• XSS.stack #1 – первый литературный журнал от юзеров форума

Dream Loader БЕСПЛАТНО

Отслеживать
Интереснен механизм блокировки, видимо не важно установлен фаерфокс в системе и блокирует он хост или нет (блокировка самим фаерфоксом происходит на прикладном уровне, более в контексте самого процесса броузера, на другие процессы она влиять не может). Но блек-листы доменов используют и фаерволлы, у которых блокировка осуществляется на уровне ядра, через обертку TDI драйвера. В таком случае, для обхода блокировки фаерволла нужно отвязать его дров, который фильтрует траф или взаимодействовать с сервером не на прямую, через другой протокол, посредством шлюзов-кластеров, передачу пакетов с которыми можно реализовать и через шифрованный канал. Используются ли такие техники обхода блокировки по блек-листам фаерволлов в каких либо продуктах?
 
Процент пиздежа ТС отличается завидной стабильностью и высоким процентом - в районе 90%. :D
Мне многие люди в аську и личку отписались после моего поста, и многие из них сказали, что такого морального урода они еще не видели.
Я не собираюсь опять дословно комментировать все что он отписал , разбивать в пух и прах его детскую психику. Все что он отписал, это логично, это жалкая попытка уйти с достоинством, хоть как-то прикрыть ту кучу гавна, которую он наваял. Я бы удивился, если б он написал "Да я крыса, моей целью была быстрая и легкая нажива - продать реверснутый комплект за 250 баксов, наябуя всех и вся,мне было похуй на все и вся, у меня рога до потолка и буду бодаться до последнего - и когда у меня никто не купил его, на зло автору выложил бесплатно его с билдером, потратив свои 50 баксов на реверс".
Вообщем, ладно, не собираюсь больше возвращаться к этому мерзавцу - все ответы в моем расширенном посте.
В следующих версиях моих продуктов будет серьезный многоуровневый механизм защиты и маркировки софта, который практически исключит всякого рода задротство, уже совсем скоро планирую добавить в лайт новые фичи и новые идеи.


По поводу мозиллы и оперы скажу, что перед тем как вы переходите по ссылке, они сначала отправляют запрос на safebrowsing.google.com (ну или линк похожий на этот) и получая ахтунговый ответ выводят заставку. Даже если бы мой лоадер стучал из памяти мозиллы этот механизм никак не помешал бы.
 
По поводу мозиллы и оперы скажу, что перед тем как вы переходите по ссылке, они сначала отправляют запрос на safebrowsing.google.com (ну или линк похожий на этот) и получая ахтунговый ответ выводят заставку. Даже если бы мой лоадер стучал из памяти мозиллы этот механизм никак не помешал бы.
Ведь если домен в блек-листах моззилы и т.д., он соответственно и в базу блек-листов фаеров попадает, а его механизм тоже не мешает, т.к. лоадер снимает хуки?
 
accelerator
там ndis фильтр, на ваши куки им глубоко по... боку
 
там ndis фильтр, на ваши куки им глубоко по... боку
Впринципе не важно, факт в том, что фаерволл блокирует запросы всех процессов и доверенных в том числе к домену, который находится в блек-листе.
 
Ведь если домен в блек-листах моззилы и т.д., он соответственно и в базу блек-листов фаеров попадает, а его механизм тоже не мешает, т.к. лоадер снимает хуки?
фаер фаеру рознь, у каждого ав свой механизм - у кого-то ведется блэк-лист,у кого-то эта база раз в месяц обновляется, у кого-то вообще этого нет, мой софт как и большинство других работает в ring3.
 
нормальный софт работает в ring0
работа в ring0 подразумевает юзанье драйвера, то есть вот уже 2 модуля минимум ,
.exe и .sys , програмная целесообразность уменьшается, насчет экономической - чуть получше, пока не столкнешься с адом чисток, то есть тут нужно будет криптовать 2 модуля .exe и .sys если делаешь на стороне то это еще и ювелирная работа, чтобы впиндюрить драйвер обратно в тело бота. Опять это все не поможет если аверы сольют твоего бота со связки , там авер и екзе удалит из системы и драйвер. Если майлодыри щас берут за поддержку неслабые деньги , подумай сколько они будут брать тогда за такую конструкцию - с голой жопой останешься в итоге. :D
 
нормальный софт работает в ring0
спорно на самом деле, что делать на 7&х64 ?
да и такая разработка стоит никак не 250-500$
 
нормальный софт работает в ring0
собственно, как уже писали, сложнее криптовать, нужно подписывать драйвер (!!!) что-бы нормально запустилось под висто-семеркой + нужны административные привилегии для инсталла (тоесть, как минимум, флагнеться УАКом)
 
есть конкретный гемор с установкой и стартом драйвера, потому что либо права не хватают либо авер активный. Можно сделать так: устанавливается лоадер (заражение через usb, pdf, 0day'и всякие etc), конкретно засев в системе скачиваем с сервера драйвер и убираем все перехваты (либо ставим эмулятор на функцию), нотификаторы и прочее

Добавлено в [time]1289404328[/time]
Ragnar
бери цену выше
 
попробуй убрать перехваты у кисы - bsod в большинстве случаев :)
да и аверы могут проверять не сняли ли их перехваты...
снимать перехваты не вариант - хотя можно 1-2 типа NtWriteVirtualMemory, точно такая же техника как и в юзере - узнаем реальные сст и вызов по адресу или если сплайснуто то узнаем реальный "украденный" код и ходим по трамплину или в ав обработчик ставить jump на продолжение кода - вообщем много вариантов
есть конкретный гемор с установкой и стартом драйвера, потому что либо права не хватают либо авер активный
хотя щас хз как аверы реагируют если с контекста доверенного процесса устанавливается дров - по крайней мере для икспи
 
Left4Dead бросай чтение ксакепа, с уходом криса журнал теряет актуальность. Насчет ав продуктов есть одна идея: не надо завершать или удалять его после снятия хуков, нужно внедриться в процесс антивируса (нагло, не так ли?), и работать с его контекста
 
А смысл, даже если у когото чтото и есть то никто не скажет
А всякий пабл аля tdl3 ставим дров можно и так нагуглить
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх