"поискать на багтраке" не совсем понял что это? Дебаггер? "перехват CreateProcessWithLogonW" А потом можно выполнить свой шеллкод (типа как в твоих статьях)и запустить тред? и тогда у этого кода будет приоритет админа? я так понимаю? По правам администратора: ты на практике проверял что 95% с именно такими правами?
Ну это всмысле поискать на любом сайте публикующем уявимости в ПО. Все гораздо проще. В эту функцию передается имя пользователя и пароль. Пример смотри в сорцах FuckLogon. Да, это статистика по большому количеству загрузок.
Ms Rem Все это отлично, помоему тут замкнутый круг, т.к. FuckLogon перехватывает пароль только после перезагрузки, я прав?
Ну дык реализация там такая. Тут главное принцип, а похукать юзермодную апишку можо многими способами.
Ты абываешь то, что драйвер можно установить и запустить с помошью SCM. При этом ZwLoadriver будет вызван процессом services.exe который обычно загружает драйвера с типом старта SERVICE_AUTO_START. так зоналярм и говорит, что стартует драйвер, а запускает его services, это понятно, но например у меня нечасто стратуют драйвера, (не мои конечно), и рассчитывать на непродвинутых пользователей неинтересно. Обойти зоналарм в юзермоде с помощью инжекта в довереный процесс, сделать это можно Практика показала, что этот метод отжил Никто не отжил, еще можно юзать, но вот я например, обленился и писать базонезавимый код меня напрягает.
A_Must_Loll Ну это уже выдающиеся личности, которым возможно или когда они камп покупали или когда инет тянули ктото фаер поставил. Таких ламеров мало
Или наоборот большинство. В большинстве случаев ставят фаерволл с настройками по умолчанию и считают что у них непробиваемая защита. По крайней мере так оно было год назад в маленькой локалке в студенческой общаге. Не думаю, что ламера с тех пор поумнели.
2Ms Rem: >> Хотя оутпост обходиться довольно простым кодом Да ясно все это.. Но, как бы там ни было, как-то спокойней с файером.. И вообще, правильно Рем говорит, ненастроенный файервол - огромная дыра в защите..
2Ms Rem: Обходится все (даже ProcessGuard) кроме , IMHO, Anti-Hook. Там - полный перехват NtWriteVirtualMemory =( но AH жутко невзрачен и неудобен и вряд-ли у кого стоит =) ProcessInject и ныне жив =)
