Инжект под учетной записью без прав администратора?

Rel
Про малвар я пока не думаю, может быть в будущем. Пока чисто в образовательных целях(я серьезно). Про Клерка знаю . Зарегался на днях,но на форум и раньше заглядывал. Конечной целью инжекта должно стать создание чего-то вроде трейнера для какой-нибудь древней игрушки. на codeproject.com есть статейка на этот счет,но там автор использует CodeCaves. Последняя техника для меня пока вообще темный лес. Всвязи с чем и создал топик в WASM.WIN32 про остановку потоков. И к тому же
"создание потоков - палево" (c) Клерк (может даже дословно).

ziral2088
Спасибо. У меня стоит VirtualBox с семеркой,а вот WinDbg нет. Не знаете где скачать можно?(Я про этот отладчик вообще ничего не знаю).

 

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

 

AndjellaArtavazdovna
Очень интересно.. вот сам термин инжект в том виде, в котором вы его понимаете сегодня уже не существует. Раньше под инжектом понималось внедрение в удалённый процесс/поток на 3-м кпл, сейчас это внедрение на нулевом кпл. Любые движения в юзермоде вне своего процесса это палево.

 

буду счастлив узнать как перевести приложение в нулевое кольцо под учётной записью без прав админа
переход в нулевое кольцо описанный в ремовской статье к несчастью возможен только под админом

 

6opoDuJIo
Ну есть способы, только не паблик они. Вам нужно очень постораться чтоб вас просвятили.

 

я об этом догадывался

 

6opoDuJIo
http://68.233.235.195/kmax/security-uac.aspx.htm

найди что то подобное и обходи все что движеться

 

6opoDuJIo
Начните с ресерча альтернативной малвари. Там множесто сплоетов используется не закрытых полностью. Даже описывается на кернелмодинфо и прочих подобных ресурсах. Полноценные уязвимости слишком ценны чтобы о них писали.

 

что имеется ввиду под понятием сием?

 

тдл и прочий гун рабочий. Это относительная оценка, ведь ни один авер даже с нопогенераторами не может справится, про проты вобще и речи быть не может, авер знает лишь то, что давно было описано. Вобще начинать нужно с изучения архитектуры, а не с всяких инфектов и тп.

 

прошу прояснить

 

6opoDuJIo
TDL,TDSS в гугл вбей.

 

TDL вбивал
думаю что Texas Digital Library врятли имеет отношение к инжекту
равно как и "Трактор ХТЗ" который тоже появился в результатах)

 

tdl malware нопремер

 

нашёл по запросу TDSS,спасибо
заодно параллельно узнал ещё один способ помещения своего кода в GUI процесс

 

инжект через окно, который описывал Твистер не особо актуален в винде старше хп, частенько dep мешается))) если вы об этом канеш)))

 

не,я не об этом
в общем,посылая сообщения окну делаешь так,чтобы функция GetDlgItemText( или подобные)передали внутрь приложения твой шеллкод, не содержащий нулей(какбудто я ввёл этот шеллкод в edixbox)
после чего какимто образом я должен передать управление этому шеллкоду

 

а, ясно... мое замечание про dep в принципе корректно и для подобных вещей, да и для многих шняжек, выполняемых на стеке... не то чтобы dep - гроза кулхацкеров, но некоторые вещи мелкомягкие всетки им прикрыли...

 

Spooler Injector
http://www.sendspace.com/file/d3rwgr

 

Clerk
См. #23. Раз уж на то пошло,давайте определимся с понятием инжекта. Я всегда считал,что под инжектом понимают внедрение ДЛЛки в АП чужого процесса вне зависимости от уровня привелегий процесса выполняющего эту задачу.

Внедрение чего? Исполняемого кода в любом виде или обязательно ДЛЛ? Если я пропишу шеллкод по какому-то адресу и передам управление на этот адрес,но внедренный код не будет загружать ДЛЛ,это будет инжектом? Является ли инжектом внедрение и исполнение кода в чужем процессе вне зависимости так сказать от формы внедряемого кода?

Это значит что весь ring3 - малвар за исключением классических вирусов нежизнеспособен? Все более или менее серьезные вирусы
сейчас работают в ring0?