Незнаю конечно, мож это давно всем известно, то ни на васме, ни в гугле я этого не нашёл... Нижеуказанные действия проводились на свежей(2 недели отроду, 7 установленых программ) WinXP SP2. Итак, поствил я для тестов себе Outpost(Pro ver. 4.0.964.6926 (584),стандартные настройки). Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит. Переставил. 1 сеанс поработал, но потом снова таже история. И тут до меня дошло, что это так прога с унхуком сдт мочит оутпост. Ага! значит при загрузке оутпост в попе. Попробывал тоже самое только с инжектом - молчание, а заветный messagebox появился. Вот ,в принципе, и всё...
У меня тут тоже приколы с аутпостом вышли. 1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код: MessageBox(..); ZeTerminateProcess(-1,0); на моё удивление аутпост не выдал никаких матерных сообщений. после окошка MessageBox процесс благополучно скончался. 2) делал я syn flood. вобщем создал сырой сокет, создал пакеты и начал флудить в несколько потоков (предварительно добавив свою флудилку в список доверенных приложений аутпосту)... Тут самое интересное: драйвер аутпоста выкинул BSOD. По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.
Ебать, да у вас тут такие споры проффесионалов, даже как-то стесняюсь писать... Это будет навечно выколото стамеской на доске почета нашего городка: ААААаааа ну и самое главное ; )))) так сказать, на десерт Спустись, глянь, там телки, пиво, дискотека, все гуляют, не то что у вас вверху ; ) Ты наверное никогда не слышал, но ключ (угадаю!!) который ты прописал в ноль, т.е. DisableRawPolicy - никак не связан с RAW-сокетами WinXP SP2 : DDD Он лишь задает, может ли НЕ-админ в NT 4 юзать raw-сокеты. В XP SP2 это ограничение присутствует в ядре, и как показала практика, именно в NDIS-драйвере сетевухе. И я пока не видел в пабике ничего, что его там убирает.
А.. я же забыл.. тут такие реальные чукваки тусуются... ну прости, что запостил... Если серьёзно: система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду. я так и не понял - что ты имел ввиду, когда процитировал. >>1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код: Да, аутпост хучит функции в ринг3. после анхука можно спокойно инжектиться в любой процесс. что тут удивительного?
2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности . Т.е. Оутпост не орет, но и инжект не идет.
я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.
Угу, супер. На античате можно узнать столько нового, в очередной раз вскрикиваю я. Оказывается аутпост у нас хук ставит в юзер-моде для предотвращения инжекта. Да ещё и в версии 4. Он наверное вообще все хуки ставит в юзер-моде, чтоб ты мог их снимать спокойно. Но про прерывание прикольно написал, умно, особенно что 2E число знаешь. Тогда о каком параметре в реестре, разрешающем RAWSOCKET идет речь, если он и так уже разрешен, как и должно быть на SP1 ? А имел ввиду ты очевидно то, что при большой интенсивности использования кривых рук пользователя упадет не только аутпост, а монитор с полки. Это смотря как постараться.
Слушай, а откуда такие познания? ты случаем не какер? Если не в лом - посмотри в ольке. на ZwCreateThread CreateRemouteThread WriteProcessMemory и т.д. апишках стоит сплайсинг. я конечн не настолько крут как ты.. я к этому стремлюсь.. но какая-то бональная эрудиция подсказывает мне что аутпост не ради развлечения ставит сплайсинг в этих апишках. Code: ZwCreateThread: jmp wl_hhok.1004C714 mov edx,7FFE0300 call edx retn 20
Точно, ты не настолько крут как я, иначе бы посмотрел сст (с системы, где стоит Outpost 4.0.971.7030 (584)) , увидел бы в ней все эти ядерные хуки, покраснел бы и перестал писать в этот топик. Поэтому свою бональную эрудицию ты имхо развиваешь не в том направлении а что бы ты не продолжил этот разговор, сказав что SandBox.sys - не аутпоста вовсе, выкладываю: (в ранних версиях хуки идут прямо в filtnt.sys ну а что бы ты не сказал, что на том месте, где ничего не написано на скриншоте, идет не NtWriteVirtualMemory, вот тебе тот же скриншот, снятый с системе без аутпоста Но, конечно, ты скажешь что у меня мол, новая версия, а у тебя старая. Я могу специально поставить на виртуалку любой старый аутпост, в котором хотя бы есть вообще контроль виртуальной памяти процессов и снять тебе такие же скриншоты, UPD: ну и конечно твой замечательный пост на ту же тему http://forum.antichat.ru/showthread.php?p=338299#post338299
Кез, ты победил в споре-то в итоге или нет? А то че-то оппоненты разошлись, а я хочу еще умных слов почитать всяких, чтобы потом понтаваться ими перед девчонками.
кодерскими словечками понтоваться не хорошо =// понтуйся хеккерскими - сплоент, бага, скуль, шелл, рут, ..
2 podkashey, Great можно комбинировать "хмурый рут" "скуль по вмазке" "бага-барыга" "шелл-баян-ядро-таблица" ммм... "бутират плюс плюс" ?
