Archive for the Kernel Category

Hide your SSDT hooks

Posted in Kernel, Malware on noviembre 10, 2008 by Hendrix

En la web de Rootkit.com vi este interesante artículo donde explican como esconder los Hooks en la SSDT.

Comenta 2 métodos: Modificando la EAT de los drivers y modificando la estructura KTHREAD.

En el artículo comenta que el Rootkit Unhooker no es capaz de detectar los hooks, así que parece que este método es realmente interesante.

Un Saludo

Hendrix.

Finalizado el documento de Drivers

Posted in Aportes, Kernel, Malware on octubre 24, 2008 by Hendrix

Ayer por la noche escribí el último capítulo y hoy por la mañana lo e pasado a PDF. Se aceptan correciones, felicitaciones y críticas 😀

Descarga

Un Saludo

Hendrix

Artículo interesante en (IN) SECURE Magazine

Posted in Kernel, Malware, Seguridad on octubre 16, 2008 by Hendrix

El artículo lo acabo de leer ahora y la verdad es que me ha gustado bastante, el autor es Anibal Sacco y el tema es el de intentar aprovechar vulnerabilidades en los drivers para poder ejecutar código en modo kernel desde modo usuario, concretamente la vulnerabilidad esta en los IOCTL’s del driver. El autor explica el artículo mediante la vulnerabilidad encontrada en el driver del Winpcap (CVE-2007-5756).

La verdad es no es el único artículo interesante de la revista, hay otros tantos que tambien merecerian ser analizados, pero me quedo con este ya que trata sobre los temas que voy trabajando.

Un Saludo

Hendrix

Introducción a la programación de drivers en Windows

Posted in Kernel, Malware on octubre 14, 2008 by Hendrix

Estoy escribiendo en elhacker.net un artículo sobre la programación de drivers en Windows. Los temas a tratar son los siguientes:

1. Nociones básicas

  • 1.1 Herramientas necesarias
  • 1.2 Modo kernel y modo Usuario
  • 1.3 Documentación interesante

2. Introducción

  • 2.1 Hola mundo desde el driver
  • 2.2 Comunicación entre Modo kernel y modo usuario

3. El Kernel de Windows

  • 3.1 La SSDT o System Service Descriptor Table
  • 3.2 Memoria protegida

4. Hooks

  • 4.1 Hooks en la SSDT

5. Direct Kernel Object Manipulation (DKOM)

  • 5.1 Eprocess
  • 5.2 Ocultando procesos sin Hooks

Espero que les guste, si no entienden algo, o creen que me e dejado algo en el tintero, solamente diganmelo.

Un Saludo

Hendrix

Artículo sobre parcheo de memoria en modo Kernel

Posted in Kernel, PerformSec on octubre 14, 2008 by Hendrix

Acabo de escribir un artículo demostrando algunos fallos que tienen la mayoría de módulos de Kernel que utilizan los sistemas de seguridad como son Anti-Virus, Firewalls, etc.

Junto con el artículo hay un pequeño programa que se encarga de la protección de un archivo y otro programa que se encarga de burlar dicha protección aprovechando la no verificación de las direcciones almacenadas en las variables. En el programa de parcheo no e restaurado la entrada en la SSDT (un metodo mucho más fácil que el que e usado) ya que pretendia explotar el fallo que cometen algunos sistemas de seguridad, que es el de la no verificación de las direcciones. Ya que algunos verifican que la entrada de la SSDT permanezca hookeada pero no verifican la dirección a la que van a llamar. Una vez parcheada la dirección, nos encargamos de envenenar (cambiar) los parámetros por otros falsos y el programa de protección ni se entera.

Descarga

Un Saludo

Hendrix