Где то я читал (кажется на васм.ру) что у одного из системных процессов есть доступ в инет не перекрываемый файерволом, мне кажется что ето был svchost. так вот 2 вопроса: 1) он или не он? 2) если он, то достаточно ли просто спрятать начтоящий процесс, а сверху открыть мой с тем же именем чтобы обойти файервол? Или надо внедрить код в сам процесс?
Так я его и не выключаю, просто прячу его в task manager, а на его место включаю свой процесс с тем же названием. В свой процесс я всроил проксик, все как бы и работает, но половина страниц вообще не открывает, а в другой половине открывает не полностью.
Ясно, спасибо, но всетаки мне бы хотелось знать почему когда я просто заменяю процесс своим, он плохо, но работает?
ты просто инжектируйся в адресно пространство svchost и фсе. а там уже делай что хочешь и ничего глючить не будет. а вот настчет закрытия фаером - svchost блокируется фаерм на раз-два(сам залочил свой) - в запрещенные поставил и всего-то делов(у меня Аутпост)
Рабочий пример: http://drmist.ru/sources/cbs.0.6.rar Вобще говоря, если ты так внимательно читаешь статьи с васма, то должен знать, что фаеру глупоко чихать на названия процессов - его волнуют контрольные суммы исполняемых файлов. Кроме того, 1) svchost может лезть в инет ПО ДЕФОЛТУ. Как ты систему настроишь (и будет ли она при этом работать )) ) - дело админа/юзера. 2) Не все фаеры можно обойти таким простым инжектированием, как в примере. С этим уже научились бороться.
Есть такой вирусок win32.hidrag он как раз по этому принципу работает... Можешь попробовать выловить и глянуть как.
