• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Исследуем и обходим перехваты/хуки функций на уровне пользователя

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar сказал(а):
Запустил, а как там лог-то получить, кто-нить знает ?
Может внутри аккаунта где-то, вряд ли он такую конфиденциальную инфу, как дебаг лог по доступной всем ссылке будет выдавать.
 
DildoFagins сказал(а):
Может внутри аккаунта где-то, вряд ли он такую конфиденциальную инфу, как дебаг лог по доступной всем ссылке будет выдавать.
Вроде везде прощёлкал, ничего нет.

Написал им в тиккет, жду ответа.

Не исключено что опция и не работает вообще...)

Так-то вывод в DebugView работает, я проверил.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar сказал(а):
Вроде везде прощёлкал, ничего нет.
Не пробовал кликать по конкретному аверу? Может типа для гостей это просто таблица, а если с аккаунтом при клике на конкретного авера она как то раскрываться должна?)

X-Shar сказал(а):
Написал им в тиккет, жду ответа.

Не исключено что опция и не работает вообще...)
Да, вполне может быть.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Вопрос, Дефендер смотрел кто? Стоят ли хуки? Просто столкнулся с кое чем, что адекватно не объясняется...
Так запусти анализаторы на нем. Те, что в первом посте выводят в стдаут, последние - в дбгвью. Ну и опиши, с чем столкнулся, может мы сможем придумать адекватное объяснение.
 
DildoFagins сказал(а):
Так запусти анализаторы на нем. Те, что в первом посте выводят в стдаут, последние - в дбгвью. Ну и опиши, с чем столкнулся, может мы сможем придумать адекватное объяснение.
Quake3 , Octavian
Скрытый контент для пользователей: Octavian.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Скрытый контент для пользователей: Haunt, Octavian.
 
X-Shar сказал(а):
Хайды зло.)
Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб....))))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar сказал(а):
Хайды зло.)
Все секьюрные кругом.

Haunt сказал(а):
которые должны сплайсится всеми адекватными аверами
Как показывает практика, далеко не все аверы сплайсят в режиме пользователя. Для этого анализатор и был написан, чтобы хоть примерно иметь представление о перехватах авера. Если перехват стоит в режиме пользователя - одна ситуация, если их нет, а проактивка как то палит в рантайме, то может в ядре и тд.
 
DildoFagins сказал(а):
Все секьюрные кругом.


Как показывает практика, далеко не все аверы сплайсят в режиме пользователя. Для этого анализатор и был написан, чтобы хоть примерно иметь представление о перехватах авера. Если перехват стоит в режиме пользователя - одна ситуация, если их нет, а проактивка как то палит в рантайме, то может в ядре и тд.
Вывода могу 2 сделать на данный момент. Либо деф проактивно(тут не важно, юзеромод или с под ядра)/сигнатурно в памяти мимик не хавает, что имхо бред. Либо можно сказать, что проактивная защита БЕЗ КАКИХ-ЛИБО других механизмов, не полноценна сама по себе и не является панацеей. То есть рубит мб по набору правил. Или по балльной системе(обойти можно с другой стороны). Ничего другого на ум не приходит пока.
 
evilcore сказал(а):
Не поддерживаются и сейчас (2019 студия), надо отдельный асм-файл или подключать другой компилятор (к примеру, Intel).

Отличная статья!
а мне тут один любитель сказал что я тупой, и асм код в с++ вставить не проблема ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб....))))
Масонские заговоры хацкеров русского андерграунда)

Haunt сказал(а):
Вывода могу 2 сделать на данный момент. Либо деф проактивно(тут не важно, юзеромод или с под ядра)/сигнатурно в памяти мимик не хавает, что имхо бред. Либо можно сказать, что проактивная защита БЕЗ КАКИХ-ЛИБО других механизмов, не полноценна сама по себе и не является панацеей. То есть рубит мб по набору правил. Или по балльной системе(обойти можно с другой стороны). Ничего другого на ум не приходит пока.
Я хз как Вы, но виндефа понять невозможно. Я хз на что она даже детектит... Иногда да, иногда нет.

merdock сказал(а):
а мне тут один любитель сказал что я тупой, и асм код в с++ вставить не проблема ?
Надеюсь тот чел жив)))


Ребята, сорян за глупый вопрос, значит на ring0 на ntdll.dll невозможно антихукать аверов? Ну на юзер моде понятно, что можно...
Если получу админ права, то можно же на ядре?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
heybabyone сказал(а):
значит на ring0 на ntdll.dll невозможно антихукать аверов?
Из ring3 без хитрых атак не обойти. И в ядре нет ntdll.dll есть ntoskrnl.

heybabyone сказал(а):
Если получу админ права, то можно же на ядре?
Ну из под админа ты можешь попасть в ядро, загрузив свой драйвер, например.
 
heybabyone сказал(а):
Если получу админ права, то можно же на ядре?
Нет, если кратко, то в винде два уровня доступа, не нужно путать это с разграничением пользователей...

Учетные записи админ и пользователь, это просто разграничение прав доступа к определенным сервисам системы.

Но есть еще разграничение между ядром, это называют Ring0 и пользовательскими процессами, это называют Ring3.

Вот например, в ядре мы можем практически на прямую управлять оборудованием, там процессором, шиной pci и т.д.

В пользоваткльском приложении это недоступно никак, также в ядре мы можем читать/менять разные структуры данных, которыми обменивается ядро.

Поэтому важно, что-бы в ядро никто немог залесть, поэтому майкрософт пошла на такой шаг, что для установки/загрузки драйвера нужна цифровая подпись, либо переводить систему в специальный тестовый режим.

Так-что даже имея учетную запись админа вы драйвер не загрузите, если у вашего драйвера нет цифровой подписи, либо нужно искать уязвимости в других драйверах.)

В линуксе кстати такого нет, там если есть учетка рута, то можно загрузить драйвер, но там архитектура ядра другая, это монолит, там существенно проще делать драйвера, в винде там черт ногу сломит.)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar сказал(а):
В линуксе кстати такого нет, там если есть учетка рута, то можно загрузить драйвер, но там архитектура ядра другая, это монолит, там существенно проще делать драйвера, в винде там черт ногу сломит.)
В Линуксе кстати тоже можно включить проверку цифровой подписи для модулей ядра с какой-то бородатой версии (что-то типа 3.*). Другое дело, что почему то во многих дистрибутивах эта опция по-умолчанию отключена.

X-Shar сказал(а):
Так-что даже имея учетную запись админа вы драйвер не загрузите, если у вашего драйвера нет цифровой подписи, либо нужно искать уязвимости в других драйверах.)
Какая-то якобы русская апт группировка грузила в ядро старый уязвимый подписанный драйвер виртуал бокса что ли, эксплуатировала уязвимость в нем и через этот драйвер размещала в ядре свой шелл.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Shar, Рел, спасибо за объяснение)
Кста на счет ядра, слышал, что подобное делают рансомы...
Но так-то да, писать драйвер, после туда лепить, ну не варик особый.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх