ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
03.07.2007, 10:46
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Поехали
Сообщение от razzzar
как восстановить Sdt я более-менее нашел инфу и исходники. сижу разбираюсь. а вот как снять хуки не совсем понял. Sdt - это ж таблица адрессов функций ядра, так? если ее восстановить, то сразу же снимуться и хуки?
Вряд ли ты быстро разберешься в KERNEL-кодинге.
По поводу вопроса: яблоко стоит на столе. Выбрасываем старый стол и ставим новый. Очевидно, яблока на столе уже не будет. Вопрос твой оч странный даже с точки зрения логики.
Сообщение от Ky3bMu4
Создаём поток, который будет каждые 7сек. будет убивать процессы фаеров/антивирусов.))))))))
Лол, валяй. Я посмотрю
Сообщение от slesh
Самый действенный способ - ставь свой драйвер уровня ядра. который быдет сидеть сразу над сетевым драйвером. И тогда хрен кто пропалит.
Но его хрен напишишь
Если не понимаешь, нечего и возникать +) Оч даже и напишешь.
Сообщение от Ky3bMu4
Обход Outpost Firewall 3.x и 4.0 в Kernel mode (C) wasm.ru
Мегажесть код, что тут делает GetModuleHandleA?
Сообщение от razzzar
2Кузьмич, этот код ставит свои хуки на уровне ядра?
Этот код, если откинуть неточности грубые, ставит хуки на импорт filtnt.sys на функцию IoGetCurrentProcess.
Сообщение от inSa(Ne)rd
да все любят кернел моде, переписывать там куски кода и тп
ни один не знает вообще что это такое, но хуле, скопипастить то надо чтоб показать "я крутой рингзеро хэкер" )
Сообщение от razzzar
у меня тут вопрос один созрел:
чтобы соединится с сервером обычным connect(); обходя фаервол надо сделать такое:
1. найти адресс ядерных функций, которые перехватывает фаервол
2. найти адресса оригиналов
3. снять хуки
?
или можно сделать вариант с SDT? или СДТ работает толья для инжекта?
Нет, SDT это таблица локальных функций. Сеть- вообще из другой оперы, там надо с NDIS работать
блин, вы сначала
1) научитесь кодить
2) научитесь кодить под ядро
3) разберитесь с устройством ядра и ядерной части Windows
А уж потом лезьте.
Сообщение от KEZ
Фаерволы могут использовать огромное количество колец защиты, в том числе NDIS-перехват
Странная терминология у тебя =) Колец защиты в винде используется два - 0 и 3. 1 и 2 не используются изза совместимости (как меня она бесит, если выкинуть лишний код в винде, она станет в н раз меньше и в н раз быстрее) |
|
|
03.07.2007, 19:41
|
|
Участник форума
Регистрация: 16.06.2007
Сообщений: 107
Провел на форуме:
725870
Репутация:
208
|
|
Нет, Sdt это таблица локальных функций. Сеть- вообще из другой оперы, там надо с Ndis работать
Вот это я и хотел услышать  спс за объяснение.
ПС: про НДИС, кроме васма еще есть хорошие ресурсы, де почитать?
|
|
|
|
03.07.2007, 19:47
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Сообщение от razzzar
Вот это я и хотел услышать спс за объяснение.
ПС: про НДИС, кроме васма еще есть хорошие ресурсы, де почитать? MSDN очень хороший ресурс, рекомендую. Вообще если что, первым делом с вопросом в MSDN. Если там нету - уже надо думать
|
|
|
|
03.07.2007, 19:49
|
|
Участник форума
Регистрация: 16.06.2007
Сообщений: 107
Провел на форуме:
725870
Репутация:
208
|
|
_great_, ну я ж не полный ламер. про мсдн знаю и пользуюсь 
|
|
|
|
03.07.2007, 20:01
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677
Репутация:
472
|
|
>>ПС: про НДИС, кроме васма еще есть хорошие ресурсы, де почитать?
http://rootkits.ru/
|
|
|
|
03.07.2007, 20:46
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Сообщение от Ni0x
>>ПС: про НДИС, кроме васма еще есть хорошие ресурсы, де почитать?
http://rootkits.ru/
Хотя это довольно начинающий ресурс, полезная инфа на не все же есть чето я забыл про него как-то
|
|
|
|
03.07.2007, 20:53
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677
Репутация:
472
|
|
на индексе висит
16.02.2007 16:59:35 - Обновление Rootkit Development Pack #4
125 статей, 37 исходников. В основном про NDIS, TDI, разработку и отладку (для новичков)
Новость добавил apple
|
|
|
|
03.07.2007, 20:56
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Сообщение от invlose
Получение DRIVER_OBJECT Great (4) руткитс
Ну да, это я ) В смысле в этой теме я забыл его упомянуть.
|
|
|
|
03.07.2007, 22:33
|
|
Участник форума
Регистрация: 16.06.2007
Сообщений: 107
Провел на форуме:
725870
Репутация:
208
|
|
ок. спс всем, пойду разбираться |
|
|
|
04.07.2007, 09:34
|
|
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233
Репутация:
2726
|
|
Странная терминология у тебя =) Колец защиты в винде используется два - 0 и 3. 1 и 2 не используются изза совместимости (как меня она бесит, если выкинуть лишний код в винде, она станет в н раз меньше и в н раз быстрее)
Грит не тупи) Для тебя любое кольцо защиты (даже из американского боевика про роботов) - это обязательно конкретизируется в кольца защиты в микропроцессоре ; )
Ведь тоже с терминологией проблема:
Нет, SDT это таблица локальных функций.
; )
Последний раз редактировалось KEZ; 04.07.2007 в 09:36..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
