projects
Projects
Escrito por David Reguera García   
Domingo, 12 Agosto 2007

Nombre Descripción
cgaty

Buenas, leyendo el libro “The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System” quería matizar un par de cosas sobre el capítulo “Hooking the GDT - Installing a Call Gate”. Al final del artículo se incluye un POC driver con el soporte del WalkGDT para varios COREs entre otras.

Esta es la copia de seguridad de mi POC publicado en:

http://blog.48bits.com/2010/01/08/rootkit-arsenal-installing-a-call-gate/

dwtf v1

Mirro de la herramienta oficial pública en:
http://rootkitanalytics.com/tools/dwtf.php

dwtf v1 es un creador de fake DLL. Crea una fake DLL, basa en la DLL original tomándola como entrada. Exporta todos sus símbolos y exporta todos los símbolos de la DLL original (Incluyendo Forwarder). Crea una area con JMP DWORD [ADDRESS] por cada export y más...

cypher.rar

He creado una herramienta útil para cosas de reversing o keygen.

El diseño es simple, solo necesitas programar una DLL que implemente el algoritmo usando datos desde un buffer, la aplicación carga la dll, abre los ficheros, procesa las salidas etc..

Bypass dllinj_wbti

Proyecto se salta métodos de inyección de DLL basados en inyección de Thread o basados en inyección de código en cualquier hilo diferente al principal.

Más información:
http://www.openrce.org/blog/view/1329/
Bypassing_DLL_injection_method_based_in_
thread_injection_or_based_in_code_
injection_in_any_thread_diferent_to
_main_(in_this_case)

https://www.rootkit.com/blog.php?user=Dreg

Bypass Easy-hook

Este proyecto se salta las engines para hook de windows que si LoaderLock está bloqueado no ejecutan al hook handler.

Más información:
http://www.openrce.org/blog/view/1328/
Bypassing_windows_hook_engines_which_if
_the_LoaderLock_is_held_not_executes_the

https://www.rootkit.com/blog.php?user=Dreg

AuxLib

Reversing de la Auxiliary Windows API Library (x86 y x86_64),
Release 1.0 (MIT License) La biblioteca es útil para evadir deadlocks y otro tipo de cosas:
Más información:

http://www.openrce.org/blog/view/1326/
AuxLib_-_Reverse_engineering_of_
Auxiliary_Windows_API_Library_(x86_and_
x86_64)


https://www.rootkit.com/blog.php?user=Dreg

phook

phook - The PEB Hooker: nuevas versiones de las herramientas del paper publicado en phrack 65, el paper habla sobre un método para hacer "hooks" a DLLs en Windows usando el PEB y otras herramientas. Link original:
http://phrack.org/issues.html?issue=65
&id=10#article

Jointrooter

Herramienta para pen-test de routers por el protocolo TELNET y próximamente SSH; para ello usa diccionarios y un fichero con los promtps de diferentes modelos, para poder auditar más routers solo hace falta añadir nuevos promtps.

LO/LS/
OT_SC +
STDEINSU_GV

Herramienta creada para intercambiar y escalar privilegios en GNU\Linux, infectando ELFs con
permisos de escritura de otros usuarios, además
usa la herramienta LOCATE para obtener nombres
de fichero que no podría por permisos de directorio. Incluye desinfector y scripts para trabajar de forma cómoda y rápida.

piathook Process IAT Hooker - capaz de redireccionar una entrada ya existente en la IAT por una nueva implementada en una DLL.
pebtry Capaz de leer la estructura PEB y mostrar información útil al usuario únicamente usando ReadProcessMemory para leer los campos y/o estructuras.
enyelkm Loadable Kernel Module - Rootkit para los nucleos Linux 2.6.
fr33disasm Desensamblador para x86 incompleto.
getprocaddress GetProcAddress realizado con MASM32 adaptado para usar con tecnología vírica.
karping Detector de envenenamiento ARP para Linux.
pe32analyzer Analizador programado en ANSI C para los PE32 de microsoft.


Ultima actualización( Domingo, 12 Agosto 2007 )