Problem z rootkitem oraz szyfrowaniem danych

[Alegres]

Witajcie. Od dwóch dni praktycznie w ogóle nie śpię, próbując znaleźć w miarę prosty opis tego, jak za pomocą rootkita mogę ukryć moją aplikację na liście procesów.

Rootkit.com nie działa, a większość znalezionych artykułów zawiera niedziałające bądź słabo objaśnione kody (albo to ja jestem taki głupi i ich nie rozumiem).

Tak więc moja prośba do was: czy ktoś mógłby przedstawić mi przykład aplikacji, która zaraz po uruchomieniu nie jest widoczna na liście procesów?

Kolejna sprawa: za pomocą curla łączę się ze skryptem php i przekazuję metodą GET pewne dane.

Po 1.) Chciałbym jakoś zaszyfrować te dane po stronie aplikacji, a rozszyfrować po stronie serwera - co poradzicie?
Po 2.) Chciałbym ukryć adres strony (np. przed tymi, co poszperają sobie w HEXach). Postanowiłem więc rozejrzeć się za jakimś darmowym Obfuscatorem, ale niczego nie znalazłem. Tak więc moje pytanie: czy ktokolwiek zna jakiś darmowy lub zcrackowany/zserializowany/cokolwiekznimzrobionyzebybylzadarmo obfuscator?

Microsoft Visual C++ 2010

Z góry dziękuję za pomoc, pozdrawiam,
Alegres.

[TQM]

Widac slabo szukasz o tym ukrywaniu... poza tym pytasz od dupy strony - jaki OS docelowy nie raczyles poadc wiec nie oczekuj odpowiedzi.

Jak szukasz o szyfrowaniu to zobacz jakie gotowe rozwiazania sa dostepne i cos wybierz...

[Alegres]

Co do rootkita, zależy mi na Windows XP, nie jestem pewien czy jest to do wykonania również na Viscie oraz 7?

Co do szyfrowania, co myślicie o openssl?

Jeszcze jak ktoś mógłby odpowiedzieć mi na pytanie dot. obfuscatora, to było by super =).

Serdecznie dziękuję.

[smurf]

Po prostu załóż globalny hook na funkcje NtQueryInformationProcess.

Usuń z listy interesujący ciebie proces i tyle.

[0DFh]

Po prostu załóż globalny hook na funkcje NtQueryInformationProcess.

Usuń z listy interesujący ciebie proces i tyle.

Dołączę się do tematu i zapytam skąd można się nauczyć hookingu? Druga sprawa jak to jest z nowym systemem Windows 7, są tam jakieś dodatkowe zabezpieczenia?

[smurf]

Ja siedzę na Windows XP

a na nowszych np. Win 7 nie bawiłem się tym.

To działa tak samo jak z ukrywaniem plików / kluczów-wartości rejestru

/ procesami.

Żadna filozofia, tyle, że najlepiej byłoby to zrobić z RING 0.

[zlewi]

witajcie
chcialbym przylaczyc sie do dyskusji
nie jestem obeznany z pisaniem malweru i malo co o tym wiem ale czy antywirus nie wykryje proby usuniecia procesu z listy poprzez hooka?
acha, jeszcze dla kolegi znam jeden najprostszy chyba sposob na ukrycie procesu
jako nazwe swojego programu ustawiasz taka ktora przeypomina windowsowe procesy,
czyli cos takiego main(int argc, char* argv[])
i do argv[0] kopiujesz ta nazwe ktora chcesz by widniala na liscie procesow
strcpy(argv[0], "nazwa_procesu");

[smurf]

@up:

Ten sposób jest dużo bardziej wykrywalny od tego którego ja proponuje.

Ciężko jest wykryć taki hook, bo procedurka NtQueryInformationProcess działa

dosyć często wykorzystywany przez OS, choćby wtedy gdy tworzony jest nowy proces.

[ocb]

@up:

Ten sposób jest dużo bardziej wykrywalny od tego którego ja proponuje.

Ciężko jest wykryć taki hook, bo procedurka NtQueryInformationProcess działa

dosyć często wykorzystywany przez OS, choćby wtedy gdy tworzony jest nowy proces.

Nie testowałem tego ale z tego co mi się wydaje to jest to strasznie stary sposób i wydaje mi się że będzie widoczny przez te sandboxy i inne systemy obronne, które same działają jak rootkity i mogą monitorować takie zachowanie.
swoją droga jesteś wstanie podrzucić jakieś swoje źródła na których testowałeś funkcjonalność? możesz śmiało porobić w nich błędy, żeby nie było ;P