Незнаю конечно, мож это давно всем известно, то ни на васме, ни в гугле я этого не нашёл...

Нижеуказанные действия проводились на свежей(2 недели отроду, 7 установленых программ) WinXP SP2.

Итак, поствил я для тестов себе Outpost(Pro ver. 4.0.964.6926 (584),стандартные настройки). Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит. Переставил. 1 сеанс поработал, но потом снова таже история. И тут до меня дошло, что это так прога с унхуком сдт мочит оутпост. Ага! значит при загрузке оутпост в попе. Попробывал тоже самое только с инжектом - молчание, а заветный messagebox появился. Вот ,в принципе, и всё...

У меня тут тоже приколы с аутпостом вышли.
1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:

MessageBox(..);
ZeTerminateProcess(-1,0);

на моё удивление аутпост не выдал никаких матерных сообщений. после окошка MessageBox процесс благополучно скончался.
2) делал я syn flood. вобщем создал сырой сокет, создал пакеты и начал флудить в несколько потоков (предварительно добавив свою флудилку в список доверенных приложений аутпосту)... Тут самое интересное: драйвер аутпоста выкинул BSOD. По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.

Syn flood? вроде в ХР2 запрещено через сырые сокеты тцп пакеты посылать

Syn flood? вроде в ХР2 запрещено через сырые сокеты тцп пакеты посылать
я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.

я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.
Можно по подробней.В какие именно ветки и какие записи?

Ебать, да у вас тут такие споры проффесионалов, даже как-то стесняюсь писать...

Это будет навечно выколото стамеской на доске почета нашего городка:

По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.


1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:



Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит.


ААААаааа ну и самое главное ; )))) так сказать, на десерт

я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.


Спустись, глянь, там телки, пиво, дискотека, все гуляют, не то что у вас вверху ; )
Ты наверное никогда не слышал, но ключ (угадаю!!) который ты прописал в ноль, т.е. DisableRawPolicy - никак не связан с RAW-сокетами WinXP SP2 : DDD
Он лишь задает, может ли НЕ-админ в NT 4 юзать raw-сокеты. В XP SP2 это ограничение присутствует в ядре, и как показала практика, именно в NDIS-драйвере сетевухе. И я пока не видел в пабике ничего, что его там убирает.

А.. я же забыл.. тут такие реальные чукваки тусуются... ну прости, что запостил...
Если серьёзно:
система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду.

я так и не понял - что ты имел ввиду, когда процитировал.

>>1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:

Да, аутпост хучит функции в ринг3. после анхука можно спокойно инжектиться в любой процесс. что тут удивительного?

2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности :). Т.е. Оутпост не орет, но и инжект не идет.

2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности :). Т.е. Оутпост не орет, но и инжект не идет.

я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.

я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.


Угу, супер. На античате можно узнать столько нового, в очередной раз вскрикиваю я. Оказывается аутпост у нас хук ставит в юзер-моде для предотвращения инжекта. Да ещё и в версии 4. Он наверное вообще все хуки ставит в юзер-моде, чтоб ты мог их снимать спокойно. Но про прерывание прикольно написал, умно, особенно что 2E число знаешь.


Если серьёзно:
система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду.


Тогда о каком параметре в реестре, разрешающем RAWSOCKET идет речь, если он и так уже разрешен, как и должно быть на SP1 ? А имел ввиду ты очевидно то, что при большой интенсивности использования кривых рук пользователя упадет не только аутпост, а монитор с полки. Это смотря как постараться.

Слушай, а откуда такие познания? ты случаем не какер?

Если не в лом - посмотри в ольке. на ZwCreateThread CreateRemouteThread WriteProcessMemory и т.д. апишках стоит сплайсинг. я конечн не настолько крут как ты.. я к этому стремлюсь.. но какая-то бональная эрудиция подсказывает мне что аутпост не ради развлечения ставит сплайсинг в этих апишках.

ZwCreateThread:
jmp wl_hhok.1004C714
mov edx,7FFE0300
call edx
retn 20

я конечн не настолько крут как ты.. я к этому стремлюсь.. но какая-то бональная эрудиция подсказывает мне что аутпост не ради развлечения ставит сплайсинг в этих апишках.


Точно, ты не настолько крут как я, иначе бы посмотрел сст (с системы, где стоит Outpost 4.0.971.7030 (584))
http://img99.imageshack.us/img99/4686/writeyw6.jpg
, увидел бы в ней все эти ядерные хуки, покраснел бы и перестал писать в этот топик.
Поэтому свою бональную эрудицию ты имхо развиваешь не в том направлении
а что бы ты не продолжил этот разговор, сказав что SandBox.sys - не аутпоста вовсе, выкладываю:
http://img221.imageshack.us/img221/7871/scsd2.jpg
(в ранних версиях хуки идут прямо в filtnt.sys

ну а что бы ты не сказал, что на том месте, где ничего не написано на скриншоте, идет не NtWriteVirtualMemory, вот тебе тот же скриншот, снятый с системе без аутпоста
http://img221.imageshack.us/img221/1791/18930180ct7.jpg

Но, конечно, ты скажешь что у меня мол, новая версия, а у тебя старая. Я могу специально поставить на виртуалку любой старый аутпост, в котором хотя бы есть вообще контроль виртуальной памяти процессов и снять тебе такие же скриншоты,

UPD:
ну и конечно твой замечательный пост на ту же тему
http://forum.antichat.ru/showthread.php?p=338299#post338299

Полный бред. аутпост СДТ не перехватывает. это может быть либо КАВ либо ещё что-то... Я даже прогу писал - убивает аутпост через инжект в него, затем ZwTerminateProcess(-1,0); Драйвер аутпосту нужен лишь для перехвата устройств \Tcp \Ip \Udp \RawIp. Хук на инжект ставится в третьем кольце. По крайней мерии, я тестировал на версии третьей и четвёртой версиях.

Кез, ты победил в споре-то в итоге или нет? А то че-то оппоненты разошлись, а я хочу еще умных слов почитать всяких, чтобы потом понтаваться ими перед девчонками.

кодерскими словечками понтоваться не хорошо =//
понтуйся хеккерскими - сплоент, бага, скуль, шелл, рут, ..

Грейт, в список хеккерских словечек пора добавлять хмурый, вмазка, барыга и подобные ;)

2 podkashey, Great
можно комбинировать
"хмурый рут"
"скуль по вмазке"
"бага-барыга"
"шелл-баян-ядро-таблица"
ммм...

"бутират плюс плюс" ?

Kez, реверсинг через петуха по вене в ринг0