VmWare + WMKeeper (WebMoney) какие проблемы

ой, да на кипере уже стопицот лет навешана самая обычная армадилла...

 

kaspersky

Хм. CreateFileA(W), DeviceIoControl. Ах да еще DeleteFile. Клроче драйверов не создается, а вот CreateFileA(017BFFA0: "\\.\PHYSICALDRIVE0" ...
или CreateFileA(017C0000: "\\.\SCSI0:", C0000000, 00000003, ... это нужно проработать.
Собственно и CreateFileA(76D55900: "\\.\Ip", 20000000, 00000003, ... тоже наводит на мысль.

Далее нет Process32Next и иже с ними. Т.е. видимо убрали.


я ставил шкипера на 100% чистый диск. Понятно я имел ввиду не установки шкипера, а уже работу установленного. При устнановке может быть (сроки присутствуют, но в удаленных файлах нет драйверов).
PS: Касперски не разу не ругался при установке на чистую машину шкипера, о том что ставится какой либо драйвер.

DeviceIoControl - я сейчас смутно помню работает ли со шкипером айс+айсext (т.е. айс с примочкой от защиты от его детеката), если же работает, то ставим бряк на DeviceIoControl и пишем все это дело в лог (юзая айс как логгер). Рустем лучше рулит
Мне бы лучше помогла irptrace.exe Кстати столь удобной утилиты я давно не встречал, только она мониторит с разбором всех пакетов, но к сожалению не фильтрует принадлежность к конкретному процессу. Т.е. Мне нужно что, как и где читается пишется на диск - а без разбора пакета это невозможно.

 

щас меня опять обозначат ламером или варваром, но я иногда маньячу, когда приходится разбирать логи, на которых нет и не может быть в принципе привязки к конкретным процессам, скажем, снифая трафик на уровне TDI мы не можем сказать какому процессу направляются пакеты, ну и т.д. что я делаю в этих случаях? с помощью того же айса ловлю переключение контекста процессов (2allкто знает более короткий путь, чем через CR? и так чтобы работал на всех системах, т.е. без привязки к не экспортируемым функциям ядра[/b]), и создают лог со штампом времени. ну а потом сравниваю два лога, на предмет соответствия штампов времени. на одноЦПшных машинах хорошо рулит тот факт, что при завершении I/O ожидающий его поток обычно сразу же получает управление независимо от своей очереди и потому мы получаем достаточно хорошее соответствие между штампами времени в обоих логах. конечно, предложенный метод имеет очень много проблем, поэтому, я его не предлагаю
по поводу создания драйверов. ну у меня только два предложения, либо сейчас все уже поменялось и драйвера действительно уже не создаются, либо же... ну я не знаю. но ведь у меня же они не с неба свалились! R-Studio, которым я искал удаленные файлы, сканирует $MFT и ищет реальные файловые записи от NTFS, а не просто шарится по диску, т.е. вероятность ложных позитивных срабатываний (найти удаленный файл, которого никогда не было) на 100% исключена.
могу глянуть у себя в архивах и выслать версию шкпипера которую я ковырял, чтобы сузить круг подозреваемых, если кому-то интересно ее ковырять

 

2 kaspersky:

печально читать такие вещи... одни девелоперы не доверяют другим девелоперам (исследователям).

Крис, мы скоро дойдем до такого маразма, что ты сам не будешь доверять собственным статьям и собственным глазам ))

может твоим критикам для начала стоит почитать что нибудь попроще:
http://ayvan-shah.ru/?p=17

 

4apa

Конструктивная критика всегда в почете. Более того если отсеять пафос и беспочвенные высказывания в топике, то не все так плохо. В остальном наверное просто достали человека...

kaspersky
Да точно штамп времени. Ведь он создается и в API шпионе Рустема (kerberos он его назвал, а не система аутенификации см. топик 40 ) и утилитой irptrace.exe - если сопоставить DeviceIoContorl первого лога и второго - получим картину. Кажись попался шкипер, посмотрю для чего ему прямой доступ к диску. Спасибо Крис натолкнул на мысль.

Про создание драйверов. 1. Либо они вообще в новой версии не создаются, 2. либо создаются при установке. PS: в папке temp я не удосужился проверить (system32 проверил) потому не утверждаю что их нет вообще.

Вот только одно антивирус Касперски (проактивка по максимуму) начиная от запуска шкипера (блин хорошее слово) до работы в последнем ни разу не ругается о наличии скрытых драйверов.
Поиск в памяти (kernel mode) слова winio - а оно должно быть - (это имя драйвера) ничего не дал. Т.е. при своей работе (не при установке повторюсь) никаких дровов шкипер не пользует. Естественно в списке объектов устройств таких дровов тоже нет.

PS: С наступающим годом крыса.

 

все добавляю шкипер еще читает:

1) паспорт винта 0 (ATA комманда IDENTIFY) это через SCSI интерфейс IOCTL_SCSI_MINIPORT ()
2) и геометрию диска 0 IOCTL_DISK_GET_DRIVE_GEOMETRY.

Естественно первый параметр варю выдает с потрахами, только вот информация передается в шифрованном виде так называемый HardwareID. Т.о. если еще добавить МАС адрес сетевухи, то сложится полная картина. PS: проверю еще работу с реестром

 

... гм что собственно и не удивительно.

Вебманя передает уникальный ID на сервак и ...

 

PROFi
в смысле не проверял temp? у тебя какая fs?
в $MFT каталогов нет, и чтобы выяснить в каком каталоге лежит удаленный файл, это же еще в индексы смотреть надо. любой нормальный редактор диска для NTFS показывает $MFT и там легко посмотреть какие дравера создавались...
скорее всего это будет TEMP или текущий каталог. или корневой. сам каталог я не смотрел, т.к. оно мне было не сильно надо. сам winio.sys по названию - довольно известный драйвер, открывающий доступ к портам I/O с прикладного уровня. его юзают многие проги и который создает _огромную_ дыру в безопасности, поскольку, в нет нет никаких проверок "кто ты есть" и его может юзать любое приложение, если он только установлен в системе...

в памяти строк winio.sys может и не быть, т.к. они могут быть зашифрованы, то ZwLoadDriver по идее должен сработать, если только шкипер не использует свой собствнный загрузчик драйверов, что навряд ли. почему не ругается антивиурс - ну, вообще-то, разработчики шкипера могли найти путь как его обойти, а обходить его им все равно пришлось бы, иначе бы саппорт просто взорвался бы звонками от толпы пользователей.

 

kaspersky

Значит есть что искать.

Специально ставил FAT32 (под виртуалкой). А TEMP каталог одинаков в обоих системах. В каталоге system32\drives ничего не создается.

winio.sys - точно может и не быть, а вот "winio" В КОДИРОВКЕ UNICODE должно быть - ибо это имя устройства(я имею ввиду память ТОЛЬКО kernel mode, в user mode такая строка есть WMClient.dll). Есть один неприятный момент - если этот драйвер действительно открывает доступ к портам, то ему вообще устройство не нужно создавтать.


Во еще один момент. Если перепрошить firmware винта на другой - шкипер требует активации, т.е. техническая инфа c сектора поизводителя точно пользуется в формировании HardwareID.

Кстати Крис гре хранится этот сектор (IDENTIFY) эмулируемого винта в варе (ресурсы посмотреть или где в другом месте).

Кстати, учитывая все вышесказанное, если новый версии 3.5.х.х. версии шкипер классик не грузит дрова, то все подозрения (за исключением МАС) с него можно снять.

 

2 PROFi:

Не надо с него снимать никакие подозрения! ))
Лучше продолжим наше расследование преступной деятельности Шкипера по разбазариванию пользовательских приватных данных по непонятно каким серверам (ну минимум на сервер авторизации приватную инфу они скидывают !)...

Расскажу Вам свою историю бодания со шкипером (версия не помню уже какая была год назад, время действия - май/июнь/июль 2006 года...)

