[REL] Schwarze Sonne Rootkit

  • Zacherl : Eine DKOM Implementation in unsere DLL könnte sogar in ring0 unseren Prozess unlinken und dadurch unsichtbar machen :P




    Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
    Und er will dich niederhalten mit Geschrei durch Bein und Mark
    Mit Verboten und Zensur kann er zwar den Kampf erschweren
    Doch niemals wird ein Richterspruch den freien Geist bekehren.


    Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
    Derer, die der Lüge dienen, denn schon bald werden sie fallen.

  • Schau mal auf die DKOM Experimente von cobein in der VB Sektion von Hackhound:
    http://hackhound.org/forum/index.php?topic=22811.0


    oder auch ganze Beispiele:
    http://www.opensc.ws/c-c/5854-dkom-process-hider-2-a.html


    Das Portieren auf Delphi sollte nicht schwierig sein




    Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
    Und er will dich niederhalten mit Geschrei durch Bein und Mark
    Mit Verboten und Zensur kann er zwar den Kampf erschweren
    Doch niemals wird ein Richterspruch den freien Geist bekehren.


    Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
    Derer, die der Lüge dienen, denn schon bald werden sie fallen.

  • Ah vielen Dank :) Jetzt hab ich dich grade in ICQ verpasst grml. Beim Beispiel auf OpenSC.ws wird allerdings ein Treiber verwendet.

    Schaue mir jetzt mal das Beispiel von HackHound an. Einen Treiber wollte ich ja vermeiden, damit ich mich nicht mit Treibersignierung / verschiedenen Versionen für verschiedene Windows Verisonen rumärgern muss.

    Edit: Das HackHound Beispiel verwendet physischen Zugriff auf den RAM. Das ist der Trick, der unter XP funktionierte, als der Kernel noch unverschlüsselt im RAM war. Hast du das mal unter Vista & Win7 getestet? Will mir nicht die Arbeit machen, alles zu portieren, wenns letztlich doch nicht mehr funktioniert.

  • CoolObsession oO Das ist jetzt das zweite mal, an einem Tag im selben Thema, dass du unnötige Fragen stellst.

    Bitte nochmal ganz von vorne das Thema durchlesen, dann findest du sowohl eine Antwort auf deine Frage, als auch den Download vom Source :censored:

    In den ring3 muss man übrigens nichts "kriegen", jedes Usermode Programm befindet sich in ring3.

  • Sry merke grad dass er Treiber benutzt.


    @DKOM: WeiÃ? nicht wie dass in Vista oder Win7 ist, aber in XP funktioniert er. Kannst du testen weil ich kein Vista/Win7 hab




    Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
    Und er will dich niederhalten mit Geschrei durch Bein und Mark
    Mit Verboten und Zensur kann er zwar den Kampf erschweren
    Doch niemals wird ein Richterspruch den freien Geist bekehren.


    Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
    Derer, die der Lüge dienen, denn schon bald werden sie fallen.

  • schade...
    Dann bleibe ich auf ring3 :P




    Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
    Und er will dich niederhalten mit Geschrei durch Bein und Mark
    Mit Verboten und Zensur kann er zwar den Kampf erschweren
    Doch niemals wird ein Richterspruch den freien Geist bekehren.


    Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
    Derer, die der Lüge dienen, denn schon bald werden sie fallen.