Система контроля за сотрудниками компании Samsung - просьба покопать

Оно привязывается один раз - при регистрации нового сотрудника. Второй раз я не могу зарегистрироваться =)
По поводу запихивание всего что надо скрыть в виртуалку - а вам так было бы удобно?
Отсниффаю я непонятные криптованные данные, меняющиеся раз в час и толку?
ID/PASS дам приватно в руки с гарантией того, что оно не уйдёт не пойми с какого хоста в контору.

 

А вот этоттред вы видели? Имхо свич просто так ничего не отбросит. Может отбросить фаирвол, маршрутизатор, прокси-сервер и т.п. Свич слишком простое устройство, чтобы так тонко работать с пакетами. Если бы мне дали задание - ограничить доступ в интернет сотрудников, чтобы все фиксировалось, а без программы-фиксатора ничего бы не работало - самопальное шифрование (с расшифровкой на шлюзе, в роли которого я бы взял комп с двумя сетевыми) первое, что пришло бы в голову. В результате icmp ходить будут (поскольку содержимое данных не существенно - я отправил 32 байта, на шлюзе они "дешифровались" и ушли куда хотели. Ответ на шлюзе опять "шифруется", и возвращается), а все остальное будет принудительно "дешифровываться" и "зашифровываться" при пересечении шлюза. У кого этой штуки нет - вместо запрошенного получат бред (по-xor-енный или еще как-то преобразованный). Тогда нужна не "стучалка", а "шифровалка". То есть фишка не в том, чтобы оно докладало "в багдаде все спокойно", а НЕ докладало, но пакеты шифровало бы исправно ))) я бы на вашем месте попробовал проанализировать, что именно приходит тому, кого пингуете. Возможно, tcp-пакеты тоже доходят, но из-за своей бредовости откидываются? С внутренней сетью тоже самое - если стоит эта бяка у всех - то все друг друга видят, пока она у них есть. А если у двоих отрубить - эти двое будут между собой соединяться, но ни с кем из остальных. Правда, похоже на ваш случай?

 

Нет, не похоже. Админ говорит, что если клиент не прошёл аутентификацию на сервере в лондоне (incops3.exe) то на любой TCP пакет просто посылается RST.

 

По некоторым данным возможна работа в нете только с запущенным incops3.exe.

 

Админ скажет то, что нужно (по его мнению) тебе знать или то, что сказали ему.
Проверь - подбей убить процесс-шпион соседа по работе, и соединись с ним (попытайся). Если получится - то смысл аутентификации в обмене ключами, не более. Честно говоря, не знаю, как свич может дропать пакеты от кого-то, кто не прошел аутентификацию... Это ж тупо передаточное звено, ну с некоторыми дополнительными возможностями, но не с анализатором пакетов же! Уверен на 90%, что через свичи ваши пакеты ходят. А то, что выглядит как "дропает трафик", имеет иные причины.
Кстати, а что вернется в ответ на пакет, содержащий валидный заголовок, но бредовые инкапсюлированные данные? Есть подозрение, что как раз RST.

 

Админ свой +) Просто понятие не имеет как оно работает вообще. У самсунга очень много подразделений. В частности этот софт писал Samsung SDS, сеткой занимается Samsung Networks вместе с локальным админом. Все эти подразделения в разных концах планеты =)

Убить свои процессы оно не даёт - хуки на ExitProcess, TerminateThread и т.д. Нашёл в incops3 какие-то упоминания о файрволле (который отключен). Попробую поставить в варю фряху и посмотреть tcpdumpом что там за траффик летает.

Ещё одно важное замечание - на машинах стоит Symantec Endpoint security (там же есть и файр). Убить его нельзя, он восстановится сам после ребута =)

 

Справился сам =) Если кому нужна будет помощь с этим user-mode rootkit'ом - обращайтесь

 

Снять-то снял. Но нашлась одна мерзкая штуковина под названием Anywall3.dll которая прописана в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries и что-то делает с сетью. Она часть всё того же комбайна и без неё инет НЕ работает. Ни одно приложение работающее с ws2_32 не получает сокет.

http://www.uafile.net/file/6810/anywall3-dll.html

Никто не подскажет, что оно делает?

 

Она подменяет стандартную mswsock.dll В anywall3 перенесена функция WSPstartup
В свою очередь anywall3 использует несколько функций из WS2_32.dll - возможно хуки ставит.

 

Большое спасибо =) Теперь комбайн полностью снимается. Пишу утилитку =)