запрет в приложенни remotethread, openprocess

не грузятся на х64 неподписанные дрова.

 

Вы шутите? Дать права админа из программы которая запущена с правами юзера? Оригинально! А где вы возьмете эти права?
Наверна есть такая ф-я (недокументирования) SeActivateAdminMode(BOOL bActivate) ))

Не говорите ерунды, я вас оч. прошу. По моему задача была четко поставлена: Ring3 - без драйверов! Не ну можно конечно и с драйверами просто как их загрузить из под user mode не имея админских прав (без предварительной инсталяции в админке) не используя баги винды, которые могут работать в одних версиях винды а в других уже не прокатит.

Я не придираюсь - просто вы все даете мнимые методы, типа можно защитить свой процесс от чтения\записи памяти.
А я говорю что такого метода нет (вернее я пока его не знаю ))). Конечно если использовать драйвер... как сказали мелкомягкие: Из Ring0 и не такое возможно!

Я же говорю нету драйвера! Это запуск драйвера из уже запущенного драйвера, а кто запустить первоначальный драйвер?

Вопрос остается открытым! Где код или метод? Люди хотят посмотреть не сие чудо раз уж вы так утверждаете что он существует.

 

Верно!
Можно конечно юзая бажку - которую скоро прикроют (если уже не прикрыли) - в общем тож не катит!

 

Говоря о такой защите из Ring0 я имею в виду:
1) Может потереть что нить в PEB|TEB может еще к.н. структуру
2) Перехват APC - чтобы недодать Ring0 инфу о нашем процессе
3) Может что нить эмулировать (типа выдать свой процесс за System)
4) Съесть всю память в своем процессе (предлагали выше такое решение...)

Ну вот что то в этом роде! Пусть даже нужно будет подстраиваться под каждую версию винды!
Будут еще к.н. шальные идеи?

 

5) Может заинжектиться в csrss.exe процесс и подменять хендлы - это конечно лучше чем инжектиться во все процессы. Но по моему в Vista-Seven этот процесс защищен в юзер мод...

 

хе-хе... ну не берите в голову мои слова, это сложный момент... ring3 - так ring3...

это опять же сложный момент, под вистой вы не заинжектитесь "вашими методами" в процесс с более высоким уровнем доверия...

 

Предварительно желательно засуспендив или прибив потоки, принадлежащие ей

 

Я бы резюмировал, что в конкретно поставленной задаче без ring0 никак.

 

Уже такое реализовано - могу сказать одно - работает!

 

Кстати у Kaspersky по-моему была статья по раскрутке стека для обнаружения посторонних потоков..

 

Кстати есть вроде рабочий метод снятия хуков с системы:

Код (Text):

1. DWORD StartAddr = 0x00004000;
2. DWORD EndAddr = 0xF0000000;
3.  
4. for(; StartAddr < EndAddr; ++StartAddr )
5. {
6.     HHOOK tempHOOK = (HHOOK)StartAddr;
7.     if(UnhookWindowsHookEx(tempHOOK))
8.         printf("Здесь был хук... :)");
9. }

Нужно еще правда поиграться с адресами...

Работает вроде везде.
+ Снимает все хуки с системы (ведь для этого не нужны привилегии админа)
- После снятия всех хуков сама система работает не совсем стабильно (например в WindowsXP перестает работать смена языка - видать была реализована на хуках, а вот в Vista\Seven - уже как то по другому)

Ну да ладно - вроде как метод (не доработанный )) )

 

А можно подробнее? может ссылочку

 

Не с адресами, а с хэндлами. Метод ч/з ж-пный.

 

http://www.google.com/search?client...с+удаленными&sourceid=opera&ie=utf-8&oe=utf-8

 

Никто и не говорил что будет легко ))

 

Это ведь просто идея... ее развивать нужно...
Если такая хня с хуками проходит - то может можно будет писать\читать в уже открый файл подбирая таким образом HANDLE.
Ну или закрывать handle\pipe\mutex....

 

кстати в той статье метод тоже ч/з ж-ный можно было легко реализовать как я писал в посте #14, по этому принципу я уже писал когда-то инжект протектор.

 

вот моя dll-ка, защищающая пользовательский процесс от инжекта и просмотра модулей процесса, ч/з удаленные потоки. (Для тестирования можно использовать ProcessExplorer+)
http://depositfiles.com/files/9fqezst8g

 

xrc2

Имперсонация.

Обычная эскалация привилегий. Драйвера это легальный способ выполнить произвольный код на нулевом уровне привилегий.

Оно есть и работает, но кто вы чтоб это знать ?

Верно. Во всей линейке NT из под этого процесса доступна ядерная память на запись, а значит и вобще всё(x64 я хз).
RET
Имхо, ерунда

 

Епстественно, если с ядерных позиций смотреть.