Recent Content by goliat

chyba chodzilo ci o to: DWORD bip(DWORD dwFreq, DWORD dwDuration) {     DWORD ret = 0;     __asm     {             push dwDuration         push dwFreq         call dword ptr Beep         mov ret,eax     }     return ret; } jak wpisywalem ten kod byl sformatowany

faktycznie ciekawe :-D spodziewalem sie ze wywola ExitProcess w tym zdalnym watku, bo w sumie SeDebugName i tak w rzeczywistosci wymaga admina a wtedy o PROCESS_TERMINATE nietrudno.

wiesz Maver zdaje sobie z tego sprawe, zdradze Ci wielką tajemnice, ten tekst to byla taka mala insynuacja powaga 8) swoją drogą dobrze, ze na forum jest tylu chętych do pomocy, tak trzymaj

check this out: function myNetSend(sender,receiver,message : string):boolean; var data     : array [1..1024] of char;     strSlot  : string;     hSlot    : THandle;     bWritten : DWORD;     dwLength : DWORD; begin   result:=FALSE;   CopyMemory(@data[1],Pchar(sender),length(sender))...

nie trzeba ladowac od razu DLLki, mozna przeciez skopiowac do zdalnego procesu sam kod, a potem tylko CreateRemoteThread lub SetThreadContext i wio. oczywiscie te tez moga byc zhookowane. moznaby napisac cos w rodzaju serwera proxy (pipe na wejsciu, socket na wyjsciu) i ladowac go do jakiejs...

z tego co pamietam wystarczy wgrac nowego biosa. kiedy nie masz biosa dzialajacego na kompie jest z tym problem. w wiekszosci przypadkow nie obejdzie sie bez wizyty w jakims serwisie gdzie maja nagrywarke do epromow. niektore plyty udostepniaja mechanizm dzieki ktoremu daje sie mimo to nagrac...

zanim odpowiedzialem na Twojego posta musialem zobaczyc ten efekt jeszcze raz, dla mnie tez waydawalo/wydaje sie to bardzo podejrzane :mrgreen: ale gwoli scislosci: procek: Celeron 566 (albo cos kolo tego) OS: win2k o ile bylo to mozliwe testowalismy releasy z optymalizacja predkosci...

o ile mi wiadomo w Delphi Windowsa nie pisano :mrgreen: ale tak na powaznie Windows (2k dla przykladu) byl pisany przede wszystkim w C, czesc powstala w C++. asma stosowano w warstwie HAL, jadrze, paru DLLach, oraz jak wszyscy tworcy rootkitow wiedza - przy wywolaniach uslug systemowych w...

ja mile wspominam te pare lat kiedy pisalem w Delphi. szybkosc kompilacji i czytelnosc kodu to jedne z mocniejszych zalet. ludzie cenia delphi przede wszystkim za RAD, ale kompilator tez nie jest najgorszy, jak sie postarac to mozna calkiem milutkie/malutkie exeki potworzyc najbardziej...

z tym kernelem to domyslalem sie o co Wam chodzi, ale wolalem spytac. a noz znacie jakac metode nadpisywania jadra z ring3 :mrgreen: "stub dll" to jest wlasnie nazwa na technike podstawiania dll'ki ze spreparowanymi eksportami chodzilo mi o to ze sama technika jest dosc sprytna (przez co...

jonny: dobre uwagi, pomysl ze jest stub dll'em jest faktycznie fajny ale w rzeczywistosci nie ma racji bytu. moze sie myle (wole zapytac), ale czy piszac "jaderko", "Kernel" masz na mysli kernel32.dll czy ntoskrnl.exe bo zawuwazylem ze ludzie czesto, gesto dosc dwuznacznie formuluja to...

mozliwe ze to nie oni odrzucaja twoje proby polaczen, ale to ty nie chcesz sie z nimi polaczyc. sprawdz czy przypadkiem nie masz jakiejs reguly w firewall'u. a moze uzywasz PeerGuardiana lub innego programiku blokujacego polaczenia z "podejrzanymi" ajpi? 8)

mozliwe ze nie stworzyli dosc inteligentnych regul firewalla. sproboj skonfigurowac gg tak zeby laczyl sie przez serwer proxy.

w rzeczy samej hooking SSDT jako sposob na ukrycie juz sie nieco oklepal. technika jest jednak stylistycznie poprawna i co najwazniejsze skuteczna. niestety nie daje takiego poziomu niewidocznosci jakiego wymaga rootkit. co nie przeszkada zeby byla dalej uzywana przez niektore antyviry...

no nie zapominajmy o rootkitach w user mode nie rozumie, driver wykonuje sie w ring0, tam nie ma czegos takiego jak konta z ring0 powinno sie dac zaladawac driver za pomoca SYSTEM_LOAD_AND_CALL_IMAGE, co prawda jeszcze tego nie robilem. jezeli chodzi o przejscie z SYSTEM na admina to FU...