ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи > Авторские статьи
Перезагрузить страницу Заканчиваем с фаерволами! (Часть 3)
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Заканчиваем с фаерволами! (Часть 3)
  #1  
Старый 18.05.2008, 23:44
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию Заканчиваем с фаерволами! (Часть 3)
1) Вступление
Итак, после публикации двух статей из этой же серии (ссылки на них даны в конце), остался не раскрытым один-единственный аспект - как же всё-таки тихо и незаметно запустить процесс? В этой небольшой статье я продемонстрирую обнаруженный мной при весьма загадочных обстоятельствах способ запуска процесса. А заодно уж, этот метод можно расширить и до того, чтобы малой кровью скрыть программу из списка процессов. Но это я уже оставлю на совесть читателя - искушенный это сделать сможет, а у меня нет никакого желания делать так, чтобы этим мог восполизоваться каждый.

PS Я могу ошибаться, но, вроде, этот способ основан на баге винды.

2) Идея Запуска Процесса.
Что говорит фаервол при попытке Запуска Процесса? Что программу, дескать, он не знает, и верить ей не хочет. Значит надо влезть в другую программу, которой он доверяет. Но все стандартные способы этого уже давно известны, и давно пресекаются нашими доблестными защитниками.
Ладно, не будем увлекаться пустым трёпом и перейдём к делу.
Мной (не знаю, первый ли я, кто додумался до такого, или нет - не суть важно) была обнаружна интересная вещь - если программа подгружает библиотеку, устанавливающую ловушку (Hook), а затем завершается, то
  • Библиотека из памяти не выгрыжается
  • Библиотека запускается в контексте процесса, вызвавшего хук
  • Каждый раз выполняется код инициализации библиотеки

Исходя из этого, мы можем создать библиотеку, которая бужет выполнять всё нам нужное, добавить в неё хук, а в основной программе только подгружать библиотеку и устанавливать этот Хук, после чего честно заканчивать работу.

3) Реализация
Качаем тут (Delphi, заускается обозреватель на яндекс)
(прямой линк - http://redxak.net/antifire/AntiFire3.rar)
на слиле - http://slil.ru/25805088 (20 кб, не так уж и тяжело...)
4) Ссылки
Хитрый обход файрволов. Часть 1.
Хитрый обход файрволов. Часть 2.

(c)desTiny aka 73ru5, 2008
Antichat.ru/Redxak.net

Исключительно в ознакомительных целях!

PS Не хотелось, всё-таки спускать в паблик... ну да ладно
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
Последний раз редактировалось desTiny; 19.05.2008 в 16:34..
 
Ответить с цитированием

  #2  
Старый 19.05.2008, 14:53
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию
Да, кстати: если у вас в приведённой программе фаер ругается на запуск процесса, то жмите "Блокировать" - с некоторого раза он запустится
Это издержки паблик версии
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
 
Ответить с цитированием

  #3  
Старый 19.05.2008, 15:43
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
Провел на форуме:
379101

Репутация: 136
По умолчанию
Код:
Not Found

The requested URL /404/ was not found on this server.
Apache/2.0.54 (Debian GNU/Linux) PHP/5.2.0-8+etch9~bpo31+1 mod_ssl/2.0.54 OpenSSL/0.9.7e Server at cp.freehostia.com Port 443
Перезалейте исходники
Последний раз редактировалось 0verbreaK; 19.05.2008 в 15:48..
 
Ответить с цитированием

  #4  
Старый 19.05.2008, 15:54
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию
Цитата:
Сообщение от 0verbreaK  
[CODE]Перезалейте исходники
Странно - прямой линк без тега [URL] нормально работает, а тот - нет...

http://redxak.net/antifire/AntiFire3.rar
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
 
Ответить с цитированием

  #5  
Старый 19.05.2008, 16:32
PandoraBox
Постоянный
Регистрация: 06.05.2007
Сообщений: 393
Провел на форуме:
1510937

Репутация: 398
Отправить сообщение для PandoraBox с помощью ICQ
По умолчанию
Перезалей куда нибудь сервер не отвечает...
 
Ответить с цитированием

  #6  
Старый 19.05.2008, 16:34
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию
ладно, ладно...
http://slil.ru/25805088
(20 кб - кто не любит слил, не так всё страшно )
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
 
Ответить с цитированием

  #7  
Старый 20.05.2008, 23:19
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию
Сегодня проверил на win98 - правда без фаера - заработала весьма странно:
Эксплорер открылся, но:
1) Во-первых, один - видимо там отключение хуков работает, можно, наверное, сделать UnHook условным и отрубать не сразу
2) А открылся он потому, что в строке сравнения ...pos('AntiF', s)=0... почему-то s='...ANTIF.EXE';
3) C фаером не проверял - не было возможности... но... надеемся на лучшее
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
 
Ответить с цитированием

  #8  
Старый 21.05.2008, 11:30
De-visible
Banned
Регистрация: 06.01.2008
Сообщений: 904
Провел на форуме:
4037638

Репутация: 1821


Отправить сообщение для De-visible с помощью ICQ
По умолчанию
Как всегда, было интересно, респект desTiny+++
 
Ответить с цитированием

  #9  
Старый 21.05.2008, 15:48
console done
Новичок
Регистрация: 13.04.2008
Сообщений: 3
Провел на форуме:
65858

Репутация: 0
По умолчанию
что щас начнётся :// и опять не вольно задумываешься о замене виндовс на что-то другое.
 
Ответить с цитированием

  #10  
Старый 21.05.2008, 18:32
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию
Цитата:
Сообщение от console done  
что щас начнётся :// и опять не вольно задумываешься о замене виндовс на что-то другое.
Не уверен, судя по популярности статьи
И я тоже надеюсь, что особого распространения способ не получит... Поэтому и писал всё максимально кратко...


PS Так, всё-таки, расскажите же кто-нибудь, это уязвимость винды или так положено?
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
547 дней из жизни Яндекса. Часть 3 B1ade SЕО - тонкости, методы раскрутки 0 04.05.2008 10:49
547 дней из жизни Яндекса. Часть 1 B1ade SЕО - тонкости, методы раскрутки 0 03.05.2008 16:12
Мультимедийные Обучающие Курсы TeachPro Java VenTeL ПО для Web разработчика 8 24.04.2008 15:38
Часть информации с личных компьютеров будет содержаться в хранилищах Google dinar_007 Мировые новости 0 13.02.2006 04:20
Sql инъекция и Oracle, часть первая k00p3r Чужие Статьи 0 13.06.2005 11:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