• STATISTIQUES
  • Il y a eu un total de 0 membres et 11282 visiteurs sur le site dans les dernières 24h pour un total de 11 282 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation
    [EN] Astalavista
    Un site aux ressources incontournable depuis plusieurs années, Astalavista est réellement devenue un cl...
    Hacking
    [EN] Rankk
    Site de challenge construit sur le principe d'une pyramide à 9 level. Level 1: 60,Level 2: 72,Level 3: 68,Lev...
    Challenges
    [EN] Hack This Site
    Hack This Site est considéré comme un réel terrain d'entraînement légal pour le...
    Hacking
    [EN] Rosecode
    Programming: 36, Math: 29, Probability: 5, Sequence: 7, Crypto: 4, Brainf**k: 13, TimeRace: 4, Hack: 9
    Challenges
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
07-04-2013, 19h53
Message : #1
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
[ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (3) -1 (0) Répondre
07-04-2013, 19h59
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Well, juste quelques petites remarques :]

Tout d'abord, le registre CR0 est un registre qui contient divers flags, dont un qui désactive temporairement le gestionnaire d'exceptions (et donc les page fault et tout le bordel) ce qui est pratique vu que la table des syscalls est dans une zone théoriquement "read-only" (et donc ça t'évite de te bouffer un kernel panic).

Sinon, l'adresse de la syscall table étant hardcoded, ton code fonctionne pour ta version du kernel mais probablement pas pour quelqu'un d'autre (qui devra lui-même trouver l'adresse de sa syscall table Wink).

Bref, pas mal pour une exploration du kernel-land Smile
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (1) -1 (0) Répondre
07-04-2013, 20h02
Message : #3
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Ok d'accord, merci pour cette information
Est ce que tu sais comment est-ce qu'on peut la rendre portable ?
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (0) -1 (0) Répondre
07-04-2013, 20h09
Message : #4
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Ben j'ai peur que ce soit assez délicat en fait ... (le symbole est pas exporté par le kernel, et faut aller fouiner dans les fichiers *.map associés au kernel pour l'avoir)

Sinon tu peux toujours récup l'adresse des fonctions sys_write et sys_close et faire du inline patching vers tes fonctions (par contre te faudra une mini-lib de "désassemblage" pour recopier les instructions que tu vas réécrire, anyway ça se trouve facilement sur le net), ça t'évitera d'avoir à tripoter la table des syscalls (premier truc qu'un anti-rootkit vérifie btw).

Et l'avantage du inline patching c'est que du coup tu touches aussi les open & write faits dans le kernel, ce qui peut être utile pour planquer des trucs/etc Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (1) -1 (0) Répondre
07-04-2013, 20h11
Message : #5
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
ah je vais regarder ça alors :p tiens ça peut etre rigolo à faire un rootkit et un anti-rootkit aussi
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (0) -1 (0) Répondre
07-04-2013, 20h24 (Modification du message : 07-04-2013, 20h25 par Kiwazaru.)
Message : #6
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Yeah, gj Smile

Content de voir du stuff ring0, ça me fait un bon exemple de ce que j'ai en projet de faire :B ! (Le tripotage du kernel nux)
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [C++] Votre lib de GUI préféré Yttrium 9 633 25-07-2013, 17h46
Dernier message: Booster2ooo
  [Ebook-PDF]Programmation Avancée C linux thxer 3 275 29-05-2013, 07h37
Dernier message: thxer
  [C] Patcher son premier crackme linux (for loob && level -- ) InstinctHack 6 525 05-05-2013, 16h47
Dernier message: fr0g
  [C] The advanced linux programming Junky 2 275 26-03-2013, 18h29
Dernier message: sakiir
  [NASM] Création d'un thread sous Linux uniquement avec les syscalls supersnail 2 250 04-03-2013, 23h36
Dernier message: Dobry
  [C-Question] Memory Editing Sous linux ? sakiir 4 273 24-02-2013, 00h58
Dernier message: sakiir
  [C++] Spammeur linux Dobry 0 148 24-02-2012, 19h48
Dernier message: Dobry

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut