• [C] ArachniTracer by NvK(depurador, anti-hook)

  • Anuncia aquí­ la salida de nuevos antivirus, firewalls y otros programas similares o comenta su eficacia.
Anuncia aquí­ la salida de nuevos antivirus, firewalls y otros programas similares o comenta su eficacia.
 #441662  por NvK
 19 Abr 2014, 09:41
Hoy les traigo algo que he estado programando en mis ratos libres, es cierto
que es una beta, y falta mucho que agregar(como hotpatching de hooks), escritura
de shellcodes y más... por falta de tiempo esto sera agregado en versiones futuras,
espero que leas sea útil...

¿Para que sirve ArachniTracer?
Es un pequeño depurador-anti hook, tambien trae algunas otras características como
escanear procesos ocultos, Dlls, procesos en tiempo de ejecucion, etc...

Algunas de sus características:
[+] Leer Opcodes y traducirlas a nemónicos(al estilo Olly)
[+] Atachar procesos por ID o Nombre
[+] Leer y desensamblar un proceso(por API)
[+] Leer y desensamblar DLL'sera
[+] Todas las opciones de leectura/desensamblado puede ser seleccionadas
para que se lean automaticamente(detectando el fin del API/direccion) o por tamaño.

[+] Detecta Hooks de rootkits
[+] mostrar procesos
[+] escanear procesos ocultos
[+] matar procesos(por ahora solo en ring 3)
[+] "Quick Scan mode" permite escanear rapidamente los modulos más
importantes del sistema.

[+] Escribir todos los datos en archivos de ".txt" para su analisis y/o forense
[+] Mostrar APIs y sus DLLs con sus direcciones.
[+] Algunas cosas más(como el parametro MAN para conseguir ayuda de algunos comandos)...

También me gustaría nombrar algunas fallas, por ejemplo NO TRADUCE TODOS LOS OPCODES
e incluso algunas veces los lee mal, por otro lado hay momentos que da falsos positivos
(es decir que realemente no hay un rootkit), pero es facil darse cuenta por las instrucciones...
Faltan agregar cosas como la escritura de shellcodes en runtime(cargandolas desde archivos),
inclusive para crear hooks propios, que podrían usarse para hacer hacks de videojuegos online,
interceptar paquetes, etc..

Demostración de algunos conceptos:
Escaneo de una DLL, API FindFirstFileA en kernel32.dll


Enumerar algúnas apis y dlls(las que considero importante) con sus direcciones.


Escaneo de un proceso(explorer.exe, API: FindNextFileW)
hook detectado en 7c80efca(JMP code)


Escaneo de un proceso leyendo los 10 primeros bytes


Escaneo de un proceso guardando la informacion es "hook_process_info.txt"


Escaneo de procesos ocultos, aquí se encuentra el notepad.exe que el taskmgr
no puede ver(éste ha sido escondido previamente usando un rootkit)



Escaneo rapido usando "qs" de algunas de las API/DLLs más importantes del sistema
(como ven FindNextFileW presenta un falso positivo, ya que hay no existe ningun hook)



Sobre el código fuente
Por la cantidad de rippers que he visto últimamente no estará disponible el
código fuente, más adelante si me gustaría aportarlo en la zona C, para su estudio.

Aquí les dejo el link del programa:
[ Debe registrarse para ver este enlace ]
Pass: indetectables.net

Solamente esta testeado en Windows XP, espero pronto reparar los falsos positivos, y
en un futuro adaptarlo a otras versiones de Windows.
Saludos.
 #441675  por Pink
 19 Abr 2014, 14:49
Compa no perdiste tiempo cuando hablamos. con razon no has entrado :P.

simplemente impecable. un joya. voy a probarlo.

saludos bro gracias


PD:y ell pass?
 #441682  por NvK
 19 Abr 2014, 19:01
Gracias por los comentarios,
Pink, no es eso, es que este último mes no fue mio... y casi no estuve en mi casa, este proyecto
ya llevaba un tiempo en las sombras.
Naker90 es cierto me olvide de pasarles la pass es indetectables.net
 #441686  por $DoC
 19 Abr 2014, 20:16
Que maravilla!, con esto no se escapará ningún aporte infectado!. Muy buena la tool NvK. Dejo el tema fijo, te lo ganaste XD, cuando saques mas versiones avisa!

Saludos!
 #441714  por NvK
 20 Abr 2014, 02:21
Me alegra haber recibido tanto feedback y les haya sido útil, en especial a ti $DoC por ponerlo en fijo, claro que esto
si me motiva a sacar versiones futuras!.
Un saludo y gracias a todos, hasta la proxima
 #442259  por strup
 27 Abr 2014, 17:48
ostias no vi este aportazo, me dejo flipando y aparte muy profesional, ya te dije que eres de los number 1 o el number 1 un saludo grande maquina, saludos