Iop all!

Dans le cadre d'un projet, je dois développer une backdoor sous windows (le lançant automatiquement via une clé usb U3, mais ça, c'est une autre histoire).

En gros, j'ai développé une appli client/serveur (le client est la backdoor, et va chopper l'ip du serveur sur un site distant), qui marche impec', en C/C++ (le code est assez vite fait, mais tout marche).

Bref, pour dissimuler mon client, je comptais en faire une dll, et l'injecter dans certains processus (ça marchait pour un prompt shell tout bête)... Sauf qu'une fois la bête codée, lorsque je l'injecte, je me retrouve avec des processus qui rament comme pas possible, et avec juste le début qui marche (connexion au serveur web et récupération de l'IP du serveur...). Avec WireShark j'ai un peu analysé, et j'ai qu'une connexion sortante au serveur web, plus une réponse, mais pas de RST de la connexion (bizarre), et en fait, plus rien du tout.

Ma question est simple: est-ce que ça vient du fait d'injecter toute mon appli dans un autre processus qui fait cela, ou est-ce que c'est anormal (et ça viendrait donc de mon appli, ce qui me rassurerait pas mal)?

Et, autre question, dans le cas où ça viendrait du fait d'injecter une dll conséquente (donc s'il faut que j'abandonne mon idée), je me suis mis à chercher comment camoufler autrement mon appli, et j'ai pensé aux hooks systèmes (genre injecter une dll à tous les processus, qui interceptera les listes de processus actifs, ou de connexions sortantes), sauf qu'ici, je me heurte à deux murs:
-quel hook utiliser (je crois que c'est getmessages)?
-comment ça marche, en fait?

Et, autre question: si je balance un hook sur un antivirus, y'a pas de chances pour qu'il intercepte lui-même mon hook sur lui-même, et qu'il lance une alerte?

Voila, bonne soirée, et merci d'avance à ceux qui auront le courage et le temps de se plonger dans mes p'tites questions existencielles .

A quel processus tu as tenté de te greffer?
Quel est ton antivirus? (sachant que dans la plupart des cas la méthode euristique va detecter ta tentative).

Il y a des cours où on demande de faire ce genre de projets?! Cool! Et je pense aussi que le problème peut venir de l'AV ; si seule la première action s'effectue convenablement et que le reste est bloqué, il ya fort à parier que c'est cette action qui fait merder le reste. Que cela vienne de l'analyse heuristique ou de ton code.

si c'est bien cela, il pourrait tenter de désactiver son AV pour tester.
y'a-t-il moyen d'échapper à l'analyse heuristique ?

Avec un backdoor polymorphe. Enfin je crois.

Ça dépend... s'il est sous Vista quand il va vouloir double cliquer quelque part, on va lui demander une confirmation tellement c'est suspect =p

La base pour tester ce genre de backdoor c'est de virer AV, firewall, Windows Defender sous Vista ; une fois qu'on est sûr qu'elle fonctionne correctement on essaie de réactiver petit à petit firewall et AV, et prendre les problèmes les uns après les autres.

si je ne me trompe pas, le principe de l'analyse heuristique, c'est de détecter un comportement et non une signature, donc la polymorphie ne marche pas...

Houla, j'avais pas vu toutes ces réponses .


Bon, donc mon AV, c'est AVG, et je tourne sour XP sp3 (vista ne permet pas l'injection de dll). Sauf qu'AVG ne détecte absolument pas l'injection de dll dans un processus (firefox.exe, iexplore.exe, etc. dans mon cas). Il détectera des injections de drivers malicieux (j'en utilise un, et suffit que j'ouvre son dossier pour qu'il tilte), mais pas l'injection d'une dll dans un processus.

(trouvé ici, le driver+injecteur http://www.rohitab.com/discuss/index.ph ... opic=23880 )

Certains anti-rootkits semblent effectivement détecter cela, en analysant les dll chargées en mémoire, et les processus qu'elles concernent, mais ça ne semble pas être le cas d'AVG (par exemple, si j'injecte un prompt DOS tout bête, avec redirection sur une socket, ça marche nickel).

Du coup j'ai jeté un œil à ce que je pourrais trouver comme alternative valable, mais mis à part faire des hooks (ou tout du moins des redirections) sur la table SSDT, j'ai pas trouvé grand chose pour bypasser des firewalls. Et vu que ça m'a l'air assez fastidieux (et que je passe ma soutenance de projet Mardi...), j'vais plutôt essayer de capter où ça coince dans l'exécution de code de la dll, mais ça m'a l'air d'être un beau casse-tête... 'Pis ça me fout un peu les boules, vu que mon appli à la base marche nickel...

Sinon, corrigez-moi si je me trompe:
Le principe du firewall lambda, c'est bien de charger un firewall-hook-driver (cf. http://msdn.microsoft.com/en-us/library/ms802732.aspx ), ou équivalent, et de regarder si les processus correspondent bien aux règles de filtrage? Parce que si c'est le cas, à priori (sauf hook sur SSDT, je crois), tous les processus seront concernés, et ça devient d'autant plus ardu de les bypasser...

ps: à ceux qui se demandent quelles études faut faire pour faire ce genre de projets, ben en fait, suffit d'être en informatique et d'avoir un maître de projet qui accepte le projet...




EDIT: le projet porte sur une infection via clé U3/Intuix... J'viens de mettre ça en place, c'est super efficace/discret. Renseignements ici: http://www.tt-hardware.com/modules.php? ... &sid=11805


EDIT²: je crois que j'ai besoin de prendre des cours sur la gestion de windows .

Je suis tombé sur ces quelques liens:
http://nibbles.tuxfamily.org/?p=186
http://www.ivanlef0u.tuxfamily.org/?p=63
http://nooz.alwaysdata.net/pastes/view/9b1f1efbbc

Est-ce que quelqu'un connaîtrait d'autres liens complémentaires sur les hooks SSDT et sur la programmation de drivers windows (NTDDK si j'ai bien compris), de préférence en français, à défaut en anglais, histoire de voir ce qui change comparé à la programmation "traditionnelle"