Здравствуйте. Собственно идея родилась после прочтения топика по определению прокси-сервера, ну для легальной программы проще можно и юзверя спросить А вот для вируса там или трояна... Суть такова, ставим хуки на connect, send и recv делаем копии данных передаваемых от приложения этим функциям (ну и получаемые тоже). Ну и собственно проводим разбор на соответствие требуемым нам протоколам и частоту запросов, допустим на порт 8080 конкретного сервака поступила 100 HTTP-запросов можно сделать вывод что он и есть искомый прокси. Это конечно грубое пока приближение к реальности но смысл в общем такой. Реальность конечно внесет свои коррективы, тот же файрвол следит за тем какие приложения, что и куда шлют. Так-что вопрос прилагаемый к идее таков: имея данные о приложении которое работает с прокси можем ли мы закосить под него и отправить от его имени запрос так чтоб он (файрвол) нифига не заметил?
R>Так-что вопрос прилагаемый к идее таков: имея данные о R>приложении которое работает с прокси можем ли мы R>закосить под него и отправить от его имени запрос так R>чтоб он (файрвол) нифига не заметил? Маловероятно, разве-что надуть юзера. Список допушенных к инету процессов, определяет пользователь, а например ZA, проверяет эти файлы, перед тем как выпустить в сеть, контрольной суммой(в случее не совподения об этом сообщается пользователю).
Погоди какие файлы? Приложение создало конект с прокси сервером и шлет ему запрос на получение каких-то данных от какого-то сайту в контексте этого конекта мы допустим пихаем свой сенд с этим же сокетом но со своими данными, и при получении данных от сервака мы их просто не отдаим назад приложению, а пропустим только те которые запрашивло приложене. Какие контрольные суммы? По идее конект-то создает допущеное к работе в сети приложение.
кстати, есть вполне легальная прога на ту же тему: Atelier Web Firewall Tester http://atelierweb.com/awft/index.htm занимается как раз тем, что вы описали. что касается проверки файрволом контрольных сумм, то хочу заметить, что файрвол считает контрольную сумму исполняемого файла на диске, а не в памяти а когда ты "присоединился" (тем или иным способом) к процессу, файрвол этого не заметит... ну если только антивирь... и то не всегда
To kyprizel насчет передачи данных может я и загнул, но овчинка выделки стоит, во первых многие компы закрыты от внешней сети файрволом, и сия выходка позволит обойти его эт раз. Во вторых такой троян сможет управляться коммандным файлом допустим отправленным ему по мылу или выложенным по фтп. А во вторых довольно сложно будет обнаружить такого наглеца.
