2 replies to this topic

[Txon]

« News » de présentation du sujet -> HideToolz]

HideToolz
Un "escamoteur" des processus de Microsoft® Windows Vista®, Windows XP® Professional ou Home Edition en sa présente version 2.2

/!\ ... Certains antivirus mal informés peuvent considérer que HideToolz (HTz) est un virus, un rootkit malintentionné ou tout autre type de maliciel dangereux ... /!\

Il n'en est rien! Obligez les défenses de votre PC à l'accepter !

Avec un pare-feu comme Comodo FP, il faudra accepter [Allow this request]] chaque action de HTz à moins de passer en mode [ Installer or Updater ]

Description

HideToolz specially designed to hide "some instruments" from "some software". Against specialized tools it is completely useless. For me, I use HT against some software protectors which detects several debuggers as threat.

HideToolz (HTz) de Ms-Rem puis de Fyyre n'est pas un « rootkit » au sens propre bien qu'il en ait certaines fonctions. Il n'essaie pas de se cacher ou à cacher les fenêtres des logiciels qui fonctionnent dans le PC. Il cache les processus choisis par l'utilisateur aux outils qui veulent les lister, à commencer par le gestionnaire de tâches de Windows. Seuls les logiciels capables d'une recherche à partir du noyau ("ring0") détectent encore ce qui a été camouflé.
Même si une partie de son fonctionnement fait penser à celui du « rootkit » FU, de FUTo et de quelques autres, HTz est bel et bien un « escamoteur » ou un « camoufleur », un outil destiné à préserver la confidentialité pour les usagers désireux d'utiliser des logiciels « sensibles ». Ce n'est pas un « trojan ». Il n'inclue en effet aucune routine d'accès à internet ou à tout autre type de réseau.

…\…

[Txon]

... / ...

Principales caractéristiques

HideToolz is intended for hiding crackers tools from different protection trying define their presence.

• 1) Hiding processes from all possible ring3 methods of the finding.
• 2) Hiding windows from enumeration and searching for on the known name.
• 3) Protection processes from opening on the known pid (as well as from indirect methods of the opening).
• 4) Parental process emulation (for all visible processes runned from hidden, will be emulated parental process explorer.exe)
• 5) Protection from rebooting windows (and log all rebooting attempts).
• 6) Protection from formatting the disk (and log all formatting attempts).
• Attention: access of the hidden processes unrestricted, and they can see the real system state.
• For impossibility of the finding HideToolz file on disk, is recommended rename file and pack its any packer.

En plus de ses fonctions de camouflage, vous noterez ses facultés de protection contre le redémarrage de Windows et contre le formatage du disque avec liste des tentatives de ce faire.
HTz consomme à peine plus de 3Mo de mémoire.

Installation
Le répertoire dans lequel HTz est décompressé contient (presque) tous les éléments nécessaires à son fonctionnement.

HTz ne nécessite pas d'installation mais génère un driver sous un nom aléatoire (ex. E59D34.sys, 8E307DC272CB6.sys ...), très ancré dans la SSDT.
Ce driver provisoirement installé dans le répertoire [%WinDir%\temp] n'a pas de clé spécifique de lancement automatique dans la Registre. Il ne sera donc pas chargé à nouveau dans le Registre au démarrage suivant du système. Vous devrez donc relancer HTz à chaque « boot » si vous en avez besoin.


Fonctionnement
HideToolz établit une liste des processus actifs. Il suffit d'effectuer un « click droit » sur l'un d'eux pour que s'ouvre une petite fenêtre qui propose deux actions [Kill] pour interrompre le fonctionnement d'un processus ou [Hide] pour le cacher. Ensuite, l'option [Show] permet de le rendre à nouveau visible.

...

Dans l'exemple ci-dessus, le processus « photofiltre.exe » a été caché. Il n'est effectivement plus visible par le gestionnaire de tâche de Windows (qui fonctionne en 'ring3'). Les ARKs comme IceSword et RkUnhooker par contre les voient toujours et les signalent comme tels en rouge ou "Hiden from Windows API".

Ceci n'empêche nullement Photofiltre de fonctionner tout à fait normalement.

HTz se cache lui-même par défaut pour se protéger contre certains types de logiciels comme Securom. Non seulement il crochète la table SSDT mais aussi certaines fonctions dans la table Shadow pour être indétectable par les méthodes classiques.

…\…

[Txon]

... / ...

HideToolz vu par RkUnhooker (version 2.0)

...

...

HideToolz vu par IceSword (version 2.2)

Processus HTz et processus caché ...
«Driver» HTz dans le noyau (kernel) ...
Crochetages (hooks) de la SSDT ... ...

Usagers de Windows Vista ... Attention !

If you are running Vista SP1+ you need to apply the vista shutdown fix\shutdown_fix_vista_only.reg to the registry and reboot BEFORE running HideToolz. This patch disables kernel paging of device drivers, and fixes the problem with BSOD at shutdown. You may apply this patch simply by double clicking the file and clicking "Yes" - this will set:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
DisablePagingExecutive from its default of 0 to 1.

HideToolz n'a pas de site officiel. Vous pouvez le télécharger (version 2.2) ci-dessous.
En cas de problème, ou si vous avez des questions, vous pouvez, à votre convenance, vous exprimer -> ICI <- en français ou par mail en anglais ou en russe à Fyyre ... fyyre@nightmail.ru

@+

Fichier(s) joint(s)

•  HideToolz_2.2_2009_1_17_22.8_HideToolz.zip   211,01 Ko   477 Nombre de téléchargements