UAC

[at0m]

Всем Привет
Помогите что то с ним сделать сит. след.:
есть AV в захвате SSDT (некоторые функции тоесть жижненные =) )
без AV обхожу inject - том помимо инжекта есть решения ?
я готовый код не прошу, прошу лишь намек в какую сторону рыть ?
Зарание спасибо

 

[karabas-barabas]

мне кажется ты ехал на большой скорости на велике и одной рукой набивал на мобильнике буквы, изредка поглядывая на содержание своего поста... :bicycle:
определись что тебе нужно и корректно сформулируй

 

[at0m]

Мне надо без палева запустить екзе что не было диалога UAC - ка ?

 

[karabas-barabas]

можно без диалога, запускайся от имени юзера пиши свободно в ветку HKCU там и автозагрузка есть, название файла , version info , manifest не должен содержать слов install и update - тогда софт запуститься от юзера и не будет вылетать окошко UAC но и возможности будут юзерские , например не сможешь писать в память svchost.exe и т.д.
можно поднимать привилегии гугли по слову Elevate...

 

[at0m]

а более елегантное решение существует (эскаляция привилегий) просто под гостем толку мало будет да и если под юзером (огранич.)
Надо еще доступ в HKLM ?

 

[karabas-barabas]

хм не знаю , байда типа имитация нажатия на клавиш окошка uac действует или нет...
да еще видел что-то типа ShellExecute( ,"runas",

 

[TrueUser]

Поднять привилегии в системе с UAC можно разве что только через руткит без участия юзера. НО многое зависит от конкретной сборки винды.

 

[at0m]

Поднять привилегии в системе с UAC можно разве что только через руткит без участия юзера. НО многое зависит от конкретной сборки винды.

OK как тогда запустить этот руткит под юзером (с огран.) ?

 

[karabas-barabas]

ищи окольные пути , там же в мелкософте тоже не бараны работают...
он имел наверно ввиду эксплойт, а не руткит связанный с запуском 16-разрядных dos екзешников кажись

 

[at0m]

дабы не создавать новую тему подскажите пожалуйста прототип функии :

 

[karabas-barabas]

kernel32.dll -> QueueUserAPC
ntdll.dll ->NtQueueApcThread -> NtQueueApcThreadEx

 

[at0m]

я знаю откуда он делает вызов думал просто что бы не копать у кого от есть типо вроде что этого
NTSYSAPI
NTSTATUS
NTAPI
NtQueueApcThread(
IN HANDLE ThreadHandle,
IN PKNORMAL_ROUTINE ApcRoutine,
IN PVOID ApcContext OPTIONAL,
IN PVOID Argument1 OPTIONAL,
IN PVOID Argument2 OPTIONAL
);
только на NtQueueApcThreadEx

 

[karabas-barabas]

тут можно почитать http://wj32.wordpress.com/category/windows/

что это у тебя за авер вообще ? ну попробуй через нее обойти

 

[at0m]

karabas-barabas
пасибо )
это KIS 2010

 

[karabas-barabas]

Note that NtQueueApcThread now calls NtQueueApcThreadEx, which is why the reserve object is optional.

как я понимаю для xp/2003 при NtQueueApcThread из ring3 вызвается ядерный аналог NtQueueApcThread , а уже в win7 сразу NtQueueApcThreadEx, накоторый они видимо забыли хук поставить , хотя могу ошибаться

что у тебя за винда ?

 

[TrueUser]

он имел наверно ввиду эксплойт, а не руткит

Я имел ввиду именно руткит - это код повышающий привилегии в системе.

 

[karabas-barabas]

Руткит хоть сруткит, главное что все поняли , что имелось ввиду

 

[at0m]

karabas-barabas
win 7 32 да инжект делал. метод древний.
Просто посмотрел таблицу нашел Функцию буз хука (асинхронный вызов процедуры).
Находишь процесс в нем ниходишь адресс строки (это и будет название длл)
Копируешь длл куда надо )
Нходишь потоки этого процесса (хендлы) так как NtQueueApcThreadEx посл 3 анргументами можно воспользоватся для LoadLibraryExA.
После вызова NtQueueApcThreadEx длл в АП нужного нам процесса.
Было бы все OK но OpenThread не откроет системного процесса потоки так что пока тольку мало ))

 

[karabas-barabas]

http://gynvael.coldwind.pl/?id=134
здесь список новых api добавленных в 7 , но все это до поры до времени так что спеши

 

[at0m]

Ну не полностью функций Rtl надстроек на ними Rku смотрел