Phrack 65 is out !

avril 12th, 2008 at 10:46 admin

Le dernier Phrack vient de sortir et c’est un petit rêve pour moi qui se réalise, car oui ! Je suis dedans ! J’ai coécrit un article avec le grand mxatone. J’espère que notre travaille vous plaira et cela vous donnera un paquet d’idées pour la suite. En tout cas, personnellement, je suis assez content du paper que nous avons release, on a essayé d’innover le plus possible en plongeant au fond du système en étudiant des mécanismes peu documentés voir pas du tout en ayant pour objectif de proposer une vision nouvelle dans un discipline qui, il faut le dire, commence un peu à tourner en rond, la furtivité des rootkits en se basant sur les composants systèmes déjà disponibles et ne venez pas me parler des rootkit HVM comme BlueBill qui virtualise l’OS, ils profitent d’une feature hardware pour s’installer entre le matériel et le système pour pouvoir le contrôler.

Notre article « Stealth Hooking: another way to subvert the Windows kernel » décrit des techniques de hook extrêmement furtives dans le noyau se basant sur des éléments volatiles, donc difficilement détectable par des Anti-rootkit et autres HIPS. La première partie est basé sur la gestion des interruptions hardware par Windows, depuis l’IDT jusqu’aux DPC chargés de gérés l’I/O entre le périphérique et la mémoire. La deuxième partie décrit le fonctionnement de la kernel NonPaged pool, comprenez la gestion par l’OS de la mémoire qui ne peu être swappée, puis montre comment, en corrompant les structures de gestion de cette mémoire, contrôler différents mécanismes clés de l’OS. Pour résumer d’un coté l’article décrit un moyen de contrôle des I/O sur l’OS, de l’autre une méthode permettant de hooker des fonctions clés comme l’allocation des IRP ou bien de gérer des trigger permettant à un rk d’effectuer des opérations à un moment précis.

J’ajouterais aussi que écrire en anglais est loin d’être simple, nous remercions tout ceux qui nous ont relu et nous on aidé à rendre notre paper plus propre et plus clair :]

Nous vous souhaitons, mxatone et moi, une bonne lecture et un bon Phrack !

Entry Filed under: C:

17 Comments

  • 1. mxatone  |  avril 12th, 2008 at 10:49

    Bonne lecture à tous et bon travail ivan ;)


  • 2. PhanteZ  |  avril 12th, 2008 at 10:55

    Je suis pas un grand érudit de ce genre de littérature. Mais je te félicite quand même car l’article est vraiment intéressant.


  • 3. Taron  |  avril 12th, 2008 at 15:08

    Congratulations..


  • 4. Christophe  |  avril 12th, 2008 at 22:40

    Super travail :) Felicitations


  • 5. r0main  |  avril 13th, 2008 at 15:29

    Very nice paper. Congrats guys!


  • 6. bartavelle  |  avril 13th, 2008 at 19:38

    La classe internationale! Dommage que le site soit down là …


  • 7. marquis de carabas  |  avril 14th, 2008 at 17:06

    et bien sur tu fournit une version fr de ton article?


  • 8. admin  |  avril 14th, 2008 at 17:12

    nan :)


  • 9. texane  |  avril 14th, 2008 at 21:11

    yo, tout cool ton article, c’est bien.

    pour ndis >= 6.0 la macro NdisMIndicateReceivePacket a ete remplacee et c’est maintenant une fonction (NdisMIndicateRecveiveNetBufferLists ou un truc dans le genre…), idem du cote protocol driver, donc tu peux inline hooker le booza sans remplacer des functions pointers.
    Sinon [16] est down chez moi.


  • 10. admin  |  avril 14th, 2008 at 21:42

    Ok, merci pour l’info, j’ai pas trop regardé Vista à ce niveau :)

    Tu peux tjrs dl icesword ici.


  • 11. Intox  |  avril 18th, 2008 at 15:36

    C’est que ça vole dans les hauteurs, c’bestiau la !


  • 12. SynApsus  |  avril 21st, 2008 at 22:38

    De la grande classe…Du grand Ivan !
    :)


  • 13. jme  |  avril 25th, 2008 at 13:43

    La même technique est utilisée dans gdi.exe ?


  • 14. admin  |  avril 25th, 2008 at 14:28

    Hahahahahahahaha :]
    TRUE REPRESENT CHOCAPICZ FOR THE HORDE !


  • 15. TiMeLoRD /Shmeit Corp  |  mai 2nd, 2008 at 01:24

    Félicitations….. Da Crazy Ivan ;o)

    Etre dans Phrack tout le monde en rêve mais la nouvelle équipe vaut pas l’ancienne lol

    :)

    Regards


  • 16. un faux robert  |  mai 24th, 2008 at 13:57

    tiens ce pseudo me rappel que je viens de (re-re-re-re-re-re-re)lire le dernier mementos le M6 :)


  • 17. enioh  |  mars 13th, 2009 at 16:59

    Contenu intéressant.
    Corriger les accords de participes passés serait un plus ;)


Trackback this post


Calendar

octobre 2021
L Ma Me J V S D
« fév    
 123
45678910
11121314151617
18192021222324
25262728293031

Most Recent Posts