[WinXP] ws2_32.dll -> подмена системной .dll (Отслеживание)

d2k9 · 31 мар 2010

ohne
Бред,
открой сам ws2_32.dll на win7 x64 через PE редактор и убедись в отсутствии оной.
Clerk
Мне кажется проще удалить/заблочить ws2_32.dll в KnownDlls.

K10 · 1 апр 2010

Интересно, как например Process Explorer верифицирует модули?

Clerk · 1 апр 2010

K10
Wintrust.WinVerifyTrust().
d2k9

Мне кажется проще удалить/заблочить ws2_32.dll в KnownDlls.
Нажмите, чтобы раскрыть...

Каким образом, кроме изменения прав доступа ?

d2k9 · 1 апр 2010

K10
Читает сигнатуру сертификата.

blast · 1 апр 2010

Каким образом, кроме изменения прав доступа ?
Нажмите, чтобы раскрыть...

ZwMakeTemporaryObject

Clerk · 1 апр 2010

blast
Эквивалентно. Обьект из директории нельзя удалять, грозит общим крахом.

d2k9 · 1 апр 2010

GoldFinch

64разрядная ws2_32, ну да... ну да...
Нажмите, чтобы раскрыть...

Бгг, а вы думаете есть ws2_64? *ROFL*

d2k9 · 1 апр 2010

Clerk

Каким образом, кроме изменения прав доступа ?
Нажмите, чтобы раскрыть...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ExcludeFromKnownDlls
Но вариант с изменением доступа к секции мне кажется тоже неплох (есть НО: глобализация для всех приложений, мап адрес терь не совпадёт с другими в процессах и т.д.) - надо его протестить.

blast · 2 апр 2010

Эквивалентно. Обьект из директории нельзя удалять, грозит общим крахом.
Нажмите, чтобы раскрыть...

ничем не грозит.

Clerk · 2 апр 2010

d2k9
Придётся ребутаться.
blast
Вас не спрашивали.

MuForum · 2 апр 2010

Flint_ta сказал(а):

А от куда система восстанавливает файлы если "сообразила. что ее подменили"?
Нажмите, чтобы раскрыть...

C:\WINDOWS\system32\dllcache

если и там подменили, то все )
Нажмите, чтобы раскрыть...

Это актуально только для Windows XP, 2003.
- А вот для Vista/Seven, это уже не актуально =(
- Или в этих ОС просто другая директория?

MuForum · 2 апр 2010

Оказывается в Windows Vista, 7 такой папки нет, вообще система защиты данных другая.
- Windows Resource Protection (WRP)
"C:\Windows\winsxs\"

d2k9 · 2 апр 2010

Clerk

Придётся ребутаться.
Нажмите, чтобы раскрыть...

Так ведь зловред сам всё делает с полным осознанием оного - мы ведь не трой кодим

Clerk · 2 апр 2010

d2k9
Ребутит ось ?
Вобще всё это в юзермоде дрочево, имхо. Имеет чисто теоретический интерес.

d2k9 · 2 апр 2010

Угу, полностью согласен.

s_d_f · 2 апр 2010

Не знаю есть-ли 100% способ определения подложной библиотеки.
К примеру у меня есть полный исходник библиотеки ntdll.dll для WinXP которая во все процессы мапируется. Правда сделав изменения я её сперва в VirtualBox`e тестирую.
Для наибольшего усложнения возможности подмены для зловреда можно:
1. Файл загруженный в память сравнить с тем что находится в системной или другой папке, и скорей всего придётся ограничиться использованием NATIVEAPI функции, что и будет работать в большинстве случаев.
2. Реализовать самые важные АПИ внутри своего exe, диззасемблировоть ws2_32.dll и далее уже разбираться.

blast · 2 апр 2010

Вас не спрашивали.
Нажмите, чтобы раскрыть...

Я что-то не правильно написал или что?

Войти или зарегистрироваться

[WinXP] ws2_32.dll -> подмена системной .dll (Отслеживание)

d2k9 Алексей

K10 New Member

Clerk Забанен

d2k9 Алексей

blast New Member

Clerk Забанен

d2k9 Алексей

d2k9 Алексей

blast New Member

Clerk Забанен

MuForum Member

MuForum Member

d2k9 Алексей

Clerk Забанен

d2k9 Алексей

s_d_f New Member

blast New Member

Войти или зарегистрироваться

[WinXP] ws2_32.dll -> подмена системной .dll (Отслеживание)

d2k9 Алексей

K10 New Member

Clerk Забанен

d2k9 Алексей

blast New Member

Clerk Забанен

d2k9 Алексей

d2k9 Алексей

blast New Member

Clerk Забанен

MuForum Member

MuForum Member

d2k9 Алексей

Clerk Забанен

d2k9 Алексей

s_d_f New Member

blast New Member

Быстрый поиск