Página 1 de 2

[C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 09:41
por NvK
Hoy les traigo algo que he estado programando en mis ratos libres, es cierto
que es una beta, y falta mucho que agregar(como hotpatching de hooks), escritura
de shellcodes y más... por falta de tiempo esto sera agregado en versiones futuras,
espero que leas sea útil...

¿Para que sirve ArachniTracer?
Es un pequeño depurador-anti hook, tambien trae algunas otras características como
escanear procesos ocultos, Dlls, procesos en tiempo de ejecucion, etc...

Algunas de sus características:
[+] Leer Opcodes y traducirlas a nemónicos(al estilo Olly)
[+] Atachar procesos por ID o Nombre
[+] Leer y desensamblar un proceso(por API)
[+] Leer y desensamblar DLL'sera
[+] Todas las opciones de leectura/desensamblado puede ser seleccionadas
para que se lean automaticamente(detectando el fin del API/direccion) o por tamaño.

[+] Detecta Hooks de rootkits
[+] mostrar procesos
[+] escanear procesos ocultos
[+] matar procesos(por ahora solo en ring 3)
[+] "Quick Scan mode" permite escanear rapidamente los modulos más
importantes del sistema.

[+] Escribir todos los datos en archivos de ".txt" para su analisis y/o forense
[+] Mostrar APIs y sus DLLs con sus direcciones.
[+] Algunas cosas más(como el parametro MAN para conseguir ayuda de algunos comandos)...

También me gustaría nombrar algunas fallas, por ejemplo NO TRADUCE TODOS LOS OPCODES
e incluso algunas veces los lee mal, por otro lado hay momentos que da falsos positivos
(es decir que realemente no hay un rootkit), pero es facil darse cuenta por las instrucciones...
Faltan agregar cosas como la escritura de shellcodes en runtime(cargandolas desde archivos),
inclusive para crear hooks propios, que podrían usarse para hacer hacks de videojuegos online,
interceptar paquetes, etc..

Demostración de algunos conceptos:
Escaneo de una DLL, API FindFirstFileA en kernel32.dll
Imagen


Enumerar algúnas apis y dlls(las que considero importante) con sus direcciones.
Imagen


Escaneo de un proceso(explorer.exe, API: FindNextFileW)
hook detectado en 7c80efca(JMP code)
Imagen


Escaneo de un proceso leyendo los 10 primeros bytes
Imagen


Escaneo de un proceso guardando la informacion es "hook_process_info.txt"
Imagen


Escaneo de procesos ocultos, aquí se encuentra el notepad.exe que el taskmgr
no puede ver(éste ha sido escondido previamente usando un rootkit)

Imagen


Escaneo rapido usando "qs" de algunas de las API/DLLs más importantes del sistema
(como ven FindNextFileW presenta un falso positivo, ya que hay no existe ningun hook)

Imagen


Sobre el código fuente
Por la cantidad de rippers que he visto últimamente no estará disponible el
código fuente, más adelante si me gustaría aportarlo en la zona C, para su estudio.

Aquí les dejo el link del programa:
[Enlace externo eliminado para invitados]
Pass: indetectables.net

Solamente esta testeado en Windows XP, espero pronto reparar los falsos positivos, y
en un futuro adaptarlo a otras versiones de Windows.
Saludos.

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 13:31
por Naker90
Esta increíble la herramienta Nvk, quería probarla pero el rar me pide pass.
Saludos

// Edito

Ya sé cual es

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 14:49
por Pink
Compa no perdiste tiempo cuando hablamos. con razon no has entrado :P.

simplemente impecable. un joya. voy a probarlo.

saludos bro gracias


PD:y ell pass?

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 19:01
por NvK
Gracias por los comentarios,
Pink, no es eso, es que este último mes no fue mio... y casi no estuve en mi casa, este proyecto
ya llevaba un tiempo en las sombras.
Naker90 es cierto me olvide de pasarles la pass es indetectables.net

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 20:16
por $DoC
Que maravilla!, con esto no se escapará ningún aporte infectado!. Muy buena la tool NvK. Dejo el tema fijo, te lo ganaste XD, cuando saques mas versiones avisa!

Saludos!

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 22:06
por Flame
Simplemente muy bueno tu aporte viejo

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 Abr 2014, 23:26
por Filisko
joder, esto es la ostia, bajandolo pero que ya!! saludos tío

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 20 Abr 2014, 02:21
por NvK
Me alegra haber recibido tanto feedback y les haya sido útil, en especial a ti $DoC por ponerlo en fijo, claro que esto
si me motiva a sacar versiones futuras!.
Un saludo y gracias a todos, hasta la proxima

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 26 Abr 2014, 19:12
por die595tack067
excelente aporte.

muchas gracias

saludos

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 27 Abr 2014, 17:48
por strup
ostias no vi este aportazo, me dejo flipando y aparte muy profesional, ya te dije que eres de los number 1 o el number 1 un saludo grande maquina, saludos

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 19 May 2014, 20:24
por R3SH0K
Gracias maestro, sin duda es uno de estos aportes que hacen historia. Excelente como te lo has currado.

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 26 May 2014, 02:37
por crazyban1
Guau , menudo si que es!, The fucking master!

Gracias, un saludo ya te contaré como va!

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 02 Jun 2014, 17:21
por halplus
Buena tool, no publicas los fuentes? Seria interesante mirar como esta hecha y adaptarla.

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 06 Ago 2014, 08:46
por Flight embedded
Muchas gracias por compartir con todos nosotros tamaño trabajo, compañero
!Te felicito!

Re: [C] ArachniTracer by NvK(depurador, anti-hook)

Publicado: 25 Ago 2014, 11:41
por EdgardoPires
Podras resubirlo? gracias