Как получить хендл библиотеки

Тема в разделе "WASM.WIN32", создана пользователем Коцит, 9 июн 2019.

Статус темы:
Закрыта.
  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Во первых это врядле возможно выполнить на данный момент, учитывая что механизмы защиты 10-ки вполне не известны, а мс другие версии не признаёт рабочими(судя по релизу сборки виндебаг, да её скачать даже нельзя).

    Ну а во вторых что тс нужно в этом модуле ?
    Там в основном загрузчик и ртл функции, копирование и конверсия строк к примеру. Ему нужны ядерные сервисы, те их фильтровать.

    Ну а в 3-их, даже из км образы не изменить. Оно проецируется в одну сторону и проекции между собой не связаны. Да, можно изменить источник в ядре(до отображения), но это сложно сделать, да и имея ядерный доступ такое не нужно.
     
  2. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.186
    Адрес:
    подполье
    Про отладчик на все процессы до сегодня не слышал, Инде. Да я уже лет пять ничего такого не слышал:)
     
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Отладчик это образно сказано, по цели самого механизма(просто стратует указанный процесс с командной строкой). Этот механизм и в XP есть и в 8-ке, но это не нэйтив(те не в nt-загрузчике). Туда же пишется и верифер, IFEO - конфигурация теневая апп формируемая по имени апп.
     
  4. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82

    Можно еще у этого дядьки трюки позаимствовать. В любом случае это бесполезно, руткит в юм - гиблое дело. Разве что от юзверя прятаться, но тогда можно просто внедрить свой код в explorer ( или куда там обычно инжектятся) и все.
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    админ нужен, и это уже давно Sysinternals Autorun подсвечивает... но да, это работает...
     
  6. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Ну так то да, идея бредовая, хотя в ХР вроде работало. Но тут какой вопрос, такой и ответ.
    в КМ дров нужен (т.е. скилл написания его) и особый серт.
     
  7. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    ну в теории известные малварщики обходятся без серта, нужно только найти уязвимый драйвер с действующей подписью, грузить его, экспуатировать уязвимость в нем - и ты в км... не помню по номерам, но многие апт так делали... но так да, нужно еще подумать о патч-гарде, об аверах, которые тож в км обитают и тд... по мне куда проще инжектиться в экплорер или аркестратор браузера (тот процесс, что живет в обычном интегрити левеле), и оттуда уже что-то делать... надо просто иметь ввиду, что какой бы ты крутой км руткит не сделал, все равно найдется тупой оператор для этого руткита, который сумеет наследить в ивент логах или еще где наоставлять артефактов, которые в итоге все спалят... в венде для форенсики просто пруд пруди фич...
     
  8. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    В км, но в левой памяти, которая не принадлежит какому либо модулю. Следовательно функционал ограничен, вечный access_denied, а еще патчгуард. Короче нужно гораздо больше работы проделать, чтобы из этого что-то вышло. Думаю APTшники так не надрываются и сертификаты просто достают где-нибудь, их спонсируют все таки.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    А причём тут руткиты, про них, аверов, сокрытие и тп речи небыло. Как бы тс хотел какие то манипуляции выполнить с образов в целевом процессе. Какие есчо обходы, если он не понимает что такое описатель, адресное пространство и прочие базовые понятия. Кто то не читая тему пришёл рассказывать про облом аверов, не уместно.
    --- Сообщение объединено, 11 июн 2019 ---
    hiddy,

    > Можно еще у этого дядьки трюки позаимствовать.

    Ионеску копается в свежих билдах ос и описывет новые механизмы. Они не имеют обратной совместимости с младшими версиями ос. Это очень специфическая инфа, там ничего интересного не публикуется. Загрузил последний билд ос, покопался и описал. Этот чел работает чисто на пиар, своей работы(разработок) у него нет и небыло, тупо ковыряние в ядре. Так что там читать нечего.
     
  10. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    Про сокрытие и тп речь была.
     
  11. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Кстати, когда-то думал над такой темой , но я не шарю в КМ (совсем).
    Насколько вообще реально юзать чужой драйвер? Ну вот взять дров от каспера или еще что - смогу ли я его загрузить в своей программе? Или нужно именно бажный дров и там искать дыру, чтобы выполнить свой ШК?
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    именно...
     
  13. Mikl___

    Mikl___ Супермодератор Команда форума

    Публикаций:
    14
    Регистрация:
    25 июн 2008
    Сообщения:
    3.792
    В связи со взаимными оскорблениями закрываю тему
     
Статус темы:
Закрыта.