Format C: o en el peor de los casos un formateo a bajo nivel.
si son detectables, a veces en forma de Dll O EXE o incluso algunos que modificar en Kernel de windows para insetarse en una tecnica llamada hooking...
bueno, para que hablar habiendo links.
http://www.nautopia.net/archives/es/win_antivirus_y_bichos/rootkits/rootkit_y_unas_amigas.php
http://www.rootkit.com/index.php
http://www.phrack.org/
http://research.microsoft.com/rootkit/
La info es para Win32.
en linux no tengo ni idea como funciona...
 

luser

Lanero Reconocido
7 Nov 2004
137
Bueno espero aclarar mucho con esta respuesta.
Un rootkit es basicamente un programa que se usa para mantener root/control de la maquina, la idea detras de el, es lograr esconder la presencia del atacante. En windows son device drivers, en linux son un kernel module. Debido a que linux es open source, se desarrollaron muchas tecnicas para esconder procesos, etx, por ejemplo modificando ps, ls, o la mas reciente modificando libproc, pero llegaron programas tambien muy potentes como chrootkit que detectan los rootkits, si son LKM. Ahora en el ambiente de linux, se da que se compila el modulo dentro del mismo kernel, el rootkit genera un kernel panic, la maquina se reinicia con el nuevo kernel sin que el usuario se entere, una vez esto pasa, es totalmente imposible detectar el rootkit dentro de la maquina, claro, lo que se hace en ese caso es un analisis de el disco utilizando un live-cd por ejemplo. No ahondo mas en el tema, pork estamos tratando windows.

En windows sucede lo siguiente. Un rootkit son basicamente device drivers, que hookean apis de windows y cualquier api, incluso cualquier antivirus etx. Bien hooking es el proceso de remplazar el codigo de una api por nuestro codigo, los mejores rootkits logran hookear las apis mientras que estas estan cargadas, un ejemplo claro era el NT rootkit que hookeaba ExCreateObject() pero esto ya es detectado. SIguiendo con el hooking, si observan la estructura de los PE, es de la forma.

**************************************************** Direcciones altas
| MS DOS Header |||| Offset 0 |
*-------------------------------+
| PE Header
*-------------------------------+
| .text Aca esta el codigo del programa y los modulos
*-------------------------------+
| .data Variables estaticas
*-------------------------------+
| .idata | Informacion de las variables que importa
| |
*-------------------------------+
| .edata | Las variables que exporta
| |
*********************************************************************************************

En .idata estan todas las direcciones de lo que se importa. Ahora cuando uno llama una API, el compilador no linkea directamente al modulo sino al .idata. Entonces, es solo cuestion de encontrar la direccion del api que queremos hookear en .idata, y cambiar la direccion para que salte al codigo que nosotros queramos, supongo esto tambien se podria usar en linux con el global access table .GOT. Para encontrar las direccion de .idata, usen ImageDirectoryEntryToData que se encuentra en imagehlp.dll.

Bueno espero que esta parte alla quedado clara. Como podran darse cuenta una vez estan los hooks en los apis, es literalmente imposible detectar el rootkit a menos que el programa que lo detecta no halla sido hookeado.....pero uno nunca puede confiarse en esto, por ello lo mejor es simplemente iniciar el disco con un Live-cd o en otro computador y analisar los binarios, el primero que analizaria yo es kernel32.dll
 
12 May 2003
5,101
luser dijo:
Estamos hablando de rootkits, y no de virus. Nada puede detener un rootkit.

Estamos hablando de Windows o de Linux?

En Linux hay varios proyectos trabajando en el area de detectar/detener rootkits, por ejemplo carbonite, rkdet, saint jude, rootkit hunter, aide, .... aunque varios de estos proyectos no producen nada nuevo desde hace rato. Conceptualmente cada uno sirve dependiendo del caso que se tenga, algunos no serviran de nada si la maquina esta totalmente comprometida.

En Windows si ni idea si habra algo.