 |
eXeL@B —› Вопросы новичков —› Получение полного доступа к процессу |
| Посл.ответ | Сообщение |
|
|
Создано: 10 декабря 2008 05:54 · Личное сообщение · #1 Доброго времени суток. Eсть lacd_client.exe (лаунчер) и wow.exe (запускаемый заунчером, после всевозможных проверок). До момента запуска лаунчером wow, процессом lacd_client можно управлять посредством диспетчера задач (изменять приоритет, устанавливать соответствие процессорам), но после запуска самого wow оба процесса блокируются и при попытке воздействия на них через диспетчер выдает - отказано в доступе. Пробовал получить доступ к процессам через сторонние программы (Sysinternals Process Explorer, AnVir Task Manager Pro) результат тот же - операция не может быть выполнена, отказано в доступе. При просмотре прав на процесс заметил интересную вещь - до запуска лаунчером wow.exe (несколько секунд, пока идут проверки) есть права на процесс lacd_client.exe, после - таблица пустая (см. аттач) Интересует возможность восстановления прав на процесс wow.exe, таких, чтобы процессом можно было управлять из стандартного диспетчера. Уточнения: Установка SoftIce и его использование не предствляется возможным 
Все действия проводятся на учетной записи администратора, ОС WinXP SP2  fe34_09.12.2008_CRACKLAB.rU.tgz - Changes.jpg
 |
|
|
Создано: 10 декабря 2008 12:01 · Личное сообщение · #2 Попробуй полчить отладочные привилегии и манипулировать с процессом, если у процесса системные привилегии, то стоит снять хуки с сервисов NtOpenProcess/NtTerminateProcess в ntoskrnl, с помощью того же RKU. ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 10 декабря 2008 16:27 · Поправил: WiNix · Личное сообщение · #3 Одновременный запуск RKU (ver. 3.0.88.344) и lacd_client приводит к BSOD, при это ошибка вылетает именно тогда когда lacd пытается заблокировать процессы. Здесь slil.ru/26422124 лежит архив (3mb), с lacd и всем необходимым для его запуска. Сам wow.exe выдаст только ошибку, но к этому моменту оба процесса уже будут заблокированы. |
|
|
Создано: 10 декабря 2008 19:28 · Личное сообщение · #4 Судя по поведению, эта муть подгружает драйвер, который перехватывает функции и мешает обращаться к процессу. Пробуй снимать антируткитами любыми ну или бери ядерный отладчик, не катит сайс-бери виндбг или ту же сиську и разбирайся, почему при анхуке бсод и что там происходит. |
|
|
Создано: 10 декабря 2008 21:20 · Личное сообщение · #5 Скачал Syser Kernel Debugger (v1.99.1900.1095), поставил, перезагрузился. При одновременном запуске Syser и wow - система намертво увешивается, помогоет только ресет. Пробовал 2 раза, дезультата одинаковый. Возможно я что-то делаю не правильно, потому что не силен в подоюных вещах. Поэтому буду очень благодарен любой помощи. |
|
|
Создано: 10 декабря 2008 22:46 · Личное сообщение · #6 Это видима защита такая чуть что сразу BSOD ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 10 декабря 2008 23:09 · Поправил: WiNix · Личное сообщение · #7 Я придерживаюсь мнения, что если это написано одним человеком, то другой сможет это обойти. При попытке запустить Syser, BSOD'a не было. Сиситема просто намертво увисла, видимо и защищеная программа и дебаггер не поделили общий ресурс (память, адрес функии или ее вызов) и каждый из них начал ждать пока другой освободит этот ресурс.. Здесь насколько я помимаю действовать можно только средствами системы. А что если систему изначально "нечесно выйграть" ? Я недавно натолкнулся на статью в хакере (www.xakep.ru/magazine/xs/072/072/1.asp). Вопрос, можно ли хотя бы один из перечисленных методов доступа к ядру реализовать в "домашних условиях" ? Интересный момент. В гугле раскопал описание вируса Win32.Bolzano (Ссылка на VirusList.com http://www.viruslist.com/ru/viruses/encyclopedia?virusid=20369 ). Начиная с версии 'b' вирусы "Bolzano" патчат код файлов \NTLDR\WINNT\SYSTEM32\NTOSKRNL.EXE (системные файлы WinNT). Патч NTLDR отключает проверку целостности (контрольная сумма) модуля NTOSKRNL при его загрузке. Патч NTOSKRNL производится таким образом, что процедуры проверки прав доступа пользователей всегда возвращают значение "полный доступ". |
|
|
Создано: 10 декабря 2008 23:19 · Личное сообщение · #8 Я не могу скачать архив чтото с нетом и игры у меня нет, попробуй SDT Restore www.security.org.sg/code/sdtrestore.html ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 10 декабря 2008 23:40 · Личное сообщение · #9 Да, SDT Restore действительно находит хуки и вычищает их, при повторном запуске он ничего не обнаруживает, и моментально закрывается. Но процессы остаются заблокированными и сдалеть с ними попрежнему ничего нельзя. 
|
|
|
Создано: 11 декабря 2008 12:54 · Личное сообщение · #10 Вопрос, можно ли хотя бы один из перечисленных методов доступа к ядру реализовать в "домашних условиях" ? Попробуй реализуй WINNT Каталог в Windows 2000, в Windows XP (Windows) Возможно изменить ACL процесса, получив привилегии на отладку SeDebugPrivilege msdn.microsoft.com/en-us/library/aa446619(VS.85).aspx ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 11 декабря 2008 20:47 · Поправил: WiNix · Личное сообщение · #11 coderess Возможно изменить ACL процесса, получив привилегии на отладку SeDebugPrivilege Попродробнее пожалуйста 
|
|
|
Создано: 12 декабря 2008 22:37 · Личное сообщение · #12 Подробнее в MSDN  На счет программы, то у меня есть такая, написал на днях
----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 13 декабря 2008 02:20 · Поправил: coderess · Личное сообщение · #13 собственна сама программа + исходный код Visual C++ DebugTools.rar ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 13 декабря 2008 12:19 · Личное сообщение · #14 Спасибо огромное, приду домой - отпишусь о результатах испытаний
|
|
|
Создано: 13 декабря 2008 19:00 · Личное сообщение · #15 Испытания дома показали что, даже будучи запущенной с правами системы DebugTools не можт получить доступ к заблокированному процессу  пишет "Can't open process". Процессы которым выдаются отладочные привелегии, тоже не могут получить доступ к заблокированному процессу, испытавалось на TaskManagar'e и Sysinternals Process Explorer'e...
В том же самом MSDN написано, что если у процесса пустая таблица ACL, то процесс считается закрытым для всех и никому не разрешен доступ.. Помоему как раз этот случай здесь и есть, потому что в том же Process Explorer'e нет ни одного SID для запущенного процесса (скнины уже выкладывал). Такая ситуация означает только одно - пока туда не будет записан SID и не будут ему сопоставлены права - процесс взять под контроль не получится, все зависимости от привелегий.. Вопрос возникает сам собой: Можно ли для этого процесса внести изменения в ACL ? |
|
|
Создано: 13 декабря 2008 20:11 · Личное сообщение · #16 файл не скачивается, перезалей его на другой файл-хостинг, а я посмотрю что можно сделать. ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 13 декабря 2008 20:39 · Личное сообщение · #17 Перезалил сюда http://link_deleted_by_forum_engine/files/3tg22rjv1 и сюда http://narod.ru/disk/4366395000/wow.rar.html |
|
|
Создано: 13 декабря 2008 22:40 · Личное сообщение · #18 Ещё раз для танкистов-если драйвер хучит СДТ, все манипуляции с АЦЛ, дебаг привилегиями и прочий онанизм ни к чему не приведут. Надо снимать хуки. Если это анхукеры руткитов делают плохо, надо брать в зубы ядерный отладчик и разбираться. Возможно, прога по таймеру хуки проверяет. |
|
|
Создано: 13 декабря 2008 22:57 · Личное сообщение · #19 Archer, спасибо за разъяснения. Я лишь пробую те методы, что здесь предлагают, и описываю результаты испытаний. К сожалению, я сам не могу ничего в этом случае сделать, поэтому и обратился к людям, в этом разбирающимся. |
|
|
Создано: 13 декабря 2008 23:23 · Личное сообщение · #20 Archer SDTRestore нормально снимает хуки с SDT ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 15 декабря 2008 11:35 · Личное сообщение · #21 coderess пишет: SDTRestore нормально снимает хуки с SDT да как бы никто и не спорит. Читай: Archer пишет: надо брать в зубы ядерный отладчик и разбираться. Возможно, прога по таймеру хуки проверяет скорее всего так оно и есть |
|
|
Создано: 15 декабря 2008 19:08 · Личное сообщение · #22 Опытным путем было установлено, что у Rootkit Unhooker и lacd - один механизм защиты. Процесс как бы закрывается изнутри и никого не пускает. Возможно именно поэтому одноверемнный из запуск приводик к вылеты системы. Gideon Vi скорее всего так оно и есть Именно так оно и есть, потому что после череды синих экранов, я обнаружил что время "выпадания" системы не зависит от состояния загрузки Unhooker'a, потому что один раз мне даже удалось увидеть его главное окно.. Пробовал запустить Hypersight Rootkit Detector(Link http://northsecuritylabs.com/ru/ ), но он сказал что на моем проце (DualCore Intel Pentium E2180, 2GHz) невозможно использовать виртуализацию
coderess SDTRestore нормально снимает хуки с SDT Да, при запуске он выдал мне список хуков на функциях, и предложил их снять. В итоге, после снятия им хуков, ничего не изменилось.. Пока что только Rootkit Unhooker показал себя в действии.. После прочистки им STD, я смог из обычного диспетчера задач управлять Касперским (8.0.0.506). Единственная проблема - BSOD'ы при одновременном его запуске с lacd. |
|
|
Создано: 26 декабря 2008 02:48 · Личное сообщение · #23 с помощью Malware Defender с таймерами как-то воевал www.torchsoft.com/en/md_information.html и ещё одна утиль в помощь home.arcor.de/neotracer/hookshark.html |
|
eXeL@B —› Вопросы новичков —› Получение полного доступа к процессу |
Для печати