запрет в приложенни remotethread, openprocess

Тема в разделе "WASM.WIN32", создана пользователем XshStasX, 23 янв 2010.

  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    самое простое - переключить контекст одного из потоков на внедренный шелл-код... шелл-код резервирует память, открывает процесс злоумышленника на чтение, и читает всю длл в резервированную область, затем выполняет точку входа длл в отдельном потоке, отпуская текущий поток и делая джамп на eip старого контекста...
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    смешно))) корпорации тратят миллионы, чтобы изобрести защиту от пиратов, а они все равно ее ломают за несколько недель... у вас есть миллионы?)
     
  3. xrc2

    xrc2 New Member

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    47
    Ясно.
    Опять, сперва нужно загрузить длл :)
     
  4. xrc2

    xrc2 New Member

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    47
    Дык как вы внедрите шел код в мой процесс - опять WriteProcessMemory?
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    блииииин... читайте внимательней!
     
  6. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    Был в командировке. Отосплюсь протестирую.
     
  7. xrc2

    xrc2 New Member

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    47
    Виноват буду исправляться... :) не злись. :)

    ага значит shared memory. а атрибут на этой секции будет EXECUTE? ну да ладно в любом случае ликбез - поэксперементируем. На первый взгляд выглядит оч. устрашающе )
     
  8. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    xrc2
    Я вас не хотел оскорблять, если вы понимаете подобным образом то работайте над собой.. Я имел ввиду что очень много что юзает эксплоиты повышающие привилегии, если вы не в состоянии это найти, то вам никто не даст, так скозать вы не из приблежённых, которым положено это знать. Данная инфа от школоты сокрыта, сами должны понимать. 0дея сдесь не будет это однозначно.
     
  9. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    xrc2
    Почитал топик.
    Слышал звон, да не знал где он.. какие есчо хэндлы ?
    Если доступен ядерный функционал(точнее нулевой кпл), то ядро как таковое не нужно для захвата вашей памяти, обьектов, потоков и прочего. Касательно памяти - необходим только базовый адрес каталога страниц вашего процесса. Ни о какой защите здесь и речи быть не может.
    Нельзя, примитивный код я привёл в #68.
    Релоки в данном случае не нужны, а значит и модуля.
    Откройте же для себя разделяемую память. Это - аппаратный механизм(физический адрес страниц одинаков).
     
  10. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    атрибут будет READ, но не что не мешает его изменить... единственная более-менее серьезная проблема начинается с висты... Data Execution Protection имеется ввиду... кстати в паблике эта тема уже года два, но на нее никто внимание особо не обращает...

    да, я все хочу в эту тему копнуть, но все руки не доходят... точнее голова... ну я про то, чем я тебя в личке доставал пару месяцев назад))))
     
  11. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Вот это баянище на 5 стр. развели - и всё равно вывод будет что идеальной защиты не бывает и любую можно обойти. Как пример написав свой дров защиты можно не радоваться - его обойдут другим дровом :) И так до бесконечности - всегда на чужой машине тебя поимеют. Просто возможны вариации на тему как это сделают, сколько займёт это времени и экономически ли это обоснованно.
     
  12. spa

    spa Active Member

    Публикаций:
    0
    Регистрация:
    9 мар 2005
    Сообщения:
    2.240
    d2k9
    "спасибо" кэп!
     
  13. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    "КЭП, а чем можно вывести пятна от пятновыводителя?" (c)
     
  14. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    DEP появился намного раньше и имеел программную а затем аппаратную реализацию.
     
  15. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    Из r3?
     
  16. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    а кто сказал, что DEP появился в висте?

    да... структуры отражаются на пользовательское адресное пространство...
     
  17. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    Вы
    Структуры чего? Атрибутов защиты страниц памяти???
     
  18. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    проблема появляется, не DEP... а появляется она из-за DEP... потому, что в висте надо добавлять исключения по процессам на DEP...

    SHARED_INFO...
     
  19. bendme

    bendme New Member

    Публикаций:
    0
    Регистрация:
    10 мар 2009
    Сообщения:
    179
    Чтобы сосчитать дельту SHARED_INFO придется считывать TEB из чужого процесса. Значит надо будет ReadProcessMemory юзать. Так ведь?
     
  20. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    bendme
    Что за ифо и дельто ?