Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)
-   -   актуальные методы обхода фаерволов (https://forum.antichat.xyz/showthread.php?t=39943)

x-ultra-x 11.05.2007 17:32
актуальные методы обхода фаерволов
 
Было много статей,манов по сабжу(на том же wasm'е), но сейчас ситуация изменилась. Outpost и новый Kaspersky обзавелись проактивнорй защитой.
Можно конечно кликать как в пинче,но это не надолго )

hidden 11.05.2007 19:40
В любой защите есть косяки ;)
Автозагрузку by Каспер
Dll для снятия хуков третьего кольца

Не пугайтесь вы так слова про-активная защита ;)

Ky3bMu4 12.05.2007 20:51
Вот firewall.h от dkcs_ddos_bot. Об эффективности сиего кода понятия не имею.
www.lordofring.tushino.com/firewall.txt
И раньше вроде как svchost`у был досту в инет. А ща незнаю.

hidden 12.05.2007 21:00
Обходить фаервол посредством загрузки драйвера в нулевое кольцо конечно эффективно но для начала нужно поснимать хуки с функций загрузки драйверов, куда их ставит любой риалтам антиспайвеар, идущий с фаерволом. ;)

Hellsp@wn 12.05.2007 22:46
обойти можно всё и вся)) вопрос только во времени реверса...
оутпост при снятие его хуков (ring0), блокирует доступ к инету) вот это не есть гууд.
Но обойти его и в ring3 можно, даже под гостем, ток не много геморно...

[Great:] По делу не сказано, либо говори конкретнее, либо не пости

hidden 12.05.2007 22:57
Цитата:
обойти можно всё и вся)) вопрос только во времени реверса...
На этом остановим оффтоп, это и так все знают...

KPOT_f!nd 12.05.2007 23:43
Process-Injection и обход проактивных защит, контролирующих WriteProcessMemroy и другие API, обычно файры ставят хуки на SST - вот их и надо снимать, правда тут тоже есть свои тонкости. если это SpyWare/Loader и т.д, то самым простым методом является, пожалуй обход через сервис BITS, встроенный по умолчанию в операционную систему для автоапдейтов Microsoft Windows. работает он "официально" в контексте svchost.exe используя для передачи данных только HTTP GET-метод. Остальные методы здесь описаны очень хорошо: http://www.wasm.ru/article.php?article=outpostk
вот это посмотри еще все:
http://hellknights.void.ru/
http://www.0x48k.cc/
http://www.wasm.ru/
http://www.rootkits.ru/

(с) Cytech

Ky3bMu4 13.05.2007 10:28
О Process-Injection ОЧЕНЬ хорошо написано тут:
http://www.bit-team.com/index.php?option=com_content&task=view&id=95&Itemi d=1

Но вот маленькие поправки:
1) Перед всем этим делов взять себе привелегии на дебуг программ.
2)Кроме
Код:
LoadLibrary("kernel32.dll"); // нам необходимо подгрузить жертве в процесс
LoadLibrary("user32.dll"); // требуемые нам библиотеки (их может и не быть изначально)
Добавать:
Код:
       
LoadLibrary("ADVAPI32_DLL");       
LoadLibrary("IMGHLP_DLL");       
LoadLibrary("SHELL32_DLL");       
LoadLibrary("WS2_32_DLL");       
LoadLibrary("URLMON_DLL");       
LoadLibrary("WININET_DLL");       
LoadLibrary("WINMM_DLL");
В svchost инжектица на ура.

_Great_ 13.05.2007 10:31
Мне вот, простите, интересно, а кто будет выкладывать в паблик актуальные и наилучшие методы обхода?

Hellsp@wn 13.05.2007 11:56
вообще то я в посте имел ввиду, чтоб чел не занимался ерундой, а или покупал или сам
реверсил... Вот не плохая статья http://www.securitylab.ru/analytics/254727.php
Можно почерпнуть пару мыслей)


Время: 05:02
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице