|
Home | Chi sono | Contattami |
Progr. lineare
Delphi
Componenti
Database
Miei articoli
Windows
|
Holy_Father Di seguito il materiale presente un tempo nel defunto sito http://hxdef.org |
|
 |
Driver coding tutorial: ottima guida alla creazione di
driver; mirata principalmente a spiegare per gradi come creare
un driver per eseguire l'hooking di API di Windows in kernel
mode
Sorgenti in C |
|
|
File Faker: simpatico programma per creare file di
piccole dimensioni che però vengono visti da Windows come file
di dimensione enorme: più precisamente il programma consente di
specificare la dimensione del file che verrà restituita da
Windows. Sorgenti in Delphi |
|
|
Morphine: famoso crypter di eseguibili. Doppia versione del sorgente: C e Delphi anche se fondamentalmente in entrambi i casi l'implementazione delle funzioni è totalmente in assembler |
|
|
Hacker Defender: il famoso rootkit; sorgenti del programma principale in Delphi, alcune funzioni implementate in assembler, driver in C |
|
|
TCP Port Redirector: redirector di porte TCP; in assembler (MASM) |
|
|
KHS: ottimo esempio di come trovare ed anche eliminare
servizi di Windows tenuti nascosti tramite api hooking. Il
programma scansiona il ramo di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services una
prima volta senza utilizzare le api di Windows e poi una seconda
volta usando le api di Windows; esegue quindi un confronto tra i
2 risultati ottenuti. Se qualche programma ha messo degli hook
sulle api di Windows dedicate alla manipolazione del registro,
vi potranno essere degli elementi presenti nella prima e non
nella seconda scansione che corrispondono appunto ai servizi di
Windows che si vuole tenere nascosti. Per la scansione del
registro senza l'utilizzo delle API, il programma utilizza
l'ottima implementazione dell'accesso nativo al registro fornita
da Petter Nordahl-Hagen nel suo celeberrimo
boot floppy che
consente di avviare il pc da floppy (o da CD) e modificare in *
la password dell'utenza administrator delle installazioni di
Windows presenti sul computer. E' la cosidetta "NT Registry Hive
access library" (ntreg.c e ntreg.h) che consente di navigare i
rami del registro nella stessa maniera in cui si navigano da linea
di comando le cartelle del file system.
Sorgenti in C
|
|
|
Open Handles: l'unico esempio in circolazione di applicativo che restituisce gli handles dei vari processi e per ognuno di essi tutte le informazioni che vengono restituite da Process Explorer. Programma principale in Delphi con implementazione di alcune funzioni in Assembler e driver in C. N.B. l'enumerazione degli handles non si blocca mai (chi ha cercato di sviluppare una applicazione simile sa bene di cosa sto parlando, la gestione degli handle e soprattutto prelevare le caratteristiche di ognuno di essi non è una operazione triviale) |
|
|
Open Ports: ottimo esempio di come ottenere le porte TCP ed UDP aperte con associato il processo ed altre informazioni importanti: è un caso particolare del programma Open Handles in quanto le porte TCP ed UDP vengono elencate tra gli handle aperti; in particolare sono handle di tipo File e di nome \Device\Tcp (porte TCP) e \Device\Udp (porte UDP). Programma principale in Delphi con implementazione di alcune funzioni in Assembler e driver in C. |
|
|
Logoner: applicativo che si pone come obiettivo quello di loggare username e password in chiaro ad ogni login in Windows. In realtà contiene molto altro: l'applicativo finale infatti è un esempio dell'utilizzo di un sistema modulare che l'autore ha chiamato AttoCode. Nei sorgenti è interessante analizzare le parti relative all'implementazione di un Loader di moduli dll ed exe che si vuole sostituire al loader di Windows. |
|
|
Invisibility on NT boxes: il famoso articolo sulla
invisibilità di una applicazione sotto Windows
|
|
|
Delphi Driver Development Kit (DDDK): il pacchetto per creare
driver con Delphi DDDK_Delphi_Driver_Development_Kit_0_0_4.7z
|
|
|
Technics of hooking API functions on Windows
|
|
|
Process Master:
elenca i processi in esecuzione restituendo parecchie
informazioni su ognuno; pone particolare enfasi sulla
terminazione dei processi consentendo di definire vari livelli
di "uccisione" di un processo specificato a seconda della
situazione; sorgenti del programma principale in Delphi, driver
in C
|