Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Web Tasarım - Programlama
  • Yazılım Geliştirme
  • Delphi / C++ /Vb
  • Bu Konuda
Şimdi Ara

Direct Kernel Object Manipulation hakkında. (Rootkit Driver'ı Windows Kerneline Load Etmek.)

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
3 Misafir (1 Mobil) - 2 Masaüstü1 Mobil
5 sn
8
Cevap
0
Favori
307
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • Böyle bir şeye merak saldım. Bir loader buldum ve direct kernel object manipulation(DKOM) rootkit'i(driver.sys) buldum. Rootkit driver'ı system32\drivers yoluna attım ve anti-virüs'ü devre dışı bıraktım. OSRLoader ile driver'ı load ettim fakat bu rootkit driver'ı kabak gibi DriverWiew vari programlar bunu görüyor. Ayrıca kaldırılabiliyor.Meşhur BSOD ekranı falanda gelmiyor.

    Çelişki :

    DKOM Rootkitleri'nin flink ve blink göstericilerine bağlandıklarını okudum. Benim kullandığım rootkit'de dkom rootkit driver'ı idi ? Peki neden silinebiliyor ben bunu anlayamadım.


    Yani amacım kernel ring 0 (user tarafından erişilemez | user mode 0) injection ile process(exe) gizlemek ama kafam çok karışık.


    İlham aldığım kaynaklar projeler:

    en.wikipedia.org
    Direct kernel object manipulation - Wikipedia
    https://en.wikipedia.org/wiki/Direct_kernel_object_manipulation

    en.wikipedia.org
    Rootkit - Wikipedia
    https://en.wikipedia.org/wiki/Rootkit


    GitHub
    landhb/HideProcess
    https://github.com/landhb/HideProcess
    // loader,driver
    GitHub
    nbqofficial/HideDriver
    https://github.com/nbqofficial/HideDriver
    // hide driver



    Kullandığım diller C/C++.



    < Bu mesaj bu kişi tarafından değiştirildi Guest-8F0924900 -- 1 Şubat 2020; 11:55:43 >







  • Ben de saatlerdir uğraşayım ki kurayım bayağı da yabancıyım bu işlere ama. Eğer olmuyor diyorsanız hiç denemeyeyim hocam. Ben bir başka programın açtığım programı görmemeesi için uğraşıyordum.
  • Vidar V kullanıcısına yanıt
    GitHub
    landhb/HideProcess
    https://github.com/landhb/HideProcess
    Linkteki driver'i ve loaderi derleyin. Ardından cmd'yi yönetici olarak çalıştırıp bcdedit -set TESTSIGNING on yapın, bu sizin test driver'inizi sistem içinde kullanabilmenizi sağlayacaktır. Ardından loader'i yönetici olarak çalıştırıp bir process gösterin. Yaklaşık 30 saniye içinde artık process'iniz görünmez olacaktır.



    Fakat böyle bir işi farklı sistemlerede yapmak istiyorsanız(virüs) önce patchguard'ı delmeniz gerekir. Başarılar. Gittiğiniz yol sıkıntılı bir yol, önceden söyleyeyim.

    Fakat farklı bilgisayara yayma söz konusu değilse rahatlıkla yaparsınız, testsigning'i on yaparak. Fakat testsigning yapsan bile EPROCESS listesinden kendi processini silmene windows ne der bilemiyorum. Cevabı bsod olabilir :D

    rohitab.com hala yaşıyor mu bilmiyorum ama orda sağlam kernel module driver, virus programmerlar vardı. baya sağlam.
    Yani bunlar için hackforums.net'e falanda bilgi için giremezsin çünkü onlar da lamer millete rat sokmaya çalışıp birbirlerine crypter satmaya çalışan aptal sürüsü onlar :D.

    Fakat aralarında yine bir şeyler geliştirebilenler var. Yani kernel mod bilgin yoksa şimdiden temelleri öğrenmeye başla. C++ bilgin yoksa direk onun temellerini öğrenmeye başla derim ben(kernel mod için). Halledeceğin işi user-mode'dan yaparsan hem zaman olarak senin kârına olur.




  • Vidar V kullanıcısına yanıt
    Benim önerim bunu user mode rootkitler ile atlatmaya çalış. Kernel ile çok uğraşırsın temelin yoksa.

    not : Bu arada sakın ordan burdan indirme o user mode rootkitleri. kaynak kodlarını incele. :D sonra ben sorumlu olmam bak.



    < Bu mesaj bu kişi tarafından değiştirildi Guest-8F0924900 -- 30 Mayıs 2020; 10:54:46 >
  • Vallahi inanılmaz çok root-kit yükledim :) Türlü türlü denemeler yaptım ama başarısz oldum maalesef :)

    Şöyle bir injector lazım bana ama exe dosyasını oluşturamadım maalesef bir türlü :)
    Native Callyoutube
    Hide Process / exe from Task Manager and Other Apps (Any Windows) (Rootkit Style) (C++)
    https://www.youtube.com/watch?v=ByhMK_HiwEY



    < Bu mesaj bu kişi tarafından değiştirildi Vidar -- 2 Haziran 2020; 15:7:36 >




  • Vidar V kullanıcısına yanıt
    Umarım sanal makineye yüklemişsinizdir.

    Saklamaya çalıştığınız şey bir Remote Access Trojan(RAT) veya farklı bir virüs çeşidi mi ?



    < Bu mesaj bu kişi tarafından değiştirildi Guest-8F0924900 -- 2 Haziran 2020; 15:30:22 >
  • Yok yahu :) Ekran kayıt etme programını saklamaya çalışıyorum. Bir program var ve hiç bir şeyin açılmasına izin vermiyor. Eğitim programı kendisi. Virtual Machine yapıp kurayım dedim fakat o zaman da bu program sadece bir bilgisayar ile çalışır hatası verdi. Program açıkken başka hiç bir şey açılamıyor. Açıkken de başlamıyor. Nasıl yaptılar bilmiyorum fakat bayağı iyi korumuşlar. Bu programdan gizlemeye çalışıyorum ama bir yolunu bulamadım maalesef.
    • Yapay Zeka’dan İlgili Konular
    Magic Light AI Video Download APK For Android Latest Version
    3 hafta önce açıldı
    virtualbox - cannot be run under virtual machine hatası çözümü varmı acaba
    5 yıl önce açıldı
    Higgsfield AI Promo Code MOD APK Download Latest Version
    geçen ay açıldı
    Daha Fazla Göster
    
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz, DH'yi kullanırken depoladığımız çerezlerle ilgili veri politikamıza gözatın.
Kabul Ediyorum