Cleaner gratuito per Win32/Agent.VP

[eraser]

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese)

Spero possa essere utile

Marco

[nV 25]

Quote:

Originariamente inviato da eraser

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese)

ora (in qualità di utente medio) gli dò 1 occhiata....ma se è sulla stessa linea della preview che mi hai dato, parliamo pure di GRANDE LAVORO...
E' impressionante vedere come ci sia tanta* gente cosi' qualificata in giro anche qui da noi per quanto poi ancora cosi' giovane come te.
Io onestamente sono sbalordito....




*parole grosse...ma cmq mi sembra di vedere che, specie ultimamente, sempre più nomi illustri comicino a bazzicare qui su Hw, se pur con presenze molto sporadiche.....

OH: dico a voi!
Si, non siate timidi a mostrarvi che qui c'è un'ampia comunità che amerebbe crescere leggendo i vostri commenti SU TUTTO!

[gigidan]

Quote:

Originariamente inviato da eraser

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese)

Spero possa essere utile

Marco

Enorme lavoro, complimenti........
da utente Ignorante in materia come posso essere, vorrei fare un piccolo appunto...

é possibile avere la traduzione in italiano (solo parte rimozione) quando c'è tempo?

GRAZIE

[nV 25]

Giudizi:

eraser, sei un capolavoro! (non metto nemmeno l'emoticon di "sorpresa" tanto ormai si sapeva...)

La parte 3, che poi è forse quella che interessa di + l'utente normale visto che spiega i passi relativi alla rimozione, è spiegata con una chiarezza disarmante.....

[eraser]

Quote:

Originariamente inviato da nV 25

Giudizi:

eraser, sei un capolavoro! (non metto nemmeno l'emoticon di "sorpresa" tanto ormai si sapeva...)

per due parole scritte su un foglio di testo?

ci sono persone che sono veramente mostri

[nV 25]

Quote:

Originariamente inviato da eraser

per due parole scritte su un foglio di testo?

ci sono persone che sono veramente mostri

Sul 2° punto non dubito.....(l'autore del thread, ecc...)
Sul 1°, obietto.

Anche perchè vedere un lavoro finito non rende mai giustizia a tutto il lavoro di ricerca che c'è stato a monte.....il pdf è infatti una sintesi di fatiche e madonne, oltre che di tanta passione e studio/prove...

Come utente medio (ma qui siamo migliaia...), non possiamo che sbalordirci e ammirarvi......

[eraser]

Quote:

Originariamente inviato da nV 25

Sul 2° punto non dubito.....(l'autore del thread, ecc...)

ecco, si...intendevo proprio quello si definisce come mostro

[nV 25]

Quote:

Originariamente inviato da eraser

ecco, si...intendevo proprio quello si definisce come mostro

anche fisicamente?



Ao', ma qualche difetto lo avrà anche lui, no?

PS: a te invece puzzano i piedi?

[eraser]

Quote:

Originariamente inviato da gigidan

é possibile avere la traduzione in italiano (solo parte rimozione) quando c'è tempo?
GRAZIE

Sì, assolutamente, appena possibile faccio una traduzione del papiro in italiano

Quote:

Originariamente inviato da nV 25

PS: a te invece puzzano i piedi?

Sono stato lasciato dalla ragazza che amavo, un motivo ci sarà no?

[gigidan]

[quote=eraser]Sì, assolutamente, appena possibile faccio una traduzione del papiro in italiano


Grazie un MILIONE di volte

GGD

[pmonti]

Quote:

Originariamente inviato da eraser

PS: Paolo hai mail

PS2: ho visto che il tuo tool utilizza il driver morpheus ma non c'é bisogno di riavvii, carichi per mezzo dell'API non documentata suppongo? Il quick-and-dirty?

A quale tool ti riferisci?

