• STATISTIQUES
  • Il y a eu un total de 0 membres et 32298 visiteurs sur le site dans les dernières 24h pour un total de 32 298 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [EN] Gekko
    Site de challenge présenter sous la forme d'une quête. Vous êtes un agent secret qui répond sous le nom...
    Challenges
    [FR] Secuser
    Actualité de la sécurité informatique, fiches virus et hoax, alertes par email, antivirus gratui...
    Hacking
    [FR] Microcontest
    Cryptographie: 7, Mathématiques: 8, Image Son Vidéo: 5, Intelligence artificielle: 3, Réseau: 2, Divers: 7, Phy...
    Challenges
    [EN] Security Traps
    Site de challenge qui prétend être construit non pas dans le but de parfaire vos connaissances, mais plutôt dan...
    Challenges
    [EN] Bright Shadows
    JavaScript: 13, Exploit: 27, Crypto: 69, CrackIt: 52, Stegano: 67, Flash: 3, Programming: 16, Java-Applet: 10, Logic: 20...
    Challenges
    [FR] frameip
    le site de partage des connaissances du monde TCPIP
    Protocole

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
07-04-2013, 19h53
Message : #1
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
[ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (3) -1 (0) Répondre
07-04-2013, 19h59
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Well, juste quelques petites remarques :]

Tout d'abord, le registre CR0 est un registre qui contient divers flags, dont un qui désactive temporairement le gestionnaire d'exceptions (et donc les page fault et tout le bordel) ce qui est pratique vu que la table des syscalls est dans une zone théoriquement "read-only" (et donc ça t'évite de te bouffer un kernel panic).

Sinon, l'adresse de la syscall table étant hardcoded, ton code fonctionne pour ta version du kernel mais probablement pas pour quelqu'un d'autre (qui devra lui-même trouver l'adresse de sa syscall table Wink).

Bref, pas mal pour une exploration du kernel-land Smile
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (1) -1 (0) Répondre
07-04-2013, 20h02
Message : #3
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Ok d'accord, merci pour cette information
Est ce que tu sais comment est-ce qu'on peut la rendre portable ?
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (0) -1 (0) Répondre
07-04-2013, 20h09
Message : #4
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Ben j'ai peur que ce soit assez délicat en fait ... (le symbole est pas exporté par le kernel, et faut aller fouiner dans les fichiers *.map associés au kernel pour l'avoir)

Sinon tu peux toujours récup l'adresse des fonctions sys_write et sys_close et faire du inline patching vers tes fonctions (par contre te faudra une mini-lib de "désassemblage" pour recopier les instructions que tu vas réécrire, anyway ça se trouve facilement sur le net), ça t'évitera d'avoir à tripoter la table des syscalls (premier truc qu'un anti-rootkit vérifie btw).

Et l'avantage du inline patching c'est que du coup tu touches aussi les open & write faits dans le kernel, ce qui peut être utile pour planquer des trucs/etc Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (1) -1 (0) Répondre
07-04-2013, 20h11
Message : #5
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
ah je vais regarder ça alors :p tiens ça peut etre rigolo à faire un rootkit et un anti-rootkit aussi
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (0) -1 (0) Répondre
07-04-2013, 20h24 (Modification du message : 07-04-2013, 20h25 par Kiwazaru.)
Message : #6
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Yeah, gj Smile

Content de voir du stuff ring0, ça me fait un bon exemple de ce que j'ai en projet de faire :B ! (Le tripotage du kernel nux)
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [C++] Votre lib de GUI préféré Yttrium 9 585 25-07-2013, 17h46
Dernier message: Booster2ooo
  [Ebook-PDF]Programmation Avancée C linux thxer 3 255 29-05-2013, 07h37
Dernier message: thxer
  [C] Patcher son premier crackme linux (for loob && level -- ) InstinctHack 6 483 05-05-2013, 16h47
Dernier message: fr0g
  [C] The advanced linux programming Junky 2 257 26-03-2013, 18h29
Dernier message: sakiir
  [NASM] Création d'un thread sous Linux uniquement avec les syscalls supersnail 2 233 04-03-2013, 23h36
Dernier message: Dobry
  [C-Question] Memory Editing Sous linux ? sakiir 4 246 24-02-2013, 00h58
Dernier message: sakiir
  [C++] Spammeur linux Dobry 0 133 24-02-2012, 19h48
Dernier message: Dobry

Atteindre :


Utilisateur(s) parcourant ce sujet : 3 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut