[SOLUCIONADO] RootKit: Hide Process - RAT

[RandomSoft]

Buen día amigos, en esta oportunidad vengo en busca de un RootKit para esconder el proceso del RAT en el Administrador de Tareas, he buscado y solo lo encontre en VB6, pero lo necesito en C# o en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

[Muppet]

Buen día amigos, en esta oportunidad vengo en busca de un RootKit para esconder el proceso del RAT en el Administrador de Tareas, he buscado y solo lo encontre en VB6, pero lo necesito en C# o en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este no es un grupo de desarrollo?

[RandomSoft]

Este no es un grupo de desarrollo?

y esa es la razon por la que pido una pequeña ayuda al grupo de desarrollo

[gallet]

RandomSoft, ¿Puedes dar más detalle de lo que quieres? me refiero a que sistema operativo en concreto y si puedes poner un ejemplo del codigo de VB6 mejor.
Recienemente he hecho una conversión de una aplicación en lenguaje VB6 a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con el VS2010 o el 2012 no estoy seguro y la verdad es que quedo bastante bien ha falta de retocar unas cuantas sentencias, luego pasarla de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta a C# me costo aún menos.
Si lo quieres multiplataforma eso ya es más difícil

[Snifer]

Movi el tema a la seccion que pertenece..

Regards,
Snier

[Sanko]

Se supone que eres desarrollador y en lugar de buscar uno deberias de pensar en como hacer uno.
Analiza un poco...

El rootkit tendria que permitir el acceso a un privilegio de manera continua y en este caso tienes que ocultar un proceso...
Así que si analizas un poco solo deberias de :
- Conseguir acceso a system
- Falsear el PID del ejecutable

Que no se diga hombre...

[Snifer]

¬¬ trollazo viste que lenguaje quiere realizar por lo tanto es para NT y no asi para UNIX lo que tienes que hacer es primero ver que tipo de injeccion (por asi decirlo) y jugar con la API de windows

EDIT: El idiota soy  yo sankoncio.. lo siento. :$

Regards,
Snifer

[Sanko]

¬¬ trollazo viste que lenguaje quiere realizar por lo tanto es para NT y no asi para UNIX lo que tienes que hacer es primero ver que tipo de injeccion (por asi decirlo) y jugar con la API de windows

EDIT: El idiota soy  yo sankoncio.. lo siento. :$

Regards,
Snifer

XD claro que lo eres

[RandomSoft]

Gracias por los comentarios amigos, pero debido a que en VB6 es mucho más facil ocultar un proceso (app.TaskVisible = False), ando buscando algo similar en C# y no lo encuentro.

[RandomSoft]

Disculpen la ignorancia, pero soy nuevo en eso de los RootKit y simplemente me estube guiando del Bifrost, el cual pone como funciòn RootKit - Ocultar Proceso

[SINUHE]

Hola RandomSoft, te cuento un poco mi experiencia, quizas te sirva

* Si ocultas cualquier proceso bajo .net, es muy probable que los antivirus te lo detecten por heuristica (no existe ninguna razón para que un software se oculte de la lista de procesos)
* Si no requieres una ventana de aplicacion, es muy recomendable que armes tus server como un servicio
* Cualquier método de inyección o robo de PID es probable que sea detectado

Si necesitas si o si una interfaz en el server, puedes probar esto:

[STAThread]

Código: csharp

static void Main()
{
           ProcessStartInfo pinfo = new ProcessStartInfo();
           pinfo.WindowStyle = ProcessWindowStyle.Hidden;
           Application.Run(new Form1());
}

tambien usa

Código: csharp

ShowInTaskbar = false;
WindowState = WindowState .Minimized;

hay una pega, y creo que es porque es accesible por alt-tab, pero podrias deshabilitar esto y ya lograrias un avance

Si encuentro algo mas interesante te escribo nuevamente

Saludos!

[RandomSoft]

Gracias SINUHE se me habia olvidado ese pequeño detalle, a ti tambien Psymera mil gracias por el apoyo