Задача NtDeviceIoControl (для ресечера)

Тема в разделе "WASM.COMMERCE", создана пользователем focussoft, 10 сен 2021.

  1. focussoft

    focussoft New Member

    Публикаций:
    0
    Регистрация:
    3 апр 2018
    Сообщения:
    14
    Добрый день!

    Требуется описать все необходимые структуры при вызове функции NtDeviceIoControlFile приложением "netstat.exe -abn" с целью скрытия какого либо соединения в выдаче на экран, в зависимости от имени процесса и/или адреса.

    Смотрите скриншоты.

    Задача выполняется в два этапа.

    1. ребота ресечера. создать дефиниции на языке C всех структур которые исполнуются при вызове функци NtDeviceIoControlFile. приложением netstat.exe -abn. Для ОС win7 x86 и win10x64. Нобходимо "добраться" до имени процесса, ip адреса, порта для каждого соединения. Описать структуры с коментариями что бы этап номер два можно было выполнить успешно.

    2. сделать инжект дллки запустив процесс (netstat.exe /abn) (suspended, writeprocessmemory...). dll будет перехватывать эту функцию и скрывать соединение в зависимости от имени процесса или Ip адреса и/или порта.

    Пункт 2 делаю я. Пунк 1 нужна помощь.
    По деньгам: предоплата 100%. полная опалата. гаранитрованные сделки. и тп. прошу написать в личном сообщении.

    Спасибо за внимание.
    --- Сообщение объединено, 10 сен 2021 ---
    Очень актуально. Стоимость Ваша. Готов оплатить 100% вперед (достаточно лишь показать скриншот или что нибудь если понятно что пунт 1 будет сделан 100%).. Буду онлайн в понедельник.
     

    Вложения:

    • 1.png
      1.png
      Размер файла:
      204,3 КБ
      Просмотров:
      175
    • 2.png
      2.png
      Размер файла:
      263,3 КБ
      Просмотров:
      161
    • 3.png
      3.png
      Размер файла:
      1,2 МБ
      Просмотров:
      155
  2. HESH

    HESH Active Member

    Публикаций:
    2
    Регистрация:
    20 мар 2008
    Сообщения:
    143
    Позволю себе полюбопытствовать, от кого же всё-таки прятаться таким образом собрались ? От сисадмина-неудачника ? Не лучше ли будет при наличии лишней валюты заказать нормального руткита или сразу купить готового, который хотябы не будет светиться в user-mode ?
     
  3. Vicshann

    Vicshann Member

    Публикаций:
    0
    Регистрация:
    22 сен 2020
    Сообщения:
    32
    ЛС включить видмо забыл:)
    Но мне все равно любопытно.
    Хотя мне наверно все что связано с инжектами DLL и перехватами API любопытно:)
    Структуры NSI драйвера довольно часто меняли уже, не очень надежная штука получится.
     
    focussoft нравится это.
  4. focussoft

    focussoft New Member

    Публикаций:
    0
    Регистрация:
    3 апр 2018
    Сообщения:
    14
    никакого секрета нет. задачка белая. работаю для одной утилиты которая должна прятатся от вирусов и тп. поэтому надо лезть в юзермод и прятать там все от них. включая сетевые соединния.
    --- Сообщение объединено, 13 сен 2021 ---
    да. получается что мне приедется хукнуть createprocess (suspended) для netstat и подсунуть ему длл (writeprocessmemory resumethread), затем dll перехватит эту функцию, и спрячет необходимое соединение в выдаече netstat. пока такое решение. главное что бы с этапом 1 мне помогли.
    --- Сообщение объединено, 13 сен 2021 ---
    Парни, очень актуально. нужна помощь с этапом 1. оплата вперед 100%. жду сообщений.
    --- Сообщение объединено, 13 сен 2021 ---
    Прошу прощения, в настройках профиля было выставлено не правильно. прошу повторить личные сообщения.
    --- Сообщение объединено, 13 сен 2021 ---
    Исполнитель найден. Начали работать.