• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Исследуем и обходим перехваты/хуки функций на уровне пользователя

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
heybabyone сказал(а):
Как думаешь, ринг0 авера хучат все функции, которые с ринг3 идут?
Во времена 32 бит хучили все. Сейчас же аверам не дает это сделать сам M$, там стоят т.н. минифильтры - на старт нового процесса, реестр и т.д. Т.е. вопрос не столько перехват конкретной апи, а конкретное действие (коллбек). Могу ошибаться, т.к. под ядро кодил мало.

heybabyone сказал(а):
Думаю, если по жесткому хучат CreateFile на ринг0, то брать с ntdll не вариант.
Если аверы в ядре, то сисколы вообще не нужны. Т.к. это нестабильный в разработке механизм (еще , учитывая что ОС счас почти все 64 битные, а проги - 32, придется пилить HG, что тоже стабильности софту не добавит). Да, я знаю что можно все закодить отладить причесать, но все же, есть "обычный" вызов винапи, а все эти извраты, так или иначе, могут где-то глючить.

heybabyone сказал(а):
Да, бывают в сетках пк оч старые. Им нужна гарантия что везде заработает. А у пш вроде с 7.
Мне сложно судить, т.к. я не работаю (не знаю, какой там % , актуальность) но так можно никакие новые технологии не внедрять. Потому что старые компы есть. Хотя, все относительно) Смотрел как-то 1 софт, там глюки на семерке, ну я говорю автору (в отзыве то надо написать), а он "да не указывай, кому она нужна, эта семерка, где ты ее видел" )))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar сказал(а):
Это кстати относительно не сложно делать, покури AutoIT, язык очень простой и позволяет писать такие штуки...)
А как такое криптовать?
 
Quake3 сказал(а):
Во времена 32 бит хучили все. Сейчас же аверам не дает это сделать сам M$, там стоят т.н. минифильтры - на старт нового процесса, реестр и т.д. Т.е. вопрос не столько перехват конкретной апи, а конкретное действие (коллбек). Могу ошибаться, т.к. под ядро кодил мало.
На файловые операции думаю все ставят фильтры, иначе как им проверять файлы, если почитаете книгу от Иосифовича, там он приводил линк где можно даже посмотреть приоритеты этих фильтров, т.е. они даже запускаются с повышенным приоритетом, приоритеты назначает майкрософт.)

На остальные да, возможностей там стало не много, да думаю особо и не нужно для антивирусов, в целом подход правильный.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Quake3 сказал(а):
Мне сложно судить, т.к. я не работаю (не знаю, какой там % , актуальность) но так можно никакие новые технологии не внедрять. Потому что старые компы есть. Хотя, все относительно) Смотрел как-то 1 софт, там глюки на семерке, ну я говорю автору (в отзыве то надо написать), а он "да не указывай, кому она нужна, эта семерка, где ты ее видел" )))
Кста, хотел кое-что обсудить на счет лохеров, есть пару идей фуда зеродей :) онлайн поймать не мог тебя

X-Shar сказал(а):
Криптовать его не пробовал, но думаю что можно.)
Попробовать стоит. Кста, я не знаком с autoit, по сути это тот же инвок винапи функции? Просто красивый синтаксис?
 
heybabyone сказал(а):
Кста, я не знаком с autoit, по сути это тот же инвок винапи функции? Просто красивый синтаксис?
Да просто интерпритатор для автоматизации действия пользователей.

Нужен больше для админов, например нужно тебе что-то поставить на 100/1000 компов, быстренько накидал скрипт, оформил в SFX - архив, достаточно запустить такой архив, скрипт всё сделает сам, нажмет на нужные кнопки и т.д., очень удобно...:)

Язык там типо бейсика, все задокументировано, есть своя IDE, пара-тройка дней изучения, можно уже решать сложные вещи, мне нравилась эта штука, сейчас правда давно уже ничего не делал на аутоит.)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar сказал(а):
Да просто интерпритатор для автоматизации действия пользователей.

достаточно запустить такой архив, скрипт всё сделает сам, нажмет на нужные кнопки и т.д., очень удобно...:)
Го в блек, а?)

а то жить на 60к руб в месяц не то наверное
 
heybabyone сказал(а):
Го в блек, а?)

а то жить на 60к руб в месяц не то наверное
Мне нельзя в блек, если опустить, что я практически не скрываюсь, думаю мое физическое нахождение не проблема найти...)

И вторая причина, такая-же как у Рела, тупо страшно, я боюсь потерять свободу и не готов к этому...:)

Хотя в целом сами технологии мне интересны, но к сожалению практически не применяю свои знания в реале, знания по ИБ имею в виду, какой-то багаж конечно накопился за время изучения.)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
X-Shar аутоит декомпилится легко + ситуация с ним, как с подобным делом - аверы вешают перманентный детект да и все дела. На таком погорели разные тулзы вида "дельфи-пхп", какой-то сборщик питона в ехе и подобное. Процесс такой: люди делают нормальный софт, школьник делает малварь, ес-но копаться в кишках 10-20 метровых ехе авер не хочет, поэтому тупо лепит сигнатурный детект - а легальные кодеры пусть парятся, как хотят. Это к нашему с вами и DildoFagins вопросу, за что я ненавижу аверов. Они погубили кучу шароварников и просто хороших разрабов, своей политикой "упаковщик = малварь". Подробнее читайте , например, sp0raw про говНод32 и еще 100500 тем.

Haunt
Скрытый контент для пользователей: Haunt.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt и Quake3, вот с гонорара со следующей статьи попрошу Админа 100 баксов мне на жёлтый ник списать, и тогда буду читать весь ваш скрытый контент, от меня не спрячитесь!)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DildoFagins сказал(а):
Haunt и Quake3, вот с гонорара со следующей статьи попрошу Админа 100 баксов мне на жёлтый ник списать, и тогда буду читать весь ваш скрытый контент, от меня не спрячитесь!)
уверен?
Вроде только хайды на лайки, регу то се. Не думаю что личка работает.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
heybabyone сказал(а):
Вроде только хайды на лайки, регу то се. Не думаю что личка работает.
Хз, написано, что открывает все хайды.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DildoFagins сказал(а):
Хз, написано, что открывает все хайды.
Только что с админом переговорил.
Хайды не будут открыты оставленные конкретным людям.

Печаль-тоска Рел)
А зачем тебе превадные превады превадов исследователей айти безопасности?
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
heybabyone сказал(а):
Печаль-тоска Рел)
А зачем тебе превадные превады превадов блекушников?)
Да не нужно по сути, просто так, доебацо на ровном месте до людей.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Ярлыки пошли, к чему... Откуда ты знаешь, кто чем занимается
да это даже не к этому посту относится. А так стер, да.
 
Quake3 сказал(а):
аутоит декомпилится легко + ситуация с ним, как с подобным делом - аверы вешают перманентный детект да и все дела.
Интерпретатор 100% не будут детектить, но по крайне мере топовые антивирусы.)

Сам скрипт могут детектить, но это обходится, так-же легко как детекты например батников.

А-так ты сам можешь запаковать интерпритатор в exe с автоматическим запуском скрипта, детекты будут такие-же как и на стиллеры, крипторы и т.д.
Т.е. либо после попадания зверька в облако, либо проктивная защита антивирусов, ничего тут такого нет...)

На васме Лаборатория Касперского разместила вакансию, никто не хочет попробовать.:t??
Сам Инди уже подумывает...?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх