Было много статей,манов по сабжу(на том же wasm'е), но сейчас ситуация изменилась. Outpost и новый Kaspersky обзавелись проактивнорй защитой.
Можно конечно кликать как в пинче,но это не надолго )

В любой защите есть косяки ;)
Автозагрузку by Каспер (https://forum.antichat.ru/thread30812.html)
Dll для снятия хуков третьего кольца (https://forum.antichat.ru/thread38003.html)

Не пугайтесь вы так слова про-активная защита ;)

Вот firewall.h от dkcs_ddos_bot. Об эффективности сиего кода понятия не имею.
www.lordofring.tushino.com/firewall.txt
И раньше вроде как svchost`у был досту в инет. А ща незнаю.

Обходить фаервол посредством загрузки драйвера в нулевое кольцо конечно эффективно но для начала нужно поснимать хуки с функций загрузки драйверов, куда их ставит любой риалтам антиспайвеар, идущий с фаерволом. ;)

обойти можно всё и вся)) вопрос только во времени реверса...
оутпост при снятие его хуков (ring0), блокирует доступ к инету) вот это не есть гууд.
Но обойти его и в ring3 можно, даже под гостем, ток не много геморно...

[Great:] По делу не сказано, либо говори конкретнее, либо не пости

обойти можно всё и вся)) вопрос только во времени реверса...
На этом остановим оффтоп, это и так все знают...

Process-Injection и обход проактивных защит, контролирующих WriteProcessMemroy и другие API, обычно файры ставят хуки на SST - вот их и надо снимать, правда тут тоже есть свои тонкости. если это SpyWare/Loader и т.д, то самым простым методом является, пожалуй обход через сервис BITS, встроенный по умолчанию в операционную систему для автоапдейтов Microsoft Windows. работает он "официально" в контексте svchost.exe используя для передачи данных только HTTP GET-метод. Остальные методы здесь описаны очень хорошо: http://www.wasm.ru/article.php?article=outpostk
вот это посмотри еще все:
http://hellknights.void.ru/
http://www.0x48k.cc/
http://www.wasm.ru/
http://www.rootkits.ru/

(с) Cytech

О Process-Injection ОЧЕНЬ хорошо написано тут:
http://www.bit-team.com/index.php?option=com_content&task=view&id=95&Itemid=1

Но вот маленькие поправки:
1) Перед всем этим делов взять себе привелегии на дебуг программ.
2)Кроме

LoadLibrary("kernel32.dll"); // нам необходимо подгрузить жертве в процесс
LoadLibrary("user32.dll"); // требуемые нам библиотеки (их может и не быть изначально)

Добавать:

LoadLibrary("ADVAPI32_DLL");
LoadLibrary("IMGHLP_DLL");
LoadLibrary("SHELL32_DLL");
LoadLibrary("WS2_32_DLL");
LoadLibrary("URLMON_DLL");
LoadLibrary("WININET_DLL");
LoadLibrary("WINMM_DLL");


В svchost инжектица на ура.

Мне вот, простите, интересно, а кто будет выкладывать в паблик актуальные и наилучшие методы обхода?

вообще то я в посте имел ввиду, чтоб чел не занимался ерундой, а или покупал или сам
реверсил... Вот не плохая статья http://www.securitylab.ru/analytics/254727.php
Можно почерпнуть пару мыслей)

Получение привилегий Ring0 в Win9x/Me
http://sources.ru/cpp/system/ring0.zip

А вот и перехват api
http://rsdn.ru/article/baseserv/IntercetionAPI.xml