ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
Маленькая заметка про обход Outpost |
24.09.2007, 20:44
|
|
Постоянный
Регистрация: 03.02.2007
Сообщений: 520
Провел на форуме:
1777536
Репутация:
932
|
|
Маленькая заметка про обход Outpost
Незнаю конечно, мож это давно всем известно, то ни на васме, ни в гугле я этого не нашёл...
Нижеуказанные действия проводились на свежей(2 недели отроду, 7 установленых программ) WinXP SP2.
Итак, поствил я для тестов себе Outpost(Pro ver. 4.0.964.6926 (584),стандартные настройки). Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит. Переставил. 1 сеанс поработал, но потом снова таже история. И тут до меня дошло, что это так прога с унхуком сдт мочит оутпост. Ага! значит при загрузке оутпост в попе. Попробывал тоже самое только с инжектом - молчание, а заветный messagebox появился. Вот ,в принципе, и всё...
|
|
|
24.09.2007, 21:21
|
|
Познающий
Регистрация: 30.11.2006
Сообщений: 49
Провел на форуме:
36434
Репутация:
28
|
|
У меня тут тоже приколы с аутпостом вышли.
1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:
MessageBox(..);
ZeTerminateProcess(-1,0);
на моё удивление аутпост не выдал никаких матерных сообщений. после окошка MessageBox процесс благополучно скончался.
2) делал я syn flood. вобщем создал сырой сокет, создал пакеты и начал флудить в несколько потоков (предварительно добавив свою флудилку в список доверенных приложений аутпосту)... Тут самое интересное: драйвер аутпоста выкинул BSOD. По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.
|
|
|
|
25.09.2007, 10:28
|
|
Новичок
Регистрация: 23.09.2007
Сообщений: 12
Провел на форуме:
44190
Репутация:
24
|
|
Syn flood? вроде в ХР2 запрещено через сырые сокеты тцп пакеты посылать
|
|
|
|
25.09.2007, 12:37
|
|
Познающий
Регистрация: 30.11.2006
Сообщений: 49
Провел на форуме:
36434
Репутация:
28
|
|
Syn flood? вроде в ХР2 запрещено через сырые сокеты тцп пакеты посылать
я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.
|
|
|
|
28.09.2007, 21:20
|
|
Постоянный
Регистрация: 05.05.2006
Сообщений: 743
Провел на форуме:
2982851
Репутация:
107
|
|
Сообщение от gevara
я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.
Можно по подробней.В какие именно ветки и какие записи?
|
|
|
|
28.10.2007, 22:43
|
|
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233
Репутация:
2726
|
|
Ебать, да у вас тут такие споры проффесионалов, даже как-то стесняюсь писать...
Это будет навечно выколото стамеской на доске почета нашего городка:
По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.
1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:
Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит.
ААААаааа ну и самое главное ; )))) так сказать, на десерт
я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.
Спустись, глянь, там телки, пиво, дискотека, все гуляют, не то что у вас вверху ; )
Ты наверное никогда не слышал, но ключ (угадаю!!) который ты прописал в ноль, т.е. DisableRawPolicy - никак не связан с RAW-сокетами WinXP SP2 : DDD
Он лишь задает, может ли НЕ-админ в NT 4 юзать raw-сокеты. В XP SP2 это ограничение присутствует в ядре, и как показала практика, именно в NDIS-драйвере сетевухе. И я пока не видел в пабике ничего, что его там убирает.
Последний раз редактировалось KEZ; 28.10.2007 в 23:00..
|
|
|
|
29.10.2007, 23:18
|
|
Познающий
Регистрация: 30.11.2006
Сообщений: 49
Провел на форуме:
36434
Репутация:
28
|
|
А.. я же забыл.. тут такие реальные чукваки тусуются... ну прости, что запостил...
Если серьёзно:
система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду.
я так и не понял - что ты имел ввиду, когда процитировал.
>>1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:
Да, аутпост хучит функции в ринг3. после анхука можно спокойно инжектиться в любой процесс. что тут удивительного?
|
|
|
|
29.10.2007, 23:41
|
|
Участник форума
Регистрация: 25.11.2006
Сообщений: 291
Провел на форуме:
1537850
Репутация:
536
|
|
2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности  . Т.е. Оутпост не орет, но и инжект не идет. |
|
|
|
30.10.2007, 00:51
|
|
Познающий
Регистрация: 30.11.2006
Сообщений: 49
Провел на форуме:
36434
Репутация:
28
|
|
Сообщение от А®ТеS
2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности . Т.е. Оутпост не орет, но и инжект не идет. я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.
|
|
|
|
30.10.2007, 03:57
|
|
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233
Репутация:
2726
|
|
я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.
Угу, супер. На античате можно узнать столько нового, в очередной раз вскрикиваю я. Оказывается аутпост у нас хук ставит в юзер-моде для предотвращения инжекта. Да ещё и в версии 4. Он наверное вообще все хуки ставит в юзер-моде, чтоб ты мог их снимать спокойно. Но про прерывание прикольно написал, умно, особенно что 2E число знаешь.
Если серьёзно:
система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду.
Тогда о каком параметре в реестре, разрешающем RAWSOCKET идет речь, если он и так уже разрешен, как и должно быть на SP1 ? А имел ввиду ты очевидно то, что при большой интенсивности использования кривых рук пользователя упадет не только аутпост, а монитор с полки. Это смотря как постараться.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