Пишу значиться я стандартный ВМ-граббер (чтобы типа поднять маленько бабла ну и в образовательных целях естессно). Для облегчения задачи передо мной журнал Хацкер (ну там поц пошагово расписывает, как снимать оконные сообщения, в общем все делаю в Дельфях 6.2, стараюсь писать в хорошем ООП-стиле, чтоб самому приятно было ))

Короче говоря- прога почти работает. Дажидается авторизации юзера в ВМ-системе, и потом стандартно закидывает сообщения в окошки, типа перевожу ВСЮ сумму с каждого кошелька на другой ВМ-ид.

Но тут Сталкиваюсь с аномалией- висит окошко, где нужно прописать сумму перевода, в нем же висит текстовое поле, где видна максимальная сумма перевода, но получить эту строчку стандартной мессагой wm_GET_TEXT (я уже не помню точно как она правильно пишется, не пинайте, т.к. я давно отошел от активного программинга).

Запускаю WindowScanner (российская тулза, у тутошнего большинства она должна быть). Он беспроблемно тыкает это Статик-текстовое поле и показывает мне строку, с правильной суммой на кошельке.

Тут я долго чесал репу (пока пытался все таки выдрать эту строчку программными средствами) и матюкался на всех, в том числе главного создателя Виндоса ))

Потом до меня наконец-то дотумкало, что это сам хитрожопый Шкипер все таки пасет список запущенных процессов и все таки сливает его куда совсем не следует ... Ну и вдобавок в каком то месте меняет системный код Виндоса или на худой конец убивает мои мессаги этому злосчастному окошку, где лежит заветная циферка...

Пришла мысля, что надо бы как то прикрыть свои процессы от столь наглого слива
Лана, средства вроде есть для этого.

Кажися решил заюзать phide (вроде бы), но он только стабильно радовал меня синим экраном (после запуска проги с параметром- PID моего троя), т.е. ребут и все тут. Причем как внутри WinXP+ VirtualPC 5.2, так и под основной WinXPsp2ru.

Я нарыл сорс товарища ....(фио вылетел, потом напишу). Там прога на Сях получает системный список процессов и исключает целевой процесс из этого списка (как бы удаляет элемент списка).
Ну лана... Скомпилил ее на VC 6.0, результат- только BSOD-ы.
Думаю надо подколбасить прогу, но так как в Сях далеко не гуру (и чето нет желания , конвертнул текст в Пасцаль, сижу типа, разбираюсь, че там уходит в ядро, какие там реально возвращаются адреса функций. дебажу короче (под ВинАйсом кстати, чтоб не было лишних вопросов).

Короче проколупался так довольно долго (два дня гдето).
Извлек единственную трезвую мыслю- ВСЕ параметры в коде передаются правильно, код написан правильно, но Виндос получает все это правильное дэмо и все равно уходит на БСОД.
Причем ситуация аналогичная как под хост Виндой, так и под ВиртуалПиСи-Виндой.

Короче ВиндОсе просто пофик. Все детали теряются в гребаном коде kernell32, дальше я не полез, т.к. с головой пока вроде дружу

Что еще Вам сказать о крутости Виндоса и том, какая это удобная и производительная ОСа ?
Да, можно прОжить под нее, но никакой гарантии, что твой код будет работать нету. Даже если он правильный..

И не надо тут кричать РаммерЛабсу, что у меня кривые руки или мозги наоборот слишком прямые. Все стандартное, как руки, так и мозги.


У кого будут комментарии, товарищи ?


З.Ы. Да, чуть не забыл... Через пару недель у меня почему то сменился мой обычный пассворд на вход в кошелек. Почти два штукаря деревянных зависли там... Даже чето нет желания их оттуда доставать (это даже через год после описываемых событий!)..
Про другой кошель я уже писал- аналогично просто сменился пассворд (с этим кошельком вообще экспериментов не ставилось, просто закинул с карточки туда пару штук), рестор ключа не помог, Шкипер послад меня довольно дааалеко и все... На этом история кончается

 

del...

 

4apa

Эмоций много, а знаний видимо нехватает... Подкласификация окна - слышал про такое явление.