desTiny
18.05.2008, 23:44
1) Вступление
Итак, после публикации двух статей из этой же серии (ссылки на них даны в конце), остался не раскрытым один-единственный аспект - как же всё-таки тихо и незаметно запустить процесс? В этой небольшой статье я продемонстрирую обнаруженный мной при весьма загадочных обстоятельствах способ запуска процесса. А заодно уж, этот метод можно расширить и до того, чтобы малой кровью скрыть программу из списка процессов. Но это я уже оставлю на совесть читателя - искушенный это сделать сможет, а у меня нет никакого желания делать так, чтобы этим мог восполизоваться каждый.
PS Я могу ошибаться, но, вроде, этот способ основан на баге винды.
2) Идея Запуска Процесса.
Что говорит фаервол при попытке Запуска Процесса? Что программу, дескать, он не знает, и верить ей не хочет. Значит надо влезть в другую программу, которой он доверяет. Но все стандартные способы этого уже давно известны, и давно пресекаются нашими доблестными защитниками.
Ладно, не будем увлекаться пустым трёпом и перейдём к делу.
Мной (не знаю, первый ли я, кто додумался до такого, или нет - не суть важно) была обнаружна интересная вещь - если программа подгружает библиотеку, устанавливающую ловушку (Hook), а затем завершается, то
Библиотека из памяти не выгрыжается
Библиотека запускается в контексте процесса, вызвавшего хук
Каждый раз выполняется код инициализации библиотеки
Исходя из этого, мы можем создать библиотеку, которая бужет выполнять всё нам нужное, добавить в неё хук, а в основной программе только подгружать библиотеку и устанавливать этот Хук, после чего честно заканчивать работу.
3) Реализация
Качаем тут (Delphi, заускается обозреватель на яндекс) (http://redxak.net/antifire/AntiFire3.rar)
(прямой линк - http://redxak.net/antifire/AntiFire3.rar)
на слиле - http://slil.ru/25805088 (20 кб, не так уж и тяжело...)
4) Ссылки
Хитрый обход файрволов. Часть 1. (https://forum.antichat.ru/showthread.php?p=659962)
Хитрый обход файрволов. Часть 2. (https://forum.antichat.ru/thread68398.html)
(c)desTiny aka 73ru5, 2008
Antichat.ru/Redxak.net
Исключительно в ознакомительных целях!
PS Не хотелось, всё-таки спускать в паблик... ну да ладно :)
Итак, после публикации двух статей из этой же серии (ссылки на них даны в конце), остался не раскрытым один-единственный аспект - как же всё-таки тихо и незаметно запустить процесс? В этой небольшой статье я продемонстрирую обнаруженный мной при весьма загадочных обстоятельствах способ запуска процесса. А заодно уж, этот метод можно расширить и до того, чтобы малой кровью скрыть программу из списка процессов. Но это я уже оставлю на совесть читателя - искушенный это сделать сможет, а у меня нет никакого желания делать так, чтобы этим мог восполизоваться каждый.
PS Я могу ошибаться, но, вроде, этот способ основан на баге винды.
2) Идея Запуска Процесса.
Что говорит фаервол при попытке Запуска Процесса? Что программу, дескать, он не знает, и верить ей не хочет. Значит надо влезть в другую программу, которой он доверяет. Но все стандартные способы этого уже давно известны, и давно пресекаются нашими доблестными защитниками.
Ладно, не будем увлекаться пустым трёпом и перейдём к делу.
Мной (не знаю, первый ли я, кто додумался до такого, или нет - не суть важно) была обнаружна интересная вещь - если программа подгружает библиотеку, устанавливающую ловушку (Hook), а затем завершается, то
Библиотека из памяти не выгрыжается
Библиотека запускается в контексте процесса, вызвавшего хук
Каждый раз выполняется код инициализации библиотеки
Исходя из этого, мы можем создать библиотеку, которая бужет выполнять всё нам нужное, добавить в неё хук, а в основной программе только подгружать библиотеку и устанавливать этот Хук, после чего честно заканчивать работу.
3) Реализация
Качаем тут (Delphi, заускается обозреватель на яндекс) (http://redxak.net/antifire/AntiFire3.rar)
(прямой линк - http://redxak.net/antifire/AntiFire3.rar)
на слиле - http://slil.ru/25805088 (20 кб, не так уж и тяжело...)
4) Ссылки
Хитрый обход файрволов. Часть 1. (https://forum.antichat.ru/showthread.php?p=659962)
Хитрый обход файрволов. Часть 2. (https://forum.antichat.ru/thread68398.html)
(c)desTiny aka 73ru5, 2008
Antichat.ru/Redxak.net
Исключительно в ознакомительных целях!
PS Не хотелось, всё-таки спускать в паблик... ну да ладно :)