Маленькая заметка про обход Outpost
 

Незнаю конечно, мож это давно всем известно, то ни на васме, ни в гугле я этого не нашёл...

Нижеуказанные действия проводились на свежей(2 недели отроду, 7 установленых программ) WinXP SP2.

Итак, поствил я для тестов себе Outpost(Pro ver. 4.0.964.6926 (584),стандартные настройки). Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит. Переставил. 1 сеанс поработал, но потом снова таже история. И тут до меня дошло, что это так прога с унхуком сдт мочит оутпост. Ага! значит при загрузке оутпост в попе. Попробывал тоже самое только с инжектом - молчание, а заветный messagebox появился. Вот ,в принципе, и всё...

У меня тут тоже приколы с аутпостом вышли.
1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:

MessageBox(..);
ZeTerminateProcess(-1,0);

на моё удивление аутпост не выдал никаких матерных сообщений. после окошка MessageBox процесс благополучно скончался.
2) делал я syn flood. вобщем создал сырой сокет, создал пакеты и начал флудить в несколько потоков (предварительно добавив свою флудилку в список доверенных приложений аутпосту)... Тут самое интересное: драйвер аутпоста выкинул BSOD. По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.

Syn flood? вроде в ХР2 запрещено через сырые сокеты тцп пакеты посылать

я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.

Можно по подробней.В какие именно ветки и какие записи?

Ебать, да у вас тут такие споры проффесионалов, даже как-то стесняюсь писать...

Это будет навечно выколото стамеской на доске почета нашего городка:

ААААаааа ну и самое главное ; )))) так сказать, на десерт
Спустись, глянь, там телки, пиво, дискотека, все гуляют, не то что у вас вверху ; )
Ты наверное никогда не слышал, но ключ (угадаю!!) который ты прописал в ноль, т.е. DisableRawPolicy - никак не связан с RAW-сокетами WinXP SP2 : DDD
Он лишь задает, может ли НЕ-админ в NT 4 юзать raw-сокеты. В XP SP2 это ограничение присутствует в ядре, и как показала практика, именно в NDIS-драйвере сетевухе. И я пока не видел в пабике ничего, что его там убирает.

А.. я же забыл.. тут такие реальные чукваки тусуются... ну прости, что запостил...
Если серьёзно:
система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду.

я так и не понял - что ты имел ввиду, когда процитировал.

>>1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:

Да, аутпост хучит функции в ринг3. после анхука можно спокойно инжектиться в любой процесс. что тут удивительного?

2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности :). Т.е. Оутпост не орет, но и инжект не идет.

я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.

Угу, супер. На античате можно узнать столько нового, в очередной раз вскрикиваю я. Оказывается аутпост у нас хук ставит в юзер-моде для предотвращения инжекта. Да ещё и в версии 4. Он наверное вообще все хуки ставит в юзер-моде, чтоб ты мог их снимать спокойно. Но про прерывание прикольно написал, умно, особенно что 2E число знаешь.

Тогда о каком параметре в реестре, разрешающем RAWSOCKET идет речь, если он и так уже разрешен, как и должно быть на SP1 ? А имел ввиду ты очевидно то, что при большой интенсивности использования кривых рук пользователя упадет не только аутпост, а монитор с полки. Это смотря как постараться.