• img01
  • img02
  • img03
  • img04
  • img05
jeudi 27 février 2014
01:54 | Posted by

Rootkit

1.- INTRODUCTION:
 Il a été pensé dans le but de mieux comprendre le principe des Rootkits pour mieux les utiliser, aussi bien comme moyen de demeurer incognito que de moyen de protection...
Important: ma démarche n'est pas de permettre une utilisation malveillante de ce qui est expliqué ici ou de l'inciter. Mais comme dit le dicton: "mieux vaut prévenir que guérir", connaître et comprendre est le meilleur moyen de se protéger et d'agir.
Tout d'abord qu'est-ce qu'un Rootkit?
Un Rootkit est un programme au départ conçu pour permettre l'accès à un système le plus longtemps possible sans éveiller les soupçons d'un administrateur. Il peut pour cela utiliser différents "exploits" (essentiellement sous Unix/Linux). Mais il peut également servir comme moyen de défense, comme je vais le montrer plus bas.
Quel est le principe?
Conrairement à un programme classique, même furtif comme un troyen par exemple, le Rootkit se loge au coeur du système d'exploitation. Il agit comme un filtre qui intercepte une fonction (dénomination anglaise: "hook") avant qu'elle ne soit envoyée au programme qui lui est destiné. Sa position lui permet en fait d'intercepter les appels systèmes que les autres programmes utilisent, comme par exemple accéder aux fichiers du disque dur. En résumé: le Rootkit se positionne comme interface entre le système d'exploitation et les autres programmes, décidant de ce qu'ils peuvent voir ou faire.
Si par exemple une application tente de lister le contenu des répertoires contenant les fichiers du Rootkit, celui-ci sera en mesure de « censurer » la réponse en ne renvoyant pas au programme la liste de tous les fichiers. Le Rootkit peut agir de même avec la base de registre et la liste des processus actifs.
C'est exactement les fonctions proposées par le Rootkit d'Aphex (AFX), que nous allons détailler dans ce tutoriel pour comprendre le fonctionnement d'un Rootkit.
Son option supplémentaire par rapport à d'autres Rootkit windows, cacher une activité TCP/IP sous netstat, le conduit à être un bon compagnon pour cacher l'activité d'un utilisateur se connectant au PC d'une victime. Certains Rootkit
windows sont conçus dans un but un peu différent, comme permettre une activité ftp cachée (service ftp pirate) sur des serveurs windows. C'est le cas de "Hacker Defender", particulièrement conçu pour cela.
En tous les cas, un Rootkit bien programmé est quasiment indétectable car parfaitement transparent pour l'utilisateur d'un système d'exploitation.
Pour suivre et expérimenter ce tutoriel vous pouvez télécharger le Rootkit à cette adresse: http://iamaphex.cjb.net/
2.- PARAMETRAGE DU ROOTKIT AFX:
Le "AFX Windows Rootkit 2003" a été pensé pour se paramétrer comme un jeu d'enfant. Il se présente sous la forme de quatre fenêtres à configurer. Une fois cela fait, l'utilisateur peut générer un programme (option "generate") qui n'a plus qu'à être exécuté et qui correspondra à ses réglages. Avant de poursuivre, je dois préciser que certaines de mes observations (essentiellement concernant les processus) sont valables uniquement pour un OS NT comme Windows XP ou Windows 2000.
Détaillons les fonctions des quatre fenêtres:
- Dans la fenêtre "Processes" seront insérés les noms des processus que l'on souhaite cacher sur le PC où le Rootkit sera activé (ne pas oublier les .exe). Cela correspond à cacher sur un PC l'utilisation de programmes actifs qui peuvent être révélés en faisant "ctrl+alt+del" (ou "ctrl+alt+sup" selon les claviers).
- Dans la fenêtre "Files" seront insérés les noms des fichiers que son utilisateur souhaite cacher sur le PC où le Rootkit sera activé. Par exemple l'exécutable du Rootkit avec ses dlls. Pour les connaître voir désinstallation...
- Dans la fenêtre "Registry" seront insérés les noms des clés de registre que son utilisateur souhaite cacher sur le PC où le Rootkit sera activé. Par exemple la clé de registre du Rootkit. Pour la connaître voir désinstallation...
- La dernière fenêtre, appelée "Connections", propose un "hook" de la commande netstat. Pour résumer ses possibilités, le Rootkit peut cacher sur le PC une activité réseau révélée avec la commande netstat. Le paramétrage de cette fonction suit le protocole suivant: "*TCP*:[port de connexion à cacher sous netstat]*:*"
Voilà, une fois les réglages faits il ne reste plus qu'à générer l'exécutable avec la fonction "Generate".
3.- COMPLEMENTS CONCERNANT LE FONCTIONNEMENT DU ROOTKIT AFX:
1. Le Rootkit, une fois exécuté, va se copier dans le répertoire Windows/system (ou system32) ainsi que deux dlls: "iexplore.dll" et "explorer.dll". Le fichier qui s'est copié a pour but de recopier ou lancer les deux dlls à chaque démarrage. En fait ce sont les deux dlls qui sont la partie active du Rootkit.

2. Concernant la fonction "Connections", il est à préciser que seul netstat sera hooké, donc un autre programme peut toujours révéler une connexion TCP/IP hookée sous netstat (pour autant que le programme n'utilise pas les fonction de netstat ;-)

3. Les fichiers cachés par le Rootkit sont parfaitement indétectables. Par exemple un antivirus ne sera pas capable, en faisant un scan du disque dur, de détecter les fichiers cachés. Il sera par contre capable, s'il tourne en monitoring, de détecter le lancement des deux dll du rootkit au démarrage si elles ne sont pas rendues indétectables.

4. Concernant un utilisateur de Firewall, en prenant l'exemple d'un troyen, qu'il soit caché par le Rootkit ne veut pas dire qu'un Firewall ne va pas avertir de la connection réseau de ce programme. L'utilisateur en sera averti (si le Firewall est bien paramétré bien sûr). A ce moment existe une faiblesse du Rootkit: un Firewall bien conçu va avertir de la connexion du troyen et pourra préciser le vrai nom du troyen ainsi que le répertoire où il se trouve... Si la connexion est acceptée, le troyen "redevient" transparent: le Firewall n'y voit que du feu et n'arrive pas à montrer le vrai processus actif du troyen (seulement un processus "svchost"). Bref, une fois la connexion acceptée, le troyen est transparent.

5. Enfin, un Rootkit peut parfaitement être détourné de sa fonction première pour être utilisé comme moyen de protection - ou à titre préventif. Il peut par exemple cacher un antivirus ou un Firewall pour empêcher d'être Killés par un...killer AV/FW. Cela fonctionne très bien (testé par l'auteur, comme les précédentes remarques), par exemple avec ZoneAlarmPro. A noter qu'un Killer AV bien programmé peut tout de même désinstaller un Antivirus comme Kaspersky malgré le Rootkit. En effet, concernant Kaspersky ce n'est pas seulement le processus qui doit être protégé mais le service (sous NT/2k/XP). Si le killer est prévu pour désactiver le service Kaspersky, le Rootkit ne peut rien faire. Cela concerne toutefois essentiellement Kaspersky, certainement un des plus coriace à killer proprement (hum).
Une autre utilisation préventive peut être simplement de cacher des programmes (passifs mais aussi actifs!) que l'on ne souhaite pas révéler à une personne réussissant à pénétrer son système...
Le Rootkit Aphex travaille en effet de manière totalement transparente pour l'utilisateur et bien fiable (sans bugs testé sur mon Windows XP).
4.- DESINSTALLATION DU ROOTKIT AFX:
Deux possiblités en fonction du "comment" il a été configuré:

1. Si le rootkit a été programmé pour rendre indétectable son inscription dans la base de registre ainsi que ses dlls et son exécutable, seule solution: démarrer avec une disquette MS-DOS pour le désinstaller (une autre possibilité plus pratique, pour les utilisateurs de multiboot, est de le désinstaller depuis un autre OS qui n'est pas affecté par le rootkit).

2. Si le Rootkit n'a pas été programmé pour être lui-même transparent vous pouvez le désinstaller depuis Windows (pour une désinstallation avec MS-DOS effacez les mêmes fichiers décrits ci-après puis relancez Windows pour désinstaller la clé dans la base de registre):
- Effacez le fichier exécutable généré qui s'est recopié dans le dossier system (Windows/system32 sous Windows XP/2k/NT). Il porte le même nom que l'exécutable lancé la première fois.
- Enlevez la clé du registre qui lance cet exécutable en procédant comme suit:
Exécuter regedit, aller dans "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" et supprimer la clé lançant le nom de l'.exe.
- Les 2 dll "explorer.dll" et "iexplore.dll" sont placées dans le même répertoire système que l'exécutable mais ne peuvent être directement supprimée. Pour le faire de manière sûre, coupez-les (bouton droit, couper) et déplacez-les dans un autre répertoire. Puis redémarrez et supprimez-les définitivement.
5.- MISE A JOUR: EXEMPLE D'UTILISATION DETOURNEE D'UN ROOTKIT
Pour ceux intéressés à expérimenter (je suis sûr qu'il y en a) l'utilisation d'un rootkit détourné de sa fonction première, voici un package comprenant un killer de 5 processus (regedit, msconfig, iexplore, zapro, zonealarm (pour ceux qu'ils l'ont)) et un rootkit protégeant du killer. Toutes les explications sont dans le package.
Télecharger le Package ici

        Note: je garantis ces programmes comme ne contenant pas de backdoor, vers, virus.

Read More
00:52 | Posted by

Hacker un Cybercafe


Enlever la restriction de temps dans un Cyber Café
Lorsque vous êtes sur un PC Windows sur lequel vous ne pouvez rien faire, vous pouvez au moins créer un fichier texte… Créez donc ce fichier puis écrivez dedans
cmd  
et enregistrez le en lui donnant l’extension .bat pour le rendre exécutable. Double cliquez dessus et hop, vous voilà avec une invite de commande MS Dos. Faites ensuite
cd c:windows  
pour vous rendre dans le dossier de Windows puis tapez
regedit  
L’éditeur de base de registre devrait alors se lancer. Naviguez ensuite jusqu’à la clé
HKEY_CURRENT_USER>Appevents>software>classes> microsoft>windows>current version>
internet settings>policies>system  
Localisez la clé qui s’appelle « DisableTaskmanager » et mettez sa valeur à 0

Vous venez de réactiver la possibilité d’accéder au gestionnaire de tâches. Faites alors un CTRL ALT DEL pour lancer ce gestionnaire de tâches puis localisez ensuite dans la liste des processus le soft qui est utilisé par le PC du cybercafé pour comptabiliser le temps (cyberlux ?).

Read More

Controler un PC

00:37 | Posted by

Controler un PC

  1. Configurez le poste Serveur :
Sur le PC à contrôler, installez la version de VNC pour Windows. Contrairement à ce que l'on pourrait croire, vous devez installer la version Serveur sur l'ordinateur cible.
Exécutez alors l'application WinVNC. Pour cela, cliquez sur le bouton Démarrer, sur Programmes, sur VNC puis sur Run Win VNC (App Mode). Vous interviendrez donc à distance en tant que client.
La fenêtre de propriétés s'ouvre alors, vous demandant de définir un mot de passe. Tapez-le dans le champ prévu à cet effet (Password).

Choisissez un numéro d'utilisateur et un mot de passe

Pour spécifier plusieurs utilisateurs, décochez la case Auto de la section Incoming Connections et assignez un nouveau numéro ainsi qu'un mot de passe pour chaque utilisateur. Par exemple 0 pour le premier, 1 pour le second, etc. Cliquez alors sur OK. Vous n'avez pas besoin de modifier les autres options.

Une icône s'ajoute dans la barre des tâches, à côté de l'horloge, signifiant le fonctionnement du logiciel. Un clic dessus avec le bouton droit vous permet de contrôler le comportement du serveur.

Le contrôle s'effectuant à distance, il faut absolument que le serveur soit fonctionnel de manière continue. Pour que WinVNC soit lancé à chaque démarrage de votre ordinateur, il faut l'utiliser comme Service et non comme Application (bien qu'il soit possible également de l'exécuter à chaque démarrage en rajoutant un raccourci dans le menuDémarrer/Programmes/Démarrage).
Pour l'installer comme Service, cliquez sur le bouton Démarrer, sur Programmes, sur VNC, sur Administrative Tools puis sur Install WinVNC Service. Le serveur sera alors lancé automatiquement à chaque démarrage de votre ordinateur.
2.    Configurez le poste Client :
Sur le PC à partir duquel vous voulez contrôler le poste Serveur, installez WinVNC normalement ou utilisez le client VNCViewer présent dans l'archive du programme. Dans le premier cas exécutez alors le client VNCViewer en cliquant sur le menu Démarrer, sur Programmes, sur VNC puis sur RunVNCViewer.
Dans la fenêtre qui s'ouvre, intitulée Connection Details, cliquez sur le bouton Options. Dans la partie Display, vous pouvez définir les paramètres d'affichage.
Pour assister en tant que spectateur et ne pas interférer avec le clavier et la souris, cochez la case View Only. Ceci est très pratique pour une session d'apprentissage à distance.

Le travaille en plein écran est conseiller pour plus de confort

Si la résolution du poste distant est la même que votre ordinateur, vous pouvez travailler en mode plein écran. Pour cela, cochez la case Full-screen mode. Pour émuler un troisième bouton, cochez la case Emulate 3 Buttons de la rubriqueMouse. Il vous suffira alors de cliquer simultanément sur les deux boutons de la souris. Cliquez alors sur le bouton OKpour revenir aux détails de connexion.


3.    Comment prendre le contrôle :
Pour accéder à l'ordinateur distant, il faut que le Client et le Serveur soient tous les deux connectés à Internet ou en réseau local.
Une fois les deux PC connectés, il vous faut connaître l'adresse IP de la machine à piloter. L'adresse IP caractérise en effet chaque machine sur un réseau local ou sur Internet. Dans ce dernier cas, cette adresse change à chaque nouvelle connexion si vous ne disposez pas d'une liaison permanente. Pour trouver l'adresse IP du serveur, placez-vous sur celui-ci puis tapez dans la fenêtre Exécuter du menu Démarrer « cmd » une boite de dialogue viens de s’ouvrir, tapez « Ipconfig » ensuite l'adresse IP se présente sous la forme d'une suite de chiffres, par exemple 217.11.167.176.

