OUTPOST v 3.x

Такая проблема - если прибить фаер, то казалось бы можно творить все что угодно, однако, если прибить

Outpost, то напрочь блокируется доступ к интернету - никакие приложения не могут выйти в интернет!

Когда закрываешь Outpost как положено - он спаршивает: "Вы хотите остановить службу и закрыть приложение?"

Вот эта служба виимо и блочит... Как ее убить? В панели управления ее отключил и в реестре ключ запуска

самого Outpost-а подправил - было так outpost.exe /waitservice - убрал это /waitservice. Толку 0!

Если посмотреть в службах на путь запуска, то увидим что эта служба находится в самом аутпосте outpost.exe /service

Наверно при запуске Outpost.exe - происходит ее копирование в память...

Кто знает, как замочить службу?

 

оутпост работает не только на прикладном уровне,

но еще и уровне ядра, перехватывая ndis,

без своей службы он просто не может работать

и блокирует все, что только может заблокировать.



ты скажи, что тебе конкретно нужно

и не высаживайся на оутпост.

если только обойти фаер, так это без проблем



кстати, попробуйте дать команду

start homecraft.exe

или start homeless.com

ну или на худой конец start homemade.jpg



вы думаете, что вынь скажет таких файлов нет?

ха! я тоже так думал, пока не набрал.

объяснения - на oldnewthing

охрень короче. ненавижу когда винда пытается быть умнее, чем она есть.

 

На Outpost-то я не "высаживаюсь". Надо обойти его, а именно правильно прибить.

"без своей службы он просто не может работать и блокирует все, что только может заблокировать."

Наверно это служба без него не может работать... Т.к. процесс я прибиваю, а служба видимо остается и все блочит.

А команды эти не работают...

 

REFERI

почему именно отупост, а не, скажем, sygate?

что без чего не может работать - вопрос философский,

грубо: оутпост состоит из двух частей.

ядерная часть перехватывает сетевые драйвера,

и передает запросы в прикладную часть

(в твоей терминологии "службу"),

которая либо разрешает, либо запрещает их,

спуская свой ответ на ядерный уровень.

если службы нет, ядерная часть не получив ответа,

просто блокирует все.



чтобы прибить оутпост, тебе нужно как минимум

снять хуки с ndis, что в общем-то легко сделать,

если я правильно помню, ранные версии ставили jump на thunk,

просто считываешь код ndis.sys с диска и правишь

начало функций из своего драйвера.

 

Не знаю как первые версии, а от 2.0 и выше хукают экспорты ndis.sys

Но главная фишка в том, что снятие этих хуков оутпосту до 屁股, он продолжает работать как ни в чем не бывало.

На уровне ndis оутпост применяет весьма интересный метод фильтрации позволяющий его драйверу запускаться ПОСЛЕ tcpip.sys (тоесть он не отслеживает регистрацию протокола tcpip).

Кроме того он устанавливает tdi фильтр и Ip filter driver (но их обойти довольно просто по сравнению с ndis).

 

Ms Rem

ага, сейчас вспомнил.

я же описывал оутпост и вообще принципы работы фаеров

если интересно выложу статью на мышиный ftp

для всеобщего растерзания (ака критики).



REFERI

вот поэтому я и говорю "как минимум"

а так работы по "прибитаю" фаера будет очень много.

вопрос - зафига? если тебе нужно обойти его,

просто спроси как. только уточни - извне или изнутри



p.s. команды start home* _должны_ работать,

у меня работают. и раймонд чен объяснял,

что если имя файла, переданного шеллэкзекуте

начинается на home, и такого файла нет ни в путях,

ни в текущем каталоге - запускается браузер

 

Про оутпост я и сам достаточно знаю, очень много его копал, и кучу методов обхода перепробовал.

Если ты знаешь как оутпост работает на ndis уровне, то не стоит релизить эту инфу.

 

Ms Rem

я знаю три методики перехвата на уровне NDIS:

1) NDIS Intermediate Driver

2) Filter-Hook Driver

3) jump на thunk или патч экспорта

не помню какую использует оутпост.



кстати, перехват одного лишь ndis не позволяет

отслеживать подключение к локальным службам,

что есть бэд.



p.s. что значит "не стоит релизить"?

лично я не сторонник сокрытия информации.

 

Оутпост использует Filter-Hook Driver, патч экспорта и еще один способ. Они все дублируют друг друга.

Ну, это просто значит что скрывать нечего...

Я считаю, что релизить стоит только то, что тебе не пригодиться в будующем.

 

Ms Rem

еще один способ? надо будет ковырнуть.



> Я считаю, что релизить стоит только то,

> что тебе не пригодиться в будующем.

от того, что я чем-то поделюсь, от меня не убудет,

зато коллеги укажут на ошибки, которые я сам не заметил,

к тому же одни занимаются на программировании,

другие - на популяризации его же

 

Насчет команд - работает - браузер запускается, просто я думал что что-то другое должно произойти, - поинтереснее...

Теперь о главном: я себя чувствую полным кретином... Далеко мне еще до вас - еще воевать и воевать, постигать Дао...

{ 1) NDIS Intermediate Driver

2) Filter-Hook Driver

3) jump на thunk или патч экспорта

}

Ничего не понимаю... Хотел попробовать что-нить замутить, а то все учишься, учишься и уже хочется воплотить свои знания. Ан нет, какие знания - знаний-то и нет совсем. Вы мне скажите, как вы достигли своих знаний? Каким тернистым путем? Понятно, что для без ассемблера никуда...

Но как построить процесс обучения, чтобы он был максимально эффективным?

Буду признателен за любые пинки!

 

REFERI

конкретно по фаерам - много иннформации в SDK/DDK,

там даже примеры перехвата есть, только они фуфловые.

анализ фаеров намного более интересный и познавательный



очень неплохо попробовать написать свой фаер,

ну хотя бы простенький, работающий на уровне винсокс,

а потом постепенно спускаться в глубь.

и нефиг чувстовать себя кретином и высаживаться на измену,

я вот тоже как оказалось еще одного способа перехвтаа NDIS не знаю



на ftp://nezumi.org.ru выложил статью zq-firewall.II.zip

там немного о фаерах и путях их перехвата,

может, сгодится.

 

Тут еще есть - http://www.securitylab.ru/analytics/254727.php из нового.

 

Прочитал статью - мсрем зря волновался, в принципе статья непрограммерская, скорее позновательная. Это без обид сказано, не тот уровень. Публикуй ее - разберем ошибки и неточности. Добавленно: так это КК автор

 

много иннформации в SDK/DDK

SDK это Software Development Kit - он наверное очень много весит... Где можно взять и какой. И DDK тоже. Прошу дайте ссылку, чтобы я не зря качал, т.к. очень накладно выйдет.

 

Saint German

> Это без обид сказано, не тот уровень.

дык я ни на что и не претендую



> Публикуй ее - разберем ошибки и неточности.

что значит "публикуй"?

она уже опубликована. в хакере

теперь лежит на ftp, где ее может слить каждый желающий,

можно и на wasm'е опубликовать, если кому интересно будет.

буду признателен за сообщения об ошибках и прочую критику.



> Добавленно: так это КК автор

угу. кк.

 

Я думаю, что на васме ее не опубликуют, это 100%

 

ftp://nezumi.org.ru/ не фурычит (и вчера и сегодня)

 

все фурычит, но работает только когда мыщъх не спит

 

Что же он спит так часто?