svchost?
 

Где то я читал (кажется на васм.ру) что у одного из системных процессов есть доступ в инет не перекрываемый файерволом, мне кажется что ето был svchost. так вот 2 вопроса:
1) он или не он?
2) если он, то достаточно ли просто спрятать начтоящий процесс, а сверху открыть мой с тем же именем чтобы обойти файервол? Или надо внедрить код в сам процесс?

Что то не понял твой вопрос.

насчет первого пункта ты прав.
а отключить этот процесс нельзя ) вроде если я не ошибаюсь

Так я его и не выключаю, просто прячу его в task manager, а на его место включаю свой процесс с тем же названием. В свой процесс я всроил проксик, все как бы и работает, но половина страниц вообще не открывает, а в другой половине открывает не полностью.

Надо внедрять код в процесс.

Ясно, спасибо, но всетаки мне бы хотелось знать почему когда я просто заменяю процесс своим, он плохо, но работает?

Незнаю чс слово )

... По идеии вообще работать не должно, т.к твой процесс не входит в список исключений фаера.

ты просто инжектируйся в адресно пространство svchost и фсе. а там уже делай что хочешь и ничего глючить не будет. а вот настчет закрытия фаером - svchost блокируется фаерм на раз-два(сам залочил свой) - в запрещенные поставил и всего-то делов(у меня Аутпост)

Рабочий пример:
http://drmist.ru/sources/cbs.0.6.rar

Вобще говоря, если ты так внимательно читаешь статьи с васма, то должен знать, что фаеру глупоко чихать на названия процессов - его волнуют контрольные суммы исполняемых файлов.
Кроме того, 1) svchost может лезть в инет ПО ДЕФОЛТУ. Как ты систему настроишь (и будет ли она при этом работать )) ) - дело админа/юзера.
2) Не все фаеры можно обойти таким простым инжектированием, как в примере. С этим уже научились бороться.