Une fois en possession de ce précieux renseignement, rendez-vous sur la machine Client puis dans la fenêtre Connection Details de VNCViewer, tapez cette adresse dans le champ VNCServer.

Indiquez l'adresse IP du PC à contrôler

Si vous vous connectez en tant qu'unique utilisateur ou utilisateur principal (avec le numéro 0 sur le serveur), vous pouvez alors cliquer sur le bouton OK. Si vous êtes l'utilisateur numéro n, il faut rajouter :n à la fin de la commande. Pour l'utilisateur numéro 2, tapez par exemple 217.11.167.176 :2 puis validez par OK.

Dans la fenêtre d'authentification qui s'ouvre, tapez votre mot de passe puis cliquez sur le bouton OK. Le contenu de l'écran de l'ordinateur distant apparaît alors. Vous voyez sur votre écran ce qu'il y a sur celui du Serveur. Vous pouvez alors travailler comme si vous étiez devant l'ordinateur distant.

Votre mot de passe garantit une connexion sécurisée

Pour utiliser des commandes spéciales telles que Ctrl+Alt+Del, cliquez sur l'application réduite dans la barre des tâches avec le bouton droit de la souris. Dans le menu contextuel qui apparaît, vous pouvez choisir la commande à exécuter. Vous pouvez également, de cette façon, basculer l'affichage en plein écran en cliquant sur FullScreen. Pour terminer la connexion, fermez simplement le Client.
4.    Optimisez la connexion :
Bien que le système distant s'affiche parfaitement sur l'écran du Client, le taux de rafraîchissement des données reçues est perfectible. On observe en effet souvent un léger décalage entre une action demandée et son application réelle.

Pour optimiser la connexion, allez dans les propriétés du Serveur par un clic droit sur son icône dans la barre des tâches. Décochez alors la case Poll full Screen puis cochez la case Poll Foreground puis la case Poll on Event Received Only.
Les rafraîchissements seront alors optimisés avec les mouvements du clavier et de la souris.

Du côté du Client, il y a quelques moyens pour optimiser la connexion. Dans les options de connexion (Connection Options) , cochez la case Restrict pixels to 8-bits de la section Display.
Les données seront alors affichées en 256 couleurs, ce qui nécessite beaucoup moins de bande passante.


Read More
mercredi 26 février 2014

Crypter et decrypter un code java ou HTML

02:35 | Posted by

Crypter et decrypter


Place le code source ici (Script) et click sur crypter


   

Colle le code source (Script) ici et click sur Decrypter


Ceci peut être utilisé avec le Decryptage (); fonction en JavaScript.
Cet outil en ligne servira à décoder et coder

Les gens utilisent souvent le Cryptage pour le piratage et insérer des liens.
Cet outil est bon pour décoder ces hacks et codes iFrame.

Contact Admin Team23 - Blog Forums

Read More
jeudi 6 février 2014

Comment Hacker un compte Facebook 2014

22:11 | Posted by

                                             Comment Hacker un compte Facebook 2014





TAGS: piratage mot de passe Facebook, craquage FACEBOOK, piratage FACEBOOK La vraie solution, FACEBOOK HACKER, FACEBOOK HACKER GRATUITEMENT, FACEBOOK PIRATAGE Télécharger des logiciels gratuits, comment pirater facebook ..

                                                                      Bonjour les gens

 Si vous êtes sur un vengeance, si vous voulez vérifier si votre conjoint / femme / homme / mari vous trompe et vous avez voulu Hacker Leur compte Facebook en essayant de nombreux outils, mais ils n'ont pas marché

 Alors voici une bonne Nouvelles Pour Vous Ce l'endroit d'où vous pouvez réellement pirater un compte facebook avec une aide de l'outil simple Il est entièrement automatisé il vous suffit de saisir l'Email de victime Id et se reposer tout est pilote automatique

 Tout est expliqué et dans l'image vous le remarquer Remarque Temps pour Cracker ID Facebook
Sera d'environ une demi-heure

  Remarque Laissez un commentaire ici quelqu'un veut la sécurité de son compte mais

Telecharge les outils Ici

                                                            francistar Astuce

Read More

Club Informatique : Trucs et Astuce

ABONNEZ-VOUS AUX MISES À JOUR

Obtenez des Tutoriels Pro directement
dans votre boîte de réception


Translate

Popular Posts

Contact

Fourni par Blogger.

Visiteurs

FrancistarAstuce © 2013 Designed by Premium Blog Templates Supported by Best Blogger Templates