ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи > Авторские статьи
Перезагрузить страницу Заканчиваем с фаерволами! (Часть 3)
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Заканчиваем с фаерволами! (Часть 3)
  #1  
Старый 18.05.2008, 23:44
desTiny
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839

Репутация: 1502


По умолчанию Заканчиваем с фаерволами! (Часть 3)
1) Вступление
Итак, после публикации двух статей из этой же серии (ссылки на них даны в конце), остался не раскрытым один-единственный аспект - как же всё-таки тихо и незаметно запустить процесс? В этой небольшой статье я продемонстрирую обнаруженный мной при весьма загадочных обстоятельствах способ запуска процесса. А заодно уж, этот метод можно расширить и до того, чтобы малой кровью скрыть программу из списка процессов. Но это я уже оставлю на совесть читателя - искушенный это сделать сможет, а у меня нет никакого желания делать так, чтобы этим мог восполизоваться каждый.

PS Я могу ошибаться, но, вроде, этот способ основан на баге винды.

2) Идея Запуска Процесса.
Что говорит фаервол при попытке Запуска Процесса? Что программу, дескать, он не знает, и верить ей не хочет. Значит надо влезть в другую программу, которой он доверяет. Но все стандартные способы этого уже давно известны, и давно пресекаются нашими доблестными защитниками.
Ладно, не будем увлекаться пустым трёпом и перейдём к делу.
Мной (не знаю, первый ли я, кто додумался до такого, или нет - не суть важно) была обнаружна интересная вещь - если программа подгружает библиотеку, устанавливающую ловушку (Hook), а затем завершается, то
  • Библиотека из памяти не выгрыжается
  • Библиотека запускается в контексте процесса, вызвавшего хук
  • Каждый раз выполняется код инициализации библиотеки

Исходя из этого, мы можем создать библиотеку, которая бужет выполнять всё нам нужное, добавить в неё хук, а в основной программе только подгружать библиотеку и устанавливать этот Хук, после чего честно заканчивать работу.

3) Реализация
Качаем тут (Delphi, заускается обозреватель на яндекс)
(прямой линк - http://redxak.net/antifire/AntiFire3.rar)
на слиле - http://slil.ru/25805088 (20 кб, не так уж и тяжело...)
4) Ссылки
Хитрый обход файрволов. Часть 1.
Хитрый обход файрволов. Часть 2.

(c)desTiny aka 73ru5, 2008
Antichat.ru/Redxak.net

Исключительно в ознакомительных целях!

PS Не хотелось, всё-таки спускать в паблик... ну да ладно
__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
Последний раз редактировалось desTiny; 19.05.2008 в 16:34..
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
547 дней из жизни Яндекса. Часть 3 B1ade SЕО - тонкости, методы раскрутки 0 04.05.2008 10:49
547 дней из жизни Яндекса. Часть 1 B1ade SЕО - тонкости, методы раскрутки 0 03.05.2008 16:12
Мультимедийные Обучающие Курсы TeachPro Java VenTeL ПО для Web разработчика 8 24.04.2008 15:38
Часть информации с личных компьютеров будет содержаться в хранилищах Google dinar_007 Мировые новости 0 13.02.2006 04:20
Sql инъекция и Oracle, часть первая k00p3r Чужие Статьи 0 13.06.2005 11:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