ClsHack:Computer Security Blog    

(hack)DLL INJECT: Nascondi un processo al TaskManager :)

Posted on: 15 February 2010

Non molto tempo fa, abbiamo visto come nascondere un file eseguibile a i programmi che individuano i file che vengono eseguiti all’avvio del sistema.


Un esempio di questi programmi, fornito di default da windows, è msconfig.
Comunque, l’articolo, in questione lo trovate qui:
(hack)Nascondere un processo in avvio :) [windows -.-' bah ]
Voglio sottolineare che non voglio assolutamente incentivarvi a creare virus e loro derivati invisibili o quasi per fare casini -.-’
Io voglio solo, esporre, le tecniche di come, i virus si nascondono nei vostri( io uso linux :) ) sistemi windows.

La prima cosa da fare, è studiare un po la teoria di questa tecnica:
[DOWNLOAD]GUIDA IN ITALIANO QUI
Bene, ora che abbiamo un po di teoria vediamo i sorgenti.
A me i sorgenti della guida non funzionano quindi ho modificato un pochino(pochissimissimo! )
Allora questo è il file per iniettare la dll in un processo.
DOWNLOAD DLL_INJECT.C
Mentre questo è il mio codice della dll.(vi prego non compilatela con devc++ perchè non va :( )
DOWNLOAD DLL.C
Spero che abbiate una minima conoscenza del c :)
Una volta scaricati i sorgenti, compilateli.
Copiate la dll generata in c:\ con il nome di dll.dll.
Aprite la calcolatrice ed eseguite il file che inietta il codice.
Il file dll_inject, vi genererà un file di log, con scritto se l’operazione è andata a buon fine o meno.
Comunque, se l’operazione è andata a buon fine, vi comparirà la schermata di dos con scritto dll iniettata.
Screen:

Related posts:

  1. (hack)Nascondere un processo in avvio :) [windows -.-' bah ]
  2. Osfuscate:nascondi le tue info a malintenzionati
  3. [guida]Oday-Exploit Adobe Reader: Hack di Windows con metasploit
  4. Hack di WINDOWS con metasploit e IE 0day aka (Aurora) exploit
  5. OphCrack:recupera/trova le password di windows

This entry was posted on Monday, February 15th, 2010 at 2:11 pm and is filed under Hacking, Software, Windows. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Tagged with:

  • Pingback: (hack)DLL INJECT: Nascondi un processo al TaskManager :)

  • David

    Potresti mettere a disposizione i file già compilati (per sistemi win 32) per coloro che dispongono solo di devc++ , li vorrei provare sulla calcolatrice di WinXP sp2?

    Ho provato con un compilatore c online ma mi ha dato il seguente errore:
    i586-pc-msdosdjgpp-gcc: Internal compiler error: program cpp got fatal signal 11

    Un’ultima richiesta, come si deve agire invece, una volta nascosto il processo di un applicativo con il metodo della dll_inject, a rendere nuovamente visibile la finestra del programma?

    Un saluto e grazie.

  • http://www.clshack.it clshack

    @ David:
    Che fai hai compilato online ?
    Probabilmente ti ha dato errore, perché il compilatore online sarà su una macchina linux e perciò non trova le librerie windows ecc .

    Un’ultima richiesta, come si deve agire invece, una volta nascosto il processo di un applicativo con il metodo della dll_inject, a rendere nuovamente visibile la finestra del programma?

    Nel mio caso, ho inietto la dll nella calcolatrice,quando, la finestra verrà chiusa, la dll viene rilasciata e la calcolatrice ritorna a funzionare normalmente ma esistono processi di windows che non sono visibili (senza GUI) esempio dllremotehost no anzi beh non mi ricordo più come si chiama, lo trovi in system32 che viene visualizzato come processo di sistema, ma in realtà contiene il nostro codice.
    ciao

  • David

    Potresti condividere su un sito di Housting i file già compilati (per sistemi win 32) e postarmi il link o pubblicarlo sul presente articolo, così che possa provarli sul mio XP sp2?
    Un grazie ed un saluto.

  • http://www.clshack.it clshack

    Ciao david, appena posso uppo tutto sul mio sito ;)

    Dammi il tempo di mettere apposto VirtuaBox :)

    Ti mando una mail quando lo faccio ;)

    Ciao

  • Shadowy Viper

    Ma quindi sono stati già uppati i compilati da Febbraio?
    :D
    ciao

  • clshack

    @Shadowy Viper :
    No alla fine ho preferito lasciare a voi la compilazione _._

  • Shadowy Viper

    ok… tanto il concetto e i codici sono davvero semplici, basta trovare le giuste chiamate per altri linguaggi e si può riscrivere ad esempio in vb net, anche se non mi piace troppo. :)
    Evviva Linux in Persistent mode su USB :) !!!

  • http://www.frk7.altervista.org Frk7

    #include

    extern “C”
    {

    BOOL APIENTRY DllMain(HINSTANCE hDLLInst, DWORD fdwReason, LPVOID lpvReserved)
    {
    switch (fdwReason)
    {
    case DLL_PROCESS_ATTACH: {/* operazioni di inizializzazione della dll */

    system(“echo Dll inietta (ciao da clshack :) ) && pause”);
    break;

    }
    case DLL_PROCESS_DETACH: /* operazioni di rilascio della dll */
    break;
    }
    return TRUE;
    }

    }
    cosi dovrebbe andare anche sotto dev c++ e mingw in generale ;)

  • clshack_

    ;) grazie :P