подскажите, как разлочить или просто отключить проверку пароля на ХР из ринг0? есть 1 способ (правда не связанный совсем с ринг0) - перехват ф-ции ntdll!RtlCompareMemory в IAT MSV0_1.dll процесса WinLogon, внутри если длина строки равна 0х10, то возвращать всегда "равенство". У этого способа есть как минимум 2 недостатка: 1) он слишком сложен (нужно перехватывать ф-цию: внедрять свой код, и т.п.) 2) он не работает в случае если идет удаленная авторизация (н-р доменная машина). для этого приходится вынимать сетевой шнурок, чтобы проверка прошла локально. т.о. ищется альтернативный способ.. если кто знает - поделитесь плиз?
Речь идет о пароле при входе в систему или при запуске от пользователя. http://www.wasm.ru/article.php?article=apihook_1 http://www.wasm.ru/article.php?article=apihook_3
речь идет о пароле при входе в систему. JCronuz не совсем понятно причем здесь перехват ф-ций.. (по ссылкам). мне нужны не методы перехвата, и методы обхода авторизации при логине или разлочивании..
В статье разбирался троян работающий по средством перехвата LogonUserA, LogonUserW, CreateProcessWithLogonW
z0mailbox мне достаточно только подменить результат этого чека возвращаемый на локальную машину. То что после такого логина эту машину не пустят ни на какие сетевые ресурсы - это не важно.. главное сменить десктоп с winlogon'овского на обычный пользовательский. так всежтаки, неужели больше нет способов кроме того, что я описал? что ещё можно перехватить?
ratix понятно ты считаешь что там результат BOOLEAN а не акцесс токен вопросов болше не имею, ответов тоже
z0mailbox ну зачем же язвить.. я ничего не считаю.. я всего лишь спрашиваю о вариантах решения проблемы.. пусть акцесс токен.. Но на каком-то этапе всеравно идет развилка - либо разлочить винду (и показать другой десктоп), либо оставить все как прежде.. впрочем, если это критично, то можно опустить вариант сетевой афентикации вобще.. т.е. - рассматривать только случаи локальной авторизации.
ratix локально - уже говорили - хук на RtlCompareMemory в msv1_0 при сравнении 16-байтовых блоков Это я кстати открыл лет 10 тому назад! опубликовано было на bugtraq.ru
