Mail Ru Agent и иже с ним.

[KraZz]

TrashGen, твой топег? - http://exploit.in/forum/index.php?showtopic=58457 - Криптую руками, опыт работы 3 года, Крипт сервис
Если да, то могу "немного" пропиарить твой сервис - мне как раз нужно на днях в топе делать мини-FAQ и там есть тема, которая касается именно крипта
Надо?

 

[Quake3]

KraZz
У меня ссылка вообще не открывается, удалили тему видать или хз (я авторизованый на экспе).
Но думаю, что это 146% не сервис Трешгена (ибо он не занимается никакой комерцией в принципе).

 

[TrashGen]

Нет, не моё. Да, жук-нассорог

 

[TrashGen]

Нашол небольшую неточность при объявлении критических секций(как в мраз.длл так и в СМРАД"е), и вообщем то собственно какбэ они там не объявлялись, такие дела
Все поправлено.
Запилен плуг All RAW Sniff, показывающий все пакеты перехват на которые установлен в основном окне снифера. Есть возможность фильтровать пакеты по портам отправки\приема

 

[KraZz]

Quake3, да не я не про "это", там просто как я понял, нашествие кидал всяких (ну че-т там даже exploit.in предупреждение было от админов или кого-то там (точно не помню), что ники подделывают), да и вообще новый день - новый блэк (если че так образно)
А там как раз может такая же ситуация быть, ник-то такой-же, и нет желания увидеть негативный статус, если вспомнить про волка, карабаса... короче могут подставить запросто!
А сейчас все прояснили, можно уже и не волноваццо

ЗЫ: позже постараюсь по теме отписаться...

 

[KraZz]

Тесты делал на VMware + XP (SP2) + VPN на гостевой + другой VPN на реальной тачке + "фейковые DNS" + Firewall (2 разных) на хостовой и гостевой - сталобыть все делалось максимально приближенно к "боевым" условиям
После юзанья жесткий диск от VMware - разорвать, порвать, аннигилировать..
Считаю что такой защиты "достаточно", чтобы юзать подобное ПО %)))
для того чтобы не было анала ("палева") с DNS, нужно обращение сразу по.. - скажем так (коротко и примитивно): - это нужно для безопасности %))) (сокс в учет НЕ берем, так как мы же хотим понять что нужно делать если нам попался юзающий "без мозгов", а при разработке "зловредов" нам нужно позаботиться о таких вот "мелочах")
ЗЫ: я если че сам не понял, что я написал %)))
http(s)://exploit.in/forum/index.php?showtopic=50502 - Про DNS и палево.

Так что же делать? Для начала в клиническом ужасе кричим "Ааааааааа!.." и начинаем рвать на жопе волосы. А потом вспоминаем, что "компьютер с правильно настроенным соксификатором при работе через сокс DNS-запросов не делает!". И читаем дальше.
Мочим ДНСов
Раз DNS-запросы не нужны, но могут быть опасны, логичнее всего отказаться от них. То есть заблокировать их все. И сверхдлинные, и сверхкороткие, и даже сверхсредние... И в этом нам поможет наш старый добрый Firewall, который, надеюсь, вы все используете. Ибо сказано было: "И да настанет Судный День у каждой машины, и да пребудет великая боль с ее хозяином в час отречения от истиннаго владыки - Великого Firewall`а" (© "Откровение от Порочного Бориса", писание первое, глава первая - "Начало").

Открою великий нахъ секред - не один только Аутпост может лочить...

Способ четыре, самый удобный:
Надеюсь, вы используете виртуальную машину? Если нет - вам прямая дорога читать стати, как это делается. Фаерволл должен стоять и в хостовой, и в гостевой системе. В гостевой настраиваем блокировку DNS, в хостовой - нет. Соксы получаем из хостовой системы. Работаем - из гостевой.

Во втором случае помогает использование виртуальной машины, сеть которой работает в режиме NAT. Если DNS и попалится, то это будет внутренний IP хостовой машины: что-нибудь типа 192.168.0.1 - как будто инет вы получаете через локальную сетку.
Warning: Во время тестов ни одного акка не пострадало! %)))

https://vpn-service.us/settings/12/ - Как скрыть свои DNS сервера

В основе всех путей решения данной проблемы лежит замена Ваших родных DNS серверов сторонними.

