Buenas indetectables aquí les dejo una función bastante comentada que se encarga de proteger el proceso que nosotros le especifiquemos con un BSOD (Blue Screen Of Death). La función necesita permisos de administrador para elevar privilegios.
Funcional en W7 x32, en x64 no probé ya que son pocas las ganas de provocar un BSOD en mi PC.
#cs ----------------------------------------------------------------------------

 AutoIt Version: 3.3.8.1
 Author: Naker90

 Script Function:
	Protege el proceso especificado con un BSOD (Blue Screen of Death)

 Funcional en W7 x32
 
 La funcion necesita permisos de administrador para elevar privilegios y asignar la proteccion al proceso

 Ejemplo:
 ProtectProcess_BSOD('Anotador Naker90.exe')  =>  El proceso del anotador quedaria protegido con BSOD

#ce ----------------------------------------------------------------------------

#RequireAdmin
#include <Security.au3>

Func ProtectProcess_BSOD($sProcessName)

	Const $sPriority = 29
	Const $sProcess_All_Access = 0x1F0FFF
	Const $sTokenAdjustPrivileges = 0x20
	Const $sTokenQuery = 0x0008

	;Obtenemos el PID del proceso (Si el PID es 0 damos el mensaje y salimos, de lo contrario continuamos con el code)
	Local $sPID = ProcessExists($sProcessName)

	if $sPID = 0 then

		MsgBox(64, 'ERROR', 'No Existe ningun procesos en ejecucion con ese nombre')
		Exit

	Else

		;Elvemos privilegios para poder asignar la proteccion al proceso
		;Abrimos el acceso al Token con OpenThreadTokenEx aignandole los derechos de TokenAdjustPrivileges y TokenQuery
		Local $sOpenThreadToken = _Security__OpenThreadTokenEx (BitOR($sTokenAdjustPrivileges, $sTokenQuery))

		;Habilitamos el privilegio
		_Security__SetPrivilege($sOpenThreadToken, 'SeDebugPrivilege', True)

		;Cerramos el handle del acceso
		DllCall('Kernel32.dll', 'int', 'CloseHandle', 'handle', $sOpenThreadToken)

		;Obtenemos el handle del proceso que queremos proteger con la API OpenProcess
		Local $sHandle = DllCall('Kernel32.dll', 'handle', 'OpenProcess', 'dword', $sProcess_All_Access, 'bool', True, 'dword', $sPID)

		;Creamos la estructura que le vamos a pasar despues a NtSetInformationProcess y le asignamos el valor "True"
		Local $sStruct = DllStructCreate('bool BSOD')
		DllStructSetData($sStruct, 'BSOD', True)

		;Le asignamos la proteccion al proceso con NtSetInformationProcess
		DllCall('Ntdll.dll', 'int', 'NtSetInformationProcess', 'handle', $sHandle[0], 'int', $sPriority, 'int', DllStructGetPtr($sStruct), 'int', 4)

		;Cerramos el handle que abrimos antes con OpenProcess
		DllCall('Kernel32.dll', 'int', 'CloseHandle', 'handle', $sHandle[0])

	EndIf

EndFunc
También les dejo un binario por si quieren testear.

Link: [Enlace externo eliminado para invitados]
Pass: Indetectables.net

Saludos
Skype: naker.noventa
Gracias por la funcion muy buena, no la había visto :S. muy parecida a una que hice hace tiempo.

saludos compa.
Imagen
Gracias amigo ..pero tengo una pregunta porque cuando tengo el deep freeze activado en mi pc no hace ningun efecto en cambio cuando lo desactivo si lo hace ...

Espero que me respondas y gracias ....

Código: Seleccionar todo

NoExistente
[/color]
ZeRiito escribió:Gracias amigo ..pero tengo una pregunta porque cuando tengo el deep freeze activado en mi pc no hace ningun efecto en cambio cuando lo desactivo si lo hace ...

Espero que me respondas y gracias ....
El Deep Freeze evita que se realicen cambios en el PC mientras este esta funcionando, por lo que si ejecutas la función con Deep Freezer On no va a guardar los cambios realizados en el proceso.

Saludos
Skype: naker.noventa
x4r0r i sus shellcode ..... jajajaja

te andam ripeando a la cara dura

mira que cabron este tipo ....

[Enlace externo eliminado para invitados]

Saludos
Indetectables RAT v.0.9.5

@Indetectables Team
Que mal

AutoIt Versión: 3.3.8.1
Autor: x4r0r

Función de secuencias de comandos:
Protege el proceso especificado con un BSOD (Blue Screen of Death)
[code2=masm]"For the honor of a king. And the destiny of a country. All for one."[/code2]
M3 escribió:x4r0r i sus shellcode ..... jajajaja

te andam ripeando a la cara dura

mira que cabron este tipo ....

[Enlace externo eliminado para invitados]

Saludos
Imagen


es que no se puede ser mas RIPPER me cago en mi puta estampa
por no cagarme en otro que yo me se
Abolición para el torneo del toro de la vega. Death to the murderers of bulls.
Lo único que esta haciendo es engañarse a si mismo, pero que le vamos a hacer...
Gracias por avisar M3
Saludos
Skype: naker.noventa
que hijo de puta es ese man yo se lo paso por facebook y va ha mandarlo a ese foro ....

disculpen pero lo agrege a skype para preguntarle sobre infeccion con word es todo

Código: Seleccionar todo

NoExistente
[/color]
Muy bueno Naker90, buen codigo!. Ya vemos de que material está hecho el usuario x4r0r............... Grande M3!

Saludos!
Soy un camaleón, en tu cama, leona ♪
Responder

Volver a “Fuentes”