запрет в приложенни remotethread, openprocess

самое простое - переключить контекст одного из потоков на внедренный шелл-код... шелл-код резервирует память, открывает процесс злоумышленника на чтение, и читает всю длл в резервированную область, затем выполняет точку входа длл в отдельном потоке, отпуская текущий поток и делая джамп на eip старого контекста...

 

смешно))) корпорации тратят миллионы, чтобы изобрести защиту от пиратов, а они все равно ее ломают за несколько недель... у вас есть миллионы?)

 

Ясно.
Опять, сперва нужно загрузить длл

 

Дык как вы внедрите шел код в мой процесс - опять WriteProcessMemory?

 

блииииин... читайте внимательней!

 

Был в командировке. Отосплюсь протестирую.

 

Виноват буду исправляться... не злись.

ага значит shared memory. а атрибут на этой секции будет EXECUTE? ну да ладно в любом случае ликбез - поэксперементируем. На первый взгляд выглядит оч. устрашающе )

 

xrc2

Я вас не хотел оскорблять, если вы понимаете подобным образом то работайте над собой.. Я имел ввиду что очень много что юзает эксплоиты повышающие привилегии, если вы не в состоянии это найти, то вам никто не даст, так скозать вы не из приблежённых, которым положено это знать. Данная инфа от школоты сокрыта, сами должны понимать. 0дея сдесь не будет это однозначно.

 

xrc2
Почитал топик.

Слышал звон, да не знал где он.. какие есчо хэндлы ?

Если доступен ядерный функционал(точнее нулевой кпл), то ядро как таковое не нужно для захвата вашей памяти, обьектов, потоков и прочего. Касательно памяти - необходим только базовый адрес каталога страниц вашего процесса. Ни о какой защите здесь и речи быть не может.

Нельзя, примитивный код я привёл в #68.

Релоки в данном случае не нужны, а значит и модуля.

Откройте же для себя разделяемую память. Это - аппаратный механизм(физический адрес страниц одинаков).

 

атрибут будет READ, но не что не мешает его изменить... единственная более-менее серьезная проблема начинается с висты... Data Execution Protection имеется ввиду... кстати в паблике эта тема уже года два, но на нее никто внимание особо не обращает...

да, я все хочу в эту тему копнуть, но все руки не доходят... точнее голова... ну я про то, чем я тебя в личке доставал пару месяцев назад))))

 

Вот это баянище на 5 стр. развели - и всё равно вывод будет что идеальной защиты не бывает и любую можно обойти. Как пример написав свой дров защиты можно не радоваться - его обойдут другим дровом И так до бесконечности - всегда на чужой машине тебя поимеют. Просто возможны вариации на тему как это сделают, сколько займёт это времени и экономически ли это обоснованно.

 

d2k9
"спасибо" кэп!

 

"КЭП, а чем можно вывести пятна от пятновыводителя?" (c)

 

DEP появился намного раньше и имеел программную а затем аппаратную реализацию.

 

Из r3?

 

а кто сказал, что DEP появился в висте?

да... структуры отражаются на пользовательское адресное пространство...

 

Вы

Структуры чего? Атрибутов защиты страниц памяти???

 

проблема появляется, не DEP... а появляется она из-за DEP... потому, что в висте надо добавлять исключения по процессам на DEP...

SHARED_INFO...

 

Чтобы сосчитать дельту SHARED_INFO придется считывать TEB из чужого процесса. Значит надо будет ReadProcessMemory юзать. Так ведь?

 

bendme

Что за ифо и дельто ?