martes, 16 de abril de 2013

Ocultar modulos, rootkit ring3

Dentro de los rootkits existen los de ring3 (En modo Usuario) que bien pueden afectar solo a un proceso o la división entre MK y MU. Una manera de ocultar los que afectan a un solo proceso es eliminando rastro de que esta cargado ante los ojos del proceso o cualquier otro (como un AV) que esté en busca de librerías maliciosas.
Esto consiste en modificar las LIST_ENTRY de la PEB del proceso, en el source solo aplique InLoadOrderModuleList, pero para eliminar la mayor parte del rastro podemos modificar las tres listas; InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList.

Antes de ocultar el módulo.


Después de ocultar el módulo.


Descarga: http://www.sendspace.com/file/db4d33

Saludos!
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)