windows\system32\drivers\etc\hosts

[12309]

сабж. и еще интересно, в антивирусах железно захардкоден путь к hosts, или они чекают путь к этому файлу в реестре?
и если не чекают, то почему не используется хитрый план по переносу файла hosts и пути к нему в левую папку, дабы антивирусы не замечали подмены ip сайтов?

 

[DeusEx]

искал недавно в реестре референсы на хостс для его перемещения, но не нашел нигде.

 

[rolkaluiu0]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath

 

[shyrka]

HKEY_LOCAL_MACHINE - во тут проблем.
ЮАЦ будет ругатсо. это железно.
Ну на ХП похуй имхо .. думаю ав можна обойти .. а вот севен не получитсо без понижение ЮАЦ!

 

[12309]

а как реализован чек файла? перехватывается попытка его открытия, или закрытия (т.е. добавления данных и сохранения)?
к примеру, имеем буткит - если он откроет файл до запуска антивируса (в венде же есть понятие файловых дескрипторов?), то сможет во время работы антивируса вносить изменения в файл?

 

[Quake3]

Мне кажется, у каждого авера по разному. Когда-то авира или авг не разрешала просто открыть\записать файл через связку create\writefile, но это можно было обойти при маппинге файла. Каспер вообще какое-то время считал любой файл хостс (кроме изначального) трояном, и вообще не давал его никак редактировать. Как я вижу, многие аверы просто не дают его редактировать,т.е. открыть можно, а изменить уже нет.
Есчо любимая многими программа "мейл агент" также уведомляет, если хостс отредактирован кем-то (т.е. там любые "левые" айпи).

 

[higaru]

>> а как реализован чек файла?
контроль и мониторинг файлов у всех нормальных продуктов идет через драйвер минифильтр фс

>> к примеру, имеем буткит - если он откроет файл до запуска антивируса (в венде же есть понятие файловых дескрипторов?), то сможет во время работы антивируса вносить изменения в файл?

можно обращатся к фс минуя фильтры, это может делать любой дров, не только буткит

>> create\writefile, но это можно было обойти при маппинге файла
если это так, то ололо. Впрочем возможен и вариант с фильтром, когда они забили на фильтрацию фастио (насколько помню при записи в мапу директом в кэш пишится через фастио)

>> и если не чекают, то почему не используется хитрый план по переносу файла hosts и пути к нему в левую папку, дабы антивирусы не замечали подмены ip сайтов?
нормальные хипсы ругнутся на запись в реестр

>> HKEY_LOCAL_MACHINE - во тут проблем. ЮАЦ будет ругатсо. это железно.
Концепцию обхода юака выложили уже =)

 

[GrandSoft]

а зачем редактировать фаил хостс? есть же много других способов, например прокси, инжекты, перехваты и тд.

 

[rolkaluiu0]

hosts глобальнее, чем все инжекты и перехваты.

 

[12309]

не совсем. часто в браузере прописан прокси-сервер для выхода в инет, и ему уже пох на хостс.
так что надо и там и там править, для пущей надёжности