Обзор релизов
[~] Hell Knights Crew
[x] IntoXonia-ng linux rootkit 0.2 by _4epen & ShadOS
http://hellknights.void.ru/releases/itx-ng-0.2-rc1.tgz
К сожалению, без оценки.
[x] blackrevealer win32 rootkit by Cr4sh
http://hellknights.void.ru/releases/0x48k-blackreleaver-release.rar
Собственно релиз представляет из себя две проги, одна это дров, который
собственно и скрывает всякие объекты и приложения для управления этим дровом,
через него дрову можно говорить чего скрывать, а чего скрывать уже не надо. И
так сначало рассмотрим собственно контрол. Все управляющие приложение сводится к
нскольким основным функциям, первая DrvRun, которая вызывается после того как
дров скинут в system32/driver, она правит реестр и добавляет туда новые парамы
описывающие собственно дров, потом дров грузится а файл дрова удаляется, что б
шума не было. Причем установка драйвера делает чисто через реестр, без всяких
service manager'ов это скорее всего сделанно для того что бы всякие активные
защиты не засекли установку.
Следующая важная функция ReadSST, которая как я понял ищит только изменненые
адреса системных сервисов, что бы потом отдать этот массив только что
установлнному дрову, что бы он анхукнул их. Опять же что бы всякие фаеры лишний
раз не ругнулись. Хотелось бы заметить что этот метод действительно хорошо, ибо
не меняется вся таблица сервисов, ведь например KAV/KIS переносят её на другое
место, где памяти по больше, и добавляют туда несколько своих сервисов.
Соответсвенно тупой анхук все таблицы, приведет к BSOD'у.
И последня функция это RkProtectObject, которая собственно и отправляет все ваши
данные дрову и говорит ему чего надо скрывать, а что нет. Чесн сказать в
управляющем приложени толком ничего инетерсного нету, кроме как функции
нахождения измененых адресов сервисов, таблицы сервисов, хмм ... товтология
какая то (:
Дров естественно интереснее, но т.к. я не знаток дров, я опишу только то что
смог понять. Так вот главным коммандным интерпритатором является здесь
DeviceControlRoutine, которая в зависимости от переданых значений выполняет ту
или иную деятельность. Первым дело на дров отправляется собщение
IOCTL_HOOK_START, с масивом сервисов, дров их анхукает, а после хукает уже сам
для этого служит функция SetHooks. Ниже набор функций которые дров
перехватывает.
ZwOpenProcess - что б не открывались процессы
ZwOpenThread - тоже самое только треды
ZwCreateFile - опять же, только файлы
ZwOpenFile - тоже самое
ZwQueryDirectoryFile - скрытие файлов и директорий
ZwOpenKey - что бы не открывались ключи реестра
ZwEnumerateKey - для скрытия ключей реестра
ZwSetValueKey - что б не могли установить значение в какой либо ключ реестра
ZwDeleteValueKey - что б не удалили значение
ZwEnumerateValueKey - и что б не видели какие значения содержит ключ
Все функции перехватываются методом сплайсинга, что тоже довольно хорошо, ибо
меняется начало самой функции и вызов будет происходить даже в последнюю очередб
если опять кто то хукнит SDT. Про сам метод скажу мало, ибо сплайсинг он и в
африке сплайсинг. Значит из SDT берется адрес сурвиса, потом с помощью
зомбовского диссасма получается длинна команд, которые >= sizeof( jmp 0x00000000
), выделяется оответствующие кол-во памяти и туда это кол-во байт копируется, а
ниже вставляется джам на следующую команду в хукнотой функции. Потом начало
функии заменяется джампом на обработчик. Все обработчики стандартны,
единственное что из-за возможностей которое дает ring0 процессы скрываются через
правку структуры EPROCESS. Что еще, ах да все запросы на скрытие, т.е. правила
сохраняются в памяти и могут быть добавленны как новые так и удаленны старые,
все они лежат в памяти в массиве текущий элемент имеет указатель на следующий
элемент.
Что хотелось бы добавить, ну во-первых это сделаное Cr4sh'ем не является готовым
решением и для своих рат придется кое что по переделывать, во-вторых довольно
легко будет найти такой руткит, в третьих установку дрова в систему надо
поменять ибо злобные аттивирусы и фаер со своими активными защитами, просто не
дадут дрову запустится. В итоге мое имхо, что это может...
20 строчек by el-)))
[x] DeviceMonitor by Cr4sh
http://hellknights.void.ru/releases/0x48k-devicemonitor.rar
К сожалению, без оценки.
[~] OpenTeam
[x] OpenTeam E-zine
http://openteam.info/forum/e-zine1.zip
Эта новая команда недавно выпустила свой электронный журнал. Статьи не отличаются особо высоким уровнем, но начинание хорошее, пожелаем успеха в развитии. Можно отметить перевод статьи Frederic Raynal "Криптография: палка о двух концах, часть 1.", как наиболее интересный.
[~] XND Crew
[x] XND HackCenter 1.2 by DeaDMonaX
http://xndcrew.org/index.php?module=filesdb&id=1&fid=9&get=1
Фактически эта система предоставляет многофункциональный шелл (: Но ее преимущество в том что она модульная, то есть мы можете сами написать модуль.
Система имеет очень простой и удобный интерфейс. Модули который входят в стандартный набор:
* dhb(модуль для расшифровки хешей по словарю)
* encdec(модуль, котрый позволяет вам зашифровать.расшифровать текст по нескольким алгоритмам)
* eval(обычный eval-шелл)
* http(модуль, котрый позволяет вам составить http пакет, послать его и получить ответ)
* proxychk(простенький прокси чекер)
* shell(обычный шелл, все предается POST запросами)
* utils(модуль, в котрый входят несколько утилит для работы с файлами)
Впечатления от скрипта только положительные. Все работает предельно просто и быстро.
[~] Cyber Crime Bastards
[x] qp1GGer AB:02
http://ccb.0x48k.cc/file/sf/qp1GGer.rar
Реггер девяток ICQ. В новой версии:
- Из всего управления осталась 1 (ОДНА) кнопка));
- Изменён диз проги и элементы управления;
- Добавлено сохранение в конфиг количества регаемых номеров;
- Добавлена полоска прогресса показывающая сколько картинок загрузилось/картинок подписано/уинов зарегалось;
- Добавлен вывод статистики зареганых номеров при старте проги;
- Оставлена только одна картинка;
- Но прога по прежнему регает 13 номеров за раз ;)
- Переключение картинок производится по кнопарю Enter, после вбива последней картинки и нажатия ентера прога атоматически начинает регистрацию;
- Убран открывающийся конфиг - теперь всё видно;
Пасс на архив :: qp&DDR[T]&Uinov.com&HATS
[x] ISG ( I SEEK GOOGLE )
http://ccb.0x48k.cc/file/isg.tar.gz
Этот скрипт предазначен для поиска по google.com Он может искать по всем страницам так и по отдельным. 1) поиск subdomains (уникальный хосты) 2) поиск файлов (уникальные path) - удобно когда вы хотите узнать все возможные скрипты на сервере, а их много типа host.ru/script.php?par=1 . Работает быстро и что главное радует качество поиска.
[x] HwTo0ls v1.0
Комбайн тулз которые вам могут помочь пока что работает тока тут http://ccb.0x48k.cc/hwt. В ближайшее время есть планы на увелечение количиства утилит, и открытия для общего скачивания. Вещь класная и полезная имхо.
Обзор статей
[~] Cyber Crime Bastards
[x] Подмена экранной заставки в NT системах by Izg0y
http://ccb.0x48k.cc/article/scrxp.txt<>
В общем и целом статья представляет некоторый интерес, но польза от таких действий сомнительна, так как создается пользователь - админ, которого потом, когда сделаешь свои дела, корректно не удалишь -> он отобразится, если включена графическая оболочка выбора пользователя. А если нам не важно, увидит ли админ нового пользователя или нет, то можно пасс ему затереть и не париться...
[x] Автозагрузка через реестр by Izg0y
http://ccb.0x48k.cc/article/regrun.txt
Нечто вроде фака по авторану - полезно бывает. Единственное, что хочу дополнить - кодить на Native API вполне возможно кодить, это не так уж и "очень сложно", как говорит автор. [смотрим на VHDL - вот это ужас))]
|