пока юзал, столько дурных мыслей в голову лезло... (ниже написанное всего лишь несколько процентов )

TrashGen пишет:
иконка в трее при закрытии окна снифера (это самое окуительное и самое новенькое)

очень понравилась тема с иконкой в системном трее - это как раз тот момент, где это действительно нужно
сам сниффер чем-то напомнил 0x4553-Intercepter
первое о чем сразу подумал (как вариант, где подобное ПО можно использовать) так это то, что вот здесь клянчат и ищут разные варианты http://exploit.in/forum/index.php?showtopic=58398 и даже не в состоянии "поднять" то, что у них под ногами лежит...
новая версия (SMRAD.0.10) у меня "не заработала" - хотя у меня ничего никогда с первого раза не запускаецца, наверное руки кривые %)))
НЕ появляется окно и иконка в сис-трее самого агента, закрываем окно сниффера и в системном трее в меню давим exit, тут же появляется все...
если в меню самого сниффера давим exit, то убивается и сам процесс агента
может, влияет на это тот факт, что не была создана директория для плагинов и их там соответственно нет - но это так что первое логичное в голову пришло...
если юзать версию SnifMRA.0.003, то таких проблем вообще нет.. сталобыть сделал "откат" и продолжил юзать ее (SnifMRA.0.003)...

в сниффере (так с лету, что сразу нужно было)
не хватает кнопки с функционалом "поверх всех окон"
не хватает изменения размеров окна сниффера (можно в принципе сделать изменения только по вертикали), а также при следующем запуске восстановления местоположения окна и его размеров, установленных при использовании сниффера в прошлом разе
не хватает сохранения лога в файл (при этом предыдущий лог должен автоматически бэкапицца), там правд0 есть "что-то", но функционала в виде кода нет.. это печально...
еще также не хватает сохранения "бинарных данных" в формате *.cap (для последующего "просмотра", к примеру, в том же wireshark)
заряжен был сниффер на мыло, в котором примерно 1500 "писем" (отчетов) и лог получился "приличного" размера.. ~150kb - это только залогинился
также RICHEDIT контрол-говно, лучше юзать просто EDIT там хоть есть контекстное меню, через которое можно банально "ручками" сохранить лог, а через RICHEDIT нужно делать это меню самому, а ты его собственно и не сделал, что не есть тру, да и RICHEDIT обезбашено тормозить при больших логах - 50Mb...
короче решил сделать парочку скриншотов, чтобы было понятнее про что я...
http://img404.imageshack.us/img404/3405/testbin.gif
http://img818.imageshack.us/img818/8279/testanalyse.gif
там юзается контрол RAEdit (замена RICHEDIT) который, кстати, опенсорс и написан на ASM`е и имеет массу возможностей, таких как установка маркеров, подсветка ключевых слов, что в данном сниффере будет, весьма кстати и т.д. короче много можно еще перечислить плюсов...

ЗЫЫ: исходный код сниффера еще не смотрел (только поюзал минут 10), времени как всегда не хватает...

 

[salamandra]

Честно говороя даже и не занималась сч ним!Можит быть что то и получилось!Выкинете трёп!

 

[TrashGen]

Спасибо за тестенг. Советы учту, сорцы тоже выложу чуть позже. Собственно сейчас исходники только от плугов ибо не хотелось сыроту полную уж совсем выкладывать. Мб соберусь и доведу даже до ума

 

[TrashGen]

Немного локального сплоента.
Обработчек мессаджа за нумером 0x8038 главного окошечка мылоогента имеет свойство быть немного локально уязвимым, доказательство чего приводятца в poc сплоенте.

.text:0047B1B1                 cmp     Msg, 8038h
.text:0047B1B7                 jnz     short loc_47B20E
.text:0047B1B9                 mov     byte ptr [ebp+var_4], 1
.text:0047B1BD                 mov     [ebp+var_20], edi;wParam
.text:0047B1C0                 mov     [ebp+var_1C], ebx;lParam
.text:0047B1C3                 test    edi, edi;wParam != 0
.text:0047B1C5                 jz      loc_47F750
.text:0047B1CB                 test    ebx, ebx;lParam != 0
.text:0047B1CD                 jz      loc_47F750
.text:0047B1D3                 mov     eax, [ebx]
.text:0047B1D5                 push    0FFFFFFFFh
.text:0047B1D7                 push    1
.text:0047B1D9                 push    ebx
.text:0047B1DA                 call    dword ptr [eax+10h];*lParam+10

x32 POC

 

[demien]

TrashGen
очень интересный код!

> sbx db '\\.\SandBox',0
далее CreateFileA.. С какой целью?

 

[TrashGen]

invoke  CreateFile,offset sbx,GENERIC_READ,ebx,ebx,OPEN_EXISTING,FILE_ATTRIBUTE_ARCHIVE,ebx	
call  GetLastError
.if  eax == ERROR_ACCESS_DENIED

проверка наличия установленного оутпоста, который блокирует доступ к своему драйверу