[ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
|
07-04-2013, 19h53
Message : #1
|
|
Creepy_p0ney
chef des poneys voodoo Messages : 146 Sujets : 9 Points: 24 Inscription : Dec 2011 |
[ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/ |
|
07-04-2013, 19h59
Message : #2
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Well, juste quelques petites remarques :]
Tout d'abord, le registre CR0 est un registre qui contient divers flags, dont un qui désactive temporairement le gestionnaire d'exceptions (et donc les page fault et tout le bordel) ce qui est pratique vu que la table des syscalls est dans une zone théoriquement "read-only" (et donc ça t'évite de te bouffer un kernel panic). Sinon, l'adresse de la syscall table étant hardcoded, ton code fonctionne pour ta version du kernel mais probablement pas pour quelqu'un d'autre (qui devra lui-même trouver l'adresse de sa syscall table ). Bref, pas mal pour une exploration du kernel-land
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-04-2013, 20h02
Message : #3
|
|
Creepy_p0ney
chef des poneys voodoo Messages : 146 Sujets : 9 Points: 24 Inscription : Dec 2011 |
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Ok d'accord, merci pour cette information
Est ce que tu sais comment est-ce qu'on peut la rendre portable ?
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/ |
|
07-04-2013, 20h09
Message : #4
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Ben j'ai peur que ce soit assez délicat en fait ... (le symbole est pas exporté par le kernel, et faut aller fouiner dans les fichiers *.map associés au kernel pour l'avoir)
Sinon tu peux toujours récup l'adresse des fonctions sys_write et sys_close et faire du inline patching vers tes fonctions (par contre te faudra une mini-lib de "désassemblage" pour recopier les instructions que tu vas réécrire, anyway ça se trouve facilement sur le net), ça t'évitera d'avoir à tripoter la table des syscalls (premier truc qu'un anti-rootkit vérifie btw). Et l'avantage du inline patching c'est que du coup tu touches aussi les open & write faits dans le kernel, ce qui peut être utile pour planquer des trucs/etc
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-04-2013, 20h11
Message : #5
|
|
Creepy_p0ney
chef des poneys voodoo Messages : 146 Sujets : 9 Points: 24 Inscription : Dec 2011 |
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
ah je vais regarder ça alors :p tiens ça peut etre rigolo à faire un rootkit et un anti-rootkit aussi
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/ |
|
07-04-2013, 20h24
(Modification du message : 07-04-2013, 20h25 par Kiwazaru.)
Message : #6
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [ring0 linux]espionnez ce que fait un utilisateur sur votre pc [à ne pas faire]
Yeah, gj
Content de voir du stuff ring0, ça me fait un bon exemple de ce que j'ai en projet de faire :B ! (Le tripotage du kernel nux)
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[C++] Votre lib de GUI préféré | Yttrium | 9 | 584 |
25-07-2013, 17h46 Dernier message: Booster2ooo |
|
[Ebook-PDF]Programmation Avancée C linux | thxer | 3 | 253 |
29-05-2013, 07h37 Dernier message: thxer |
|
[C] Patcher son premier crackme linux (for loob && level -- ) | InstinctHack | 6 | 482 |
05-05-2013, 16h47 Dernier message: fr0g |
|
[C] The advanced linux programming | Junky | 2 | 257 |
26-03-2013, 18h29 Dernier message: sakiir |
|
[NASM] Création d'un thread sous Linux uniquement avec les syscalls | supersnail | 2 | 232 |
04-03-2013, 23h36 Dernier message: Dobry |
|
[C-Question] Memory Editing Sous linux ? | sakiir | 4 | 244 |
24-02-2013, 00h58 Dernier message: sakiir |
|
[C++] Spammeur linux | Dobry | 0 | 133 |
24-02-2012, 19h48 Dernier message: Dobry |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)