ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
15.04.2010, 17:35
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
ядерная заглушка
для чего: порой встречаются системы защиты, работающие в режиме ядра. т.е. они перехватывают ряд ядерных функций (КИС, КАВ, разные античиты и тд), в результате чего мы, например, не можем выполнить некоторые действия. например сделать инжект в процесс и тд и тп. так вот. предлагаю вашему вниманию драйвер, суть его работы заключена в том, что при загрузке он проверяет наличие таких перехватов и если находит, то перехватывает самого перехватчика, таким образом работая как заглушка. драйвер защиты думает что он перехватил что надо и все нормально, но в данный момент его обработчик сам перехвачен заглушкой которая передает управление оригинальным функциям.
естественно в этом случае мы можем творить в режиме пользователя что угодно.
данная версия обезвреживает (не повреждая систему защиты):
NtOpenProcess <---> OpenProcess
NtProtectVirtualMemory <---> VirtualProtect
NtWriteVirtualMemory <---> WriteProcessMemory
NtCreateThread <---> CreateRemoteThread
NtAllocateVirtualMemory <---> VirtualAllocEx
те после запуска драйвера мы по идее можем инжектить что угодно и куда угодно.
НУЖНО ПРОВЕРИТЬ. если у кого есть возможность, с проактивными антивирами (разными) и тд, затестьте и отпишитесь.
схема работы- загрузить драйвер с помощью NtLoadDriver, дальше просто попробовать инжектнуться куданибудь.
НО! не выгружайте драйвер ранее того как будет выгружена система защиты. иначе бсод.
для простоты добавил сразу с лоадером. запускаете ехе, ждете месаг бокса и дальше пускаете свою прогу с инжектом.
самое элементарное, кто в кс гамит - запустите маяк, затем лоадер и любой чит, например senses fail
таргет билды (оч важно, исходите из установленной ОС)
все они под х86 (не 64битные)
Windows 7:
http://www.sendspace.com/file/y3zprp
Windows XP:
http://www.sendspace.com/file/5az3wg
__________________
  
snow white world wide
Последний раз редактировалось sn0w; 15.04.2010 в 19:15..
|
|
|
15.04.2010, 17:39
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
ОгО! Сейчас проверю!
|
|
|
|
15.04.2010, 18:41
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
Первый запуск норм. На втором бсод.... Сейчас включу запись ошибок и повторю. (антивиря нет)
|
|
|
|
15.04.2010, 18:43
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
винда как указано? что стоит (антивир или гуард какой)
зы ОК надо давить только тада када сделаешь все операции. просто если есть другой драйвер, который перехватывает ядро, то наш - перехватывает его обработчики. и если нас выгрузить (нажав ОК) то с его обработчиков проц будет улетать в ебеня. собсна смысл бсода.
ззы и желательно проверить таблицу sdt какаимнить rku или avz - есть ли какие хуки
зззы весь дебаг принт я у него вырезал дабы алгоритм не палить, он тока выводит када загрузился и када выгрузился
__________________
snow white world wide
Последний раз редактировалось sn0w; 15.04.2010 в 18:55..
|
|
|
|
15.04.2010, 18:53
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
винда как указано? что стоит (антивир или гуард какой)
Винда хр. Авирей нет, брендмауэр отключен.
зы ОК надо давить только тада када сделаешь все операции. просто если есть другой драйвер, который перехватывает ядро, то наш - перехватывает его обработчики. и если нас выгрузить (нажав ОК) то с его обработчиков проц будет улетать в ебеня. собсна смысл бсода.
Это я понял =) бсод выскакивает до кнопки ок.
STOP 0x0000007E
jammer.sys - adress F7B0226E base at F7B01000
|
|
|
|
15.04.2010, 19:00
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
обновил первый пост - и 7 и хп
__________________
snow white world wide
Последний раз редактировалось sn0w; 15.04.2010 в 19:11..
|
|
|
|
15.04.2010, 19:16
|
|
Постоянный
Регистрация: 29.10.2008
Сообщений: 306
Провел на форуме:
1819761
Репутация:
180
|
|
sn0w, может посоветуешь, что почитать по разработке драйверов?
|
|
|
|
15.04.2010, 19:27
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
обновил первый пост - и 7 и хп
Спасибо за хп версию.
Но она так же бсодит по тем же адресам.
STOP 0x0000007E
jammer.sys - adress F7B0226E base at F7B01000
Возможно это из-за вмваре.
|
|
|
|
15.04.2010, 19:27
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
Хоглунда (rootkit.com) , васм.ру, руткитс.су... Солдатов ВП - программирование драйверов Windows. но в целом эта инфа более складывается из исследования и отдельных людей. те это какбы мозговой торрент чтоли) мне в этом деле например помогал ранее довольно известный тут человек, kez)
да и кстати грейта!)
__________________
snow white world wide
Последний раз редактировалось sn0w; 15.04.2010 в 19:43..
|
|
|
|
15.04.2010, 19:29
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
2 M_script_:
https://forum.antichat.ru/thread91797.html
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
