Было много статей,манов по сабжу(на том же wasm'е), но сейчас ситуация изменилась. Outpost и новый Kaspersky обзавелись проактивнорй защитой. Можно конечно кликать как в пинче,но это не надолго )
В любой защите есть косяки Автозагрузку by Каспер Dll для снятия хуков третьего кольца Не пугайтесь вы так слова про-активная защита
Вот firewall.h от dkcs_ddos_bot. Об эффективности сиего кода понятия не имею. www.lordofring.tushino.com/firewall.txt И раньше вроде как svchost`у был досту в инет. А ща незнаю.
Обходить фаервол посредством загрузки драйвера в нулевое кольцо конечно эффективно но для начала нужно поснимать хуки с функций загрузки драйверов, куда их ставит любой риалтам антиспайвеар, идущий с фаерволом.
обойти можно всё и вся)) вопрос только во времени реверса... оутпост при снятие его хуков (ring0), блокирует доступ к инету) вот это не есть гууд. Но обойти его и в ring3 можно, даже под гостем, ток не много геморно... [Great:] По делу не сказано, либо говори конкретнее, либо не пости
Process-Injection и обход проактивных защит, контролирующих WriteProcessMemroy и другие API, обычно файры ставят хуки на SST - вот их и надо снимать, правда тут тоже есть свои тонкости. если это SpyWare/Loader и т.д, то самым простым методом является, пожалуй обход через сервис BITS, встроенный по умолчанию в операционную систему для автоапдейтов Microsoft Windows. работает он "официально" в контексте svchost.exe используя для передачи данных только HTTP GET-метод. Остальные методы здесь описаны очень хорошо: http://www.wasm.ru/article.php?article=outpostk вот это посмотри еще все: http://hellknights.void.ru/ http://www.0x48k.cc/ http://www.wasm.ru/ http://www.rootkits.ru/ (с) Cytech
О Process-Injection ОЧЕНЬ хорошо написано тут: http://www.bit-team.com/index.php?option=com_content&task=view&id=95&Itemid=1 Но вот маленькие поправки: 1) Перед всем этим делов взять себе привелегии на дебуг программ. 2)Кроме Code: LoadLibrary("kernel32.dll"); // нам необходимо подгрузить жертве в процесс LoadLibrary("user32.dll"); // требуемые нам библиотеки (их может и не быть изначально) Добавать: Code: LoadLibrary("ADVAPI32_DLL"); LoadLibrary("IMGHLP_DLL"); LoadLibrary("SHELL32_DLL"); LoadLibrary("WS2_32_DLL"); LoadLibrary("URLMON_DLL"); LoadLibrary("WININET_DLL"); LoadLibrary("WINMM_DLL"); В svchost инжектица на ура.
вообще то я в посте имел ввиду, чтоб чел не занимался ерундой, а или покупал или сам реверсил... Вот не плохая статья http://www.securitylab.ru/analytics/254727.php Можно почерпнуть пару мыслей)
Получение привилегий Ring0 в Win9x/Me http://sources.ru/cpp/system/ring0.zip А вот и перехват api http://rsdn.ru/article/baseserv/IntercetionAPI.xml
