windows

[at0m]

Всем привет
Вот есть инжектированная либа к примеру у меня в ( системном процессе wininit.exe ) по умолчанию фаер винды 7 разрешает только исходящий трафик, весь входящий блокирует.
Причем для проверки лично создавал правило для wininit.exe после чего все входящие соединения были успешны.
Как программно добавить правило ? Может есть процессы которым разрешено и входящий и исходящий трафик ?

 

[Barack]

чем объясняется такой странный выбор процесса для этих целей ? я так понимаю ты в сервис загнал либу или сделал с засуспенденного состояния ? по-моему куча процессов для этого есть - для записи в правила для фаера нужны админ права , если ты ничего не нагуглил путного , то попробуй исследовать кто и куда пишет записи о разрешенных прогах

 

[at0m]

Barack
Мне надо принять входящие подключения, изначально был процесс lsass на входящие подключения блок на исходящие все ок (винда 7 притом читстая все подефолту только поставил на виртуалку ) аналогичная ситуация с wininit. Я думал может есть процессы в которым разрешается и входящие и исходящие подкл. Права у меня system так что в защищенные ветки реестра и системные папки могу писать )). Имелось ввиду если есть такой (такие процессы) то сразу в них инжектить и парится с виндовым фаером.

 

[higaru]

я юзал три способа
- непосредственно через реестр
- через вызов netsh
- через COM интерфейс фаервола

 

[at0m]

higaru

- непосредственно через реестр

не подскажешь в какой ветке (или ветках ) реестра ?

 

[at0m]

higaru
нашел след. ветки

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
это собственно правила там REG_SZ только там названия параметра GUID оно просто сгенерировано или еще где то используется  ?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\RestrictedServices\Configurable\System
и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\RestrictedServices\Static\System
я так понял те которые по умолчанию с виндой идут

 

[Barack]

плохо гуглил оказывается
http://wasm.ru/forum/viewtopic.php?id=35992

 

[at0m]

Barack
там он решил вопрос через netsh
выше было написано
higaru

я юзал три способа
- непосредственно через реестр
- через вызов netsh
- через COM интерфейс фаервол

меня интересует
- непосредственно через реестр
на васме было вопрос на который так и не дали ответ по поводу GUID он от балды сгенерирован ?
....

 

[higaru]

at0m
если прокрутишь немного вниз, увидишь и обычные имена у правил, так что это просто сгенерированные имена вроде. Но там была какаято засада небольшая, но я уже не помню этого, также не смог сорцов своих найти к сожалению. Но вы попробуйте, это точно возможно.

 

[Barack]

ёпт ленивый хакер пошел нынче
сделай поиск по реестру этого guida - и сделай все точно также , я думаю проведя небольшой эксперимент ты быстрее найдешь ответ на вопрос - запусти простую прогу, которая ломится в инет и глянь какие ключи в реестре добавились , вплоть до хуканья reg функций в сервисе фаера
Генерируется с помощью CoCreateGuid.
А вот про com-интерфейс действительно интересно.

 

[Barack]

по поводу com глянь здесь

http://msdn.microsoft.com/en-us/library/windows/desktop/aa366449(v=vs.85).aspx

 

[at0m]

Barack
спасибо посмотрю