Ocultar modulos, rootkit ring3
Publicado: 12 Abr 2013, 20:01
Dentro de los rootkits existen los de ring3 (En modo Usuario) que bien pueden afectar solo a un proceso o la división entre MK y MU. Una manera de ocultar los que afectan a un solo proceso es eliminando rastro de que esta cargado ante los ojos del proceso o cualquier otro (como un AV) que esté en busca de librerías maliciosas.
Esto consiste en modificar las LIST_ENTRY de la PEB del proceso, en el source solo aplique InLoadOrderModuleList, pero para eliminar la mayor parte del rastro podemos modificar las tres listas; InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList.
Como siempre el código esta comentado pero cualquier duda publiquenla.
Antes de ocultar el módulo.
[Enlace externo eliminado para invitados]
Después de ocultar el módulo.
[Enlace externo eliminado para invitados]
Descarga: [Enlace externo eliminado para invitados]
Saludos!
Esto consiste en modificar las LIST_ENTRY de la PEB del proceso, en el source solo aplique InLoadOrderModuleList, pero para eliminar la mayor parte del rastro podemos modificar las tres listas; InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList.
Como siempre el código esta comentado pero cualquier duda publiquenla.
Antes de ocultar el módulo.
[Enlace externo eliminado para invitados]
Después de ocultar el módulo.
[Enlace externo eliminado para invitados]
Descarga: [Enlace externo eliminado para invitados]
Saludos!