Bonsoir à tous,<br />Comme chaque semaine ,je vais vous exposer mon petit article et un petit code dans le but d'illustrer le tout.<br />Après ces plusieurs posts ,j'ai décidé de faire un petit truc plutôt intéréssant pour celui-ci.<br />En effet il met en action de l'injection de dll ,l'utilisation d'api native ,du hook ( en modifiant l'iat ).<br />Mon but a donc été de montrer un code pouvant être intégré dans un rootkit ring 3.<br />Celui-ci va cacher un dossier au processus cible.<br />Bon à présent je vous expose la technique :<br /><br />- Tous d'abord ,nous allons injecter notre dll dans un processus. ( à l'aide d'un d'injecteur )<br />- Ensuite ,notre dll va allez corrompre l'iat de kernel32.dll ,afin de détourner l'api native ( exporté par ntdll.dll ) NtQueryDirectoryFile.<br />- Et enfin le plus complexe ,est de réaliser une fonction capable de cacher notre dossier.<br /><br />Voilà donc le mode opératoire.<br />Normalement si vous avez suivis les précédents post ,vous n'aurez aucun problème à injecter la dll ,et corrompre l'iat de kernel32.dll.<br />Ce qui peut poser problème en revanche,c'est l'élaboration de la fonction qui va cacher notre dossier.<br />J'ai décidé de ne pas l'expliquer ,car c'est plutôt complexe à expliquer et je vous conseil de faire énormement de test ,de tattonner le tout.<br />Je vais par contre vous renvoyez vers de la documentation française sur le "Comment faire ?" de la chose ( en fin de page ).<br />Comme je parlais de rootkit userland ,ce code est loin d'en être un ,tout d'abord le code ne prend en aucun cas le contrôle de l'userland.<br />Il va s'injecter dans un seul processus donc ,cependant il serait facilement réalisable d'injecter tous les processus lancés au moment de l'éxécution de l'injection.<br />Mais un petit problème resterait le cas des nouveaux processus : eux ne seraient pas injecter par notre dll.<br />Enfin bref tout cela pour susciter votre curiosité à vous de jouer à présent.<br />Un petit screenshot ,injection du notepad.exe :<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_kuo-yDTqvqc/R17THotNZHI/AAAAAAAAABc/QRf7Wq-8-uY/s1600-h/rk.png"><img style="cursor: pointer;" src="http://4.bp.blogspot.com/_kuo-yDTqvqc/R17THotNZHI/AAAAAAAAABc/QRf7Wq-8-uY/s400/rk.png" alt="" id="BLOGGER_PHOTO_ID_5142779952643269746" border="0" /></a><br /><br />Et un second screen ,cette fois-ci plus intéréssant : explorer.exe :<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_kuo-yDTqvqc/R17S24tNZGI/AAAAAAAAABU/Kjt14I1VZbY/s1600-h/rk2.png"><img style="cursor: pointer;" src="http://1.bp.blogspot.com/_kuo-yDTqvqc/R17S24tNZGI/AAAAAAAAABU/Kjt14I1VZbY/s400/rk2.png" alt="" id="BLOGGER_PHOTO_ID_5142779664880460898" border="0" /></a><br /><br />Les codes : <a href="http://overclok.free.fr/Codes/h0l0c4ust/h0l0c4ustInjector.htm">h0l0c4ust's injector.c</a><br /> <a href="http://overclok.free.fr/Codes/h0l0c4ust/h0l0c4ustIDll.htm">h0l0c4ust.c</a> (dll)<br /><br />Les documents : - <a href="http://ivanlef0u.free.fr/repo/windoz/hidingfr.txt">http://ivanlef0u.free.fr/repo/windoz/hidingfr.txt</a> -> article sur lequel j'ai basé l'élaboration de ma fonction.<br /> - <a href="http://www.rit.edu/%7Ejrk9185/rootkit/6-7/rootkit.c">http://www.rit.edu/~jrk9185/rootkit/6-7/rootkit.c</a> -> une source trouvée ,qui peut aider je pense.<br /> <br />Voilà en espérant que vous allez bien assimilez la technique.<br />Bonne fin de soirée à vous cya.<br /><br />PS : désolé pour le retard du post ,je suis en pleine période d'examen blanc.<br />PS2 : j'ai finalement commenté le code de la dll un petit peu .<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/5190877782491799334-5253475820171938836?l=0vercl0k.blogspot.com'/></div>