Discussion :

[strayyy]

Bonjour à tous,

Dans le cadre d'un projet de master sécurité info, je dois trouver comment camoufler un processus, un fichier, etc. (si besoin de confirmation que je suis bien en master sécurité, vu qu'on pourrait croire que je suis qu'un pirate cherchant à faire un virus, no pb).

Je me suis d'abord tourné vers l'injection de tout une dll dans un processus, sauf qu'autant ça marchait pour renvoyer un prompt shell, autant quand j'injecte toute une application, ça rame comme il faut (forcément, ça charge une dll de qques Mo), et y'a que le début qui marche.

Du coup, ben je suis en train de chercher à intercepter des messages qui pourraient permettre aux différentes applications d'identifier mon processus (via la liste des processus, ou la liste des connexions, etc). Je suis pas super calé en hooks, donc je peux me tromper quand à la dénomination des messages .

J'ai pas mal cherché (en plus je suis pas mal à la bourre pour mon projet, vu que je pensais que l'injection dll marcherait...), et je bute sur un truc tout simple: d'une, les exemples de hooks d'autre chose que le clavier ou la souris sont rares (ou j'ai mal cherché), et de deux, je ne connais pas les messages à intercepter (j'ai fait un tour sur msdn, mais j'arrive pas à trouver... J'ai cherché dans les WM_*, et je trouve pas).

Bref, si quelqu'un peut m'aiguiller pour mon projet (je demande pas de soluce toute faite, loin de là, juste quelques conseils, ou liens utiles). Je rappelle que c'est pour un projet (le développement d'applications dans ce genre est autorisé à titre pédagogique), et non pas pour diffuser la source massivement sur le net ...


Merci d'avance!

[smyley]

Ceci pourrai t'intéresser : http://www.rohitab.com/discuss/index...howtopic=23880

Sinon pour traiter plus en profondeur, je crois que les Hook sont incontournables ...

[strayyy]

Génial, c'est pile ce que je cherchais!

Du coup, autre(s) question(s):
-Est ce que quelqu'un connait l'équivalent pour cacher une connexion sortante (j'imagine que les firewalls doivent utiliser une API win32 pour détecter les connexions sortantes...)? Au pire, je vais essayer de trouver un code source de firewall, mais bon...
-Après avoir un peu modifié ma dll, j'ai constaté que le processus ciblé ne ramait plus trop trop (ça devait venir du code), et je repose la question: est-ce que le fait d'injecter une dll plus ou moins grosse a une incidence sur son fonctionnement? C'est important pour moi, parce que si oui, j'abandonne cette idée, et si non, je cherche où ça plante (et je peux pas trop me permettre de paumer trop de temps ).

En tout cas, merci énormément, smyley!

[smyley]

-Est ce que quelqu'un connait l'équivalent pour cacher une connexion sortante (j'imagine que les firewalls doivent utiliser une API win32 pour détecter les connexions sortantes...)?

Aucune idée. Autant je sais comment récupérer les Process, je ne sais même pas comment énumérer les connexions ouvertes ...

-Après avoir un peu modifié ma dll, j'ai constaté que le processus ciblé ne ramait plus trop trop (ça devait venir du code), et je repose la question: est-ce que le fait d'injecter une dll plus ou moins grosse a une incidence sur son fonctionnement?

D'après ce que j'en sais, ça dépend seulement de quelles fonctions tu hook et de ce que tu y fais à l'intérieur. A la limite pour masquer ton process tu n'as pas besoin de cacher absolument toutes les fonctions et de fait, c'est pas tout les process qui énumèrent les autres process présents ou la liste des connexions ouvertes donc au pire, tu injectes une dll qui ne fait rien ...

[strayyy]

Justement, ce que je faisais, ce n'était pas effectuer un hook via une dll, ce que je faisais, c'était créer une appli réseau en dll, et faire exécuter le code par un processus ciblé distant (les antivirus ne le remarquent pas, idem pour les firewalls). Mais vu que ça marche pas bien pour ma nouvelle appli (alors que pour mon ancienne, qui ne faisait que renvoyer un prompt shell tout bête, ça marchait nickel), je me demande s'il faut que je continue dans ce sens ou non...

[smyley]

Wow tu es motivé ... mais sur ce point je ne peux pas vraiment t'aider ...