Перехват send

Clerk · 19 июл 2010

Charm0nt

почему если для подмены выдачи поисковиков, то способ не является жизнеспособным? И о каком именно способе идет речь?
Нажмите, чтобы раскрыть...

Патч. Обнаруживается элементарно всеми детекторами, снимается также.

Также, что вы можете сказать о библиотеке от Ms-Rem для перехвата API? Актуальна ли она?
Нажмите, чтобы раскрыть...

Не актуально.

Charm0nt · 19 июл 2010

Clerk

Патч. Обнаруживается элементарно всеми детекторами, снимается также.
Нажмите, чтобы раскрыть...

Ага, понятно. Да мне, главное, чтобы эффективно работало и не очень сильно расходовало системные ресурсы. Это пока что на первом месте для меня.

Не актуально.
Нажмите, чтобы раскрыть...

Что посоветуете использовать? В каком плане "не актуально"? В плане установки перехвата или в плане используемых функций для этого? Есть какие то актуальные библиотеки для перехвата (Delphi), или лучше все пробовать реализовывать самому?

Сорри, что задаю много вопросов, но я хочу научиться.

Clerk · 19 июл 2010

Charm0nt
Троян не должен использовать патчи. Вобще нельзя изменять кодосекции. В связи с этим я даже не рассматриваю всякие движки для сплайсов и тп. как годные для использования(ну разве что для отладки и в качестве надстроек в легальном софте). Актуально такое было лет 6%7 назад. Технологический уровень обоих сторон растёт.

Charm0nt · 19 июл 2010

Clerk

Троян не должен использовать патчи. Вобще нельзя изменять кодосекции. В связи с этим я даже не рассматриваю всякие движки для сплайсов и тп. как годные для использования(ну разве что для отладки и в качестве надстроек в легальном софте). Актуально такое было лет 6%7 назад. Технологический уровень обоих сторон растёт.
Нажмите, чтобы раскрыть...

А, имеется в виду под "Патчи" - установка перехвата чужом процессе (то есть изменяем память)?

А трояны, типа Zeus и т. д. работают разве не с помощью таких технологий как сплайсинг и т. д. для перехвата API?

Clerk · 19 июл 2010

Charm0nt
Имеется ввиду изменение секций с кодом в модулях.

Clerk · 19 июл 2010

А трояны, типа Zeus и т. д. работают разве не с помощью таких технологий как сплайсинг и т. д. для перехвата API?
Нажмите, чтобы раскрыть...

Работают, но троянами называются чисто условно. По сути это не трояны.

onSide · 19 июл 2010

как-то через одно место все.
Как может быть неизвестен размер данных которые вы хотите вставить? Указатель в send заменяете на свой, в котором ваши данные. Зачем тут исключения какие-то, если большой размер VirtualAlloc, иначе HeapXxx. Че велсипед изобретать.

Charm0nt · 19 июл 2010

onSide

как-то через одно место все.
Как может быть неизвестен размер данных которые вы хотите вставить? Указатель в send заменяете на свой, в котором ваши данные. Зачем тут исключения какие-то, если большой размер VirtualAlloc, иначе HeapXxx. Че велсипед изобретать.
Нажмите, чтобы раскрыть...

Новый размер данных может быть запросто неизвестен. Например, если в отправляемом пакете обнаруживаю определенный байт некоторого значения, - значит делаю изменения (дополнения и т. п.). Таких байтов может быть много, значит размер нового блока данных не всегда известный.

onSide · 19 июл 2010

Charm0nt
вариант 1-просто юзаешь HeapReAlloc и делаешь что угодно
вариант 2-сначала определяешь на сколько изменить размер, и выделяешь память один раз, делаешь изменения.

И вообще сомневаюсь что у тебя будет такая побайтная замена по очень много раз на один пакет. Задача похожа на теоретическую, сначала попробуй реализовать самый простой для тебя метод и потом смотри подходит тебе или нет.

Войти или зарегистрироваться

Перехват send

Clerk Забанен

Charm0nt New Member

Clerk Забанен

Charm0nt New Member

Clerk Забанен

Clerk Забанен

onSide New Member

Charm0nt New Member

onSide New Member

Войти или зарегистрироваться

Перехват send

Clerk Забанен

Charm0nt New Member

Clerk Забанен

Charm0nt New Member

Clerk Забанен

Clerk Забанен

onSide New Member

Charm0nt New Member

onSide New Member

Быстрый поиск