[WinXP] ws2_32.dll -> подмена системной .dll (Отслеживание)

Тема в разделе "WASM.WIN32", создана пользователем MuForum, 30 мар 2010.

  1. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    ohne
    Бред,
    открой сам ws2_32.dll на win7 x64 через PE редактор и убедись в отсутствии оной.
    Clerk
    Мне кажется проще удалить/заблочить ws2_32.dll в KnownDlls.
     
  2. K10

    K10 New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2008
    Сообщения:
    1.590
    Интересно, как например Process Explorer верифицирует модули?
     
  3. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    K10
    Wintrust.WinVerifyTrust().
    d2k9
    Каким образом, кроме изменения прав доступа ?
     
  4. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    K10
    Читает сигнатуру сертификата.
     
  5. blast

    blast New Member

    Публикаций:
    0
    Регистрация:
    8 мар 2008
    Сообщения:
    170
    ZwMakeTemporaryObject
     
  6. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    blast
    Эквивалентно. Обьект из директории нельзя удалять, грозит общим крахом.
     
  7. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    GoldFinch
    Бгг, а вы думаете есть ws2_64? ;) *ROFL*
     
  8. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Clerk
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ExcludeFromKnownDlls
    Но вариант с изменением доступа к секции мне кажется тоже неплох (есть НО: глобализация для всех приложений, мап адрес терь не совпадёт с другими в процессах и т.д.) - надо его протестить.
     
  9. blast

    blast New Member

    Публикаций:
    0
    Регистрация:
    8 мар 2008
    Сообщения:
    170
    ничем не грозит.
     
  10. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    d2k9
    Придётся ребутаться.
    blast
    Вас не спрашивали.
     
  11. MuForum

    MuForum Member

    Публикаций:
    0
    Регистрация:
    11 мар 2007
    Сообщения:
    109
    Это актуально только для Windows XP, 2003.
    - А вот для Vista/Seven, это уже не актуально =(
    - Или в этих ОС просто другая директория?
     
  12. MuForum

    MuForum Member

    Публикаций:
    0
    Регистрация:
    11 мар 2007
    Сообщения:
    109
    Оказывается в Windows Vista, 7 такой папки нет, вообще система защиты данных другая.
    - Windows Resource Protection (WRP)
    "C:\Windows\winsxs\"
     
  13. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Clerk
    Так ведь зловред сам всё делает с полным осознанием оного - мы ведь не трой кодим ;)
     
  14. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    d2k9
    Ребутит ось ?
    Вобще всё это в юзермоде дрочево, имхо. Имеет чисто теоретический интерес.
     
  15. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Угу, полностью согласен.
     
  16. s_d_f

    s_d_f New Member

    Публикаций:
    0
    Регистрация:
    15 май 2008
    Сообщения:
    342
    Не знаю есть-ли 100% способ определения подложной библиотеки.
    К примеру у меня есть полный исходник библиотеки ntdll.dll для WinXP которая во все процессы мапируется. Правда сделав изменения я её сперва в VirtualBox`e тестирую.
    Для наибольшего усложнения возможности подмены для зловреда можно:
    1. Файл загруженный в память сравнить с тем что находится в системной или другой папке, и скорей всего придётся ограничиться использованием NATIVEAPI функции, что и будет работать в большинстве случаев.
    2. Реализовать самые важные АПИ внутри своего exe, диззасемблировоть ws2_32.dll и далее уже разбираться.
     
  17. blast

    blast New Member

    Публикаций:
    0
    Регистрация:
    8 мар 2008
    Сообщения:
    170
    Я что-то не правильно написал или что?