PDA

Просмотр полной версии : svchost?

ascas
01.05.2006, 19:58
Где то я читал (кажется на васм.ру) что у одного из системных процессов есть доступ в инет не перекрываемый файерволом, мне кажется что ето был svchost. так вот 2 вопроса:
1) он или не он?
2) если он, то достаточно ли просто спрятать начтоящий процесс, а сверху открыть мой с тем же именем чтобы обойти файервол? Или надо внедрить код в сам процесс?
SanyaX
01.05.2006, 20:02
Что то не понял твой вопрос.
1$@sS
01.05.2006, 20:12
насчет первого пункта ты прав.
а отключить этот процесс нельзя ) вроде если я не ошибаюсь
ascas
01.05.2006, 21:15
насчет первого пункта ты прав.
а отключить этот процесс нельзя ) вроде если я не ошибаюсь

Так я его и не выключаю, просто прячу его в task manager, а на его место включаю свой процесс с тем же названием. В свой процесс я всроил проксик, все как бы и работает, но половина страниц вообще не открывает, а в другой половине открывает не полностью.
Raider
01.05.2006, 21:41
2) если он, то достаточно ли просто спрятать начтоящий процесс, а сверху открыть мой с тем же именем чтобы обойти файервол? Или надо внедрить код в сам процесс?

Надо внедрять код в процесс.
ascas
01.05.2006, 22:03
Надо внедрять код в процесс.

Ясно, спасибо, но всетаки мне бы хотелось знать почему когда я просто заменяю процесс своим, он плохо, но работает?
Raider
01.05.2006, 22:39
Незнаю чс слово )
Raider
01.05.2006, 22:44
... По идеии вообще работать не должно, т.к твой процесс не входит в список исключений фаера.
Dr0ne
02.05.2006, 01:09
ты просто инжектируйся в адресно пространство svchost и фсе. а там уже делай что хочешь и ничего глючить не будет. а вот настчет закрытия фаером - svchost блокируется фаерм на раз-два(сам залочил свой) - в запрещенные поставил и всего-то делов(у меня Аутпост)
drmist
02.05.2006, 13:26
Рабочий пример:
http://drmist.ru/sources/cbs.0.6.rar

Вобще говоря, если ты так внимательно читаешь статьи с васма, то должен знать, что фаеру глупоко чихать на названия процессов - его волнуют контрольные суммы исполняемых файлов.
Кроме того, 1) svchost может лезть в инет ПО ДЕФОЛТУ. Как ты систему настроишь (и будет ли она при этом работать )) ) - дело админа/юзера.
2) Не все фаеры можно обойти таким простым инжектированием, как в примере. С этим уже научились бороться.
Dumkopff
07.05.2006, 10:04
Есть такой вирусок win32.hidrag он как раз по этому принципу работает... Можешь попробовать выловить и глянуть как.
ascas
07.05.2006, 22:03
Есть такой вирусок win32.hidrag он как раз по этому принципу работает... Можешь попробовать выловить и глянуть как.

Не, это слишком трудоемко, лучше сам разберусь ;)