Morpheus è un driver dinamico e nella sua DriverEntry imposta anche la gestione per la routine di Unload:

-----CODE SNIPPET-------
// Accesso ai dati tramite buffer di sistema
pDevice->Flags |= DO_BUFFERED_IO;

// La seguente operazione viene svolta direttamente dall'IOManager
// quando ci si trova all'interno di DriverEntry, qui viene aggiunta
// solo per chiarezza
pDevice->Flags &= (~DO_DEVICE_INITIALIZING);

pDriverObj->DriverUnload = Unload;

// Quick & dirty. Ottimizzato nella versione "release"
for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
pDriverObj->MajorFunction[i] = StubDispatch;
}

pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;

// Informazione per il debugging => DbgView
DebugPrint("Driver loaded!\n");
return ntStatus;
---------------------------------

Per caricarlo in memoria non c'e' bisogno di usare funzioni non documentate, bastano quelle del service manager.

ciao,
Paolo.

[eraser]

Quote:

Originariamente inviato da pmonti

// Quick & dirty. Ottimizzato nella versione "release"
for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
pDriverObj->MajorFunction[i] = StubDispatch;
}

pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;

Si, appunto il quick&dirty

Pensavo utilizzassi per il quick&dirty l'api SystemLoadAndCallImage (well, il parametro della ZwSetSystemInformation). Giustamente hai usato il SCM. Ero dell'idea che necessitasse di un riavvio a causa del servizio creato e delle chiavi di registro, ma attraverso l'handle puoi tranquillamente farlo partire a mano in effetti.
Altrimenti anche ZwLoadDriver, altro metodo.

[pmonti]

Quote:

Originariamente inviato da eraser

Si, appunto il quick&dirty

Pensavo utilizzassi per il quick&dirty l'api SystemLoadAndCallImage

No, non ce n'e' bisogno. Quelle sono tecniche da rootkit Per caricare il driver da un'applicazione Win32 basta una normale CreateService con parametri come SERVICE_KERNEL_DRIVER e SERVICE_DEMAND_START.

La parte "quick & dirty" che hai visto nel code snippet è solo relativa all'intercettazione delle funzioni che non vengono usate dal driver e che puntano a un semplice stub che ritorna un ntStatus = STATUS_SUCCESS

NTSTATUS StubDispatch(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
DebugPrint("Stub called.\n");

Irp->IoStatus.Status = STATUS_SUCCESS;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}

ciao,
Paolo.

[eraser]

PS: ho aggiornato il post sopra scusa, te l'ho modificato nel mentre che postavi

[pmonti]

Quote:

Originariamente inviato da eraser

PS: ho aggiornato il post sopra scusa, te l'ho modificato nel mentre che postavi

Nessun problema

ciao,
Paolo.

[BilloKenobi]

Quote:

Originariamente inviato da eraser

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese)

Spero possa essere utile

Marco

talmente dettagliato che non ho capito proprio tutto (sarà anche l'inglese)

poi l'ho trovato utile perchè finalmente ho capito come usare Gmer e Avenger...
fino a ora per rimuovere il LO rimandavo alla pagina della suspectfile

[becool]

Quote:

Originariamente inviato da pmonti

Con Mikko si conoscono da un bel pezzo, Luca doveva andare a lavorare da loro come technical editor. Ma alla fine ha preferito rimanere qui in Italia a lavorare con la mia societa': del resto, renne o meno, le risate che si fa qui con me se le puo' anche scordare nel buio gelo del Nord

Oltretutto, preferisco la fluente chioma castana del nostro amato Paolo rispetto all'inquietante codino biondo di Mikko.

b.Cool

[eraser]

Quote:

Originariamente inviato da becool

Oltretutto, preferisco la fluente chioma castana del nostro amato Paolo rispetto all'inquietante codino biondo di Mikko.

b.Cool

dai, il codino di Mikko è paurosamente bello

[lucas84]

Io invece preferisco una bella bionda,con o senza il codino l'importante che sia una "bella bionda"

PS:Senza nulla togliere a mikko e paolo

[nV 25]

Quote:

Originariamente inviato da lucas84

Io invece preferisco una bella bionda,con o senza il codino ...

parli delle sigarette?












PS: lo vedi i crani come spuntano fuori una volta stuzzicati*?

Quote:

Originariamente inviato da nV 25

OH: dico a voi!
Si, non siate timidi a mostrarvi che qui c'è un'ampia comunità che amerebbe crescere leggendo i vostri commenti SU TUTTO!

*in realtà, non ho stuzzicato un bel niente.....