ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Программирование > С/С++, C#, Delphi, .NET, Asm
Перезагрузить страницу актуальные методы обхода фаерволов
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

актуальные методы обхода фаерволов
  #1  
Старый 11.05.2007, 17:32
x-ultra-x
Познающий
Регистрация: 05.10.2005
Сообщений: 76
Провел на форуме:
74278

Репутация: 11
По умолчанию актуальные методы обхода фаерволов
Было много статей,манов по сабжу(на том же wasm'е), но сейчас ситуация изменилась. Outpost и новый Kaspersky обзавелись проактивнорй защитой.
Можно конечно кликать как в пинче,но это не надолго )
 
Ответить с цитированием

  #2  
Старый 11.05.2007, 19:40
hidden
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054

Репутация: 1292


По умолчанию
В любой защите есть косяки
Автозагрузку by Каспер
Dll для снятия хуков третьего кольца

Не пугайтесь вы так слова про-активная защита
 
Ответить с цитированием

  #3  
Старый 12.05.2007, 20:51
Ky3bMu4
Постоянный
Регистрация: 03.02.2007
Сообщений: 520
Провел на форуме:
1777536

Репутация: 932


Отправить сообщение для Ky3bMu4 с помощью ICQ
По умолчанию
Вот firewall.h от dkcs_ddos_bot. Об эффективности сиего кода понятия не имею.
www.lordofring.tushino.com/firewall.txt
И раньше вроде как svchost`у был досту в инет. А ща незнаю.
Последний раз редактировалось hidden; 12.05.2007 в 21:17.. Причина: Ссылку поправил
 
Ответить с цитированием

  #4  
Старый 12.05.2007, 21:00
hidden
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054

Репутация: 1292


По умолчанию
Обходить фаервол посредством загрузки драйвера в нулевое кольцо конечно эффективно но для начала нужно поснимать хуки с функций загрузки драйверов, куда их ставит любой риалтам антиспайвеар, идущий с фаерволом.
Последний раз редактировалось hidden; 12.05.2007 в 21:21..
 
Ответить с цитированием

  #5  
Старый 12.05.2007, 22:46
Hellsp@wn
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445

Репутация: 588
По умолчанию
обойти можно всё и вся)) вопрос только во времени реверса...
оутпост при снятие его хуков (ring0), блокирует доступ к инету) вот это не есть гууд.
Но обойти его и в ring3 можно, даже под гостем, ток не много геморно...

[Great:] По делу не сказано, либо говори конкретнее, либо не пости
Последний раз редактировалось _Great_; 13.05.2007 в 10:41..
 
Ответить с цитированием

  #6  
Старый 12.05.2007, 22:57
hidden
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054

Репутация: 1292


По умолчанию
Цитата:
обойти можно всё и вся)) вопрос только во времени реверса...
На этом остановим оффтоп, это и так все знают...
Последний раз редактировалось hidden; 12.05.2007 в 23:01..
 
Ответить с цитированием

  #7  
Старый 12.05.2007, 23:43
KPOT_f!nd
Познавший АНТИЧАТ
Регистрация: 25.08.2006
Сообщений: 1,524
Провел на форуме:
3405508

Репутация: 1745


По умолчанию
Process-Injection и обход проактивных защит, контролирующих WriteProcessMemroy и другие API, обычно файры ставят хуки на SST - вот их и надо снимать, правда тут тоже есть свои тонкости. если это SpyWare/Loader и т.д, то самым простым методом является, пожалуй обход через сервис BITS, встроенный по умолчанию в операционную систему для автоапдейтов Microsoft Windows. работает он "официально" в контексте svchost.exe используя для передачи данных только HTTP GET-метод. Остальные методы здесь описаны очень хорошо: http://www.wasm.ru/article.php?article=outpostk
вот это посмотри еще все:
http://hellknights.void.ru/
http://www.0x48k.cc/
http://www.wasm.ru/
http://www.rootkits.ru/

(с) Cytech
Последний раз редактировалось KPOT_f!nd; 12.05.2007 в 23:45..
 
Ответить с цитированием

  #8  
Старый 13.05.2007, 10:28
Ky3bMu4
Постоянный
Регистрация: 03.02.2007
Сообщений: 520
Провел на форуме:
1777536

Репутация: 932


Отправить сообщение для Ky3bMu4 с помощью ICQ
По умолчанию
О Process-Injection ОЧЕНЬ хорошо написано тут:
http://www.bit-team.com/index.php?option=com_content&task=view&id=95&Itemi d=1

Но вот маленькие поправки:
1) Перед всем этим делов взять себе привелегии на дебуг программ.
2)Кроме
Код:
LoadLibrary("kernel32.dll"); // нам необходимо подгрузить жертве в процесс 
LoadLibrary("user32.dll"); // требуемые нам библиотеки (их может и не быть изначально)
Добавать:
Код:
	
LoadLibrary("ADVAPI32_DLL");	
LoadLibrary("IMGHLP_DLL");	
LoadLibrary("SHELL32_DLL");	
LoadLibrary("WS2_32_DLL");	
LoadLibrary("URLMON_DLL"); 	
LoadLibrary("WININET_DLL");	
LoadLibrary("WINMM_DLL");
В svchost инжектица на ура.
 
Ответить с цитированием

  #9  
Старый 13.05.2007, 10:31
_Great_
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610

Репутация: 4360


Отправить сообщение для _Great_ с помощью ICQ
По умолчанию
Мне вот, простите, интересно, а кто будет выкладывать в паблик актуальные и наилучшие методы обхода?
 
Ответить с цитированием

  #10  
Старый 13.05.2007, 11:56
Hellsp@wn
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445

Репутация: 588
По умолчанию
вообще то я в посте имел ввиду, чтоб чел не занимался ерундой, а или покупал или сам
реверсил... Вот не плохая статья http://www.securitylab.ru/analytics/254727.php
Можно почерпнуть пару мыслей)
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Методы "вспоминания" пароля (от мыла) censored! E-Mail 175 05.06.2010 16:57
Методы проникновения в локальную сеть. .FUF Авторские статьи 18 22.02.2008 04:13
какие есть методы преобразования Sql запроса для обхода фильтрации ysmat PHP, PERL, MySQL, JavaScript 2 16.09.2006 22:01
Методы взлома! SheFF Чаты 2 15.11.2004 13:30



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