| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Как обойти проверку файла hosts? |
| Посл.ответ | Сообщение |
|
|
Создано: 07 мая 2014 18:16 · Поправил: Pastor · Личное сообщение · #1 Программа накрыта armadillo, на виртуалке не запускается, проверяет файл hosts на наличие "запрещённых адресов".  |
|
|
Создано: 07 мая 2014 18:22 · Личное сообщение · #2 пропиши другой файл в реестре: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath ----- Nulla aetas ad discendum sera |
|
|
Создано: 07 мая 2014 18:34 · Поправил: Pastor · Личное сообщение · #3 Flint, пробовал изменять реестр перезагружал но на windows7 не работает, реальный путь остается тот же. Нужен универсальный способ, так как проверку реестра сделать не сложно. Может как-то перехватить winapi? |
|
|
Создано: 07 мая 2014 19:01 · Личное сообщение · #4 Pastor, может помочь http://www.evilsocket.net/2014/02/01/keservicedescriptortable-patching-aka-how-to-hook-win32-api-patching-the-kernel/ ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. |
|
|
Создано: 07 мая 2014 20:34 · Личное сообщение · #5 нужно "запрещать адреса" не через hosts, а через политики ІР секюрити |
|
|
Создано: 07 мая 2014 21:24 · Личное сообщение · #6 Если не получится... Зачем обходить эту защиту, когда можно изменять любые данные которые следуют после нее. Перенаправьте куда надо на следующем узле (роутер, сервер, burpsuite для HTTP). Он (программа) ведь не сможет узнать что стало с запросом после отправки. Если процесс известен, можно использовать Echo Mirage. Настроить VMware на "невидимость", и крутить WRK под windbg. |
|
|
Создано: 07 мая 2014 23:33 · Личное сообщение · #7 Возможно задам глупый вопрос, но зачем все эти велосипеды? Почему не снять арму и избавиться от проверки hosts? | Сообщение посчитали полезным: Zorn |
|
|
Создано: 07 мая 2014 23:48 · Личное сообщение · #8 CreateFileW хукнуть или что пониже, наверняка читается содержимое файла. |
|
|
Создано: 08 мая 2014 03:01 · Личное сообщение · #9 Когда то давно делал лоадер на батлу вторую. Секуром там что ли был. Элементарный сирч/реплейс /etc/hosts на /etc/h0sts Работало 
|
|
|
Создано: 08 мая 2014 07:39 · Личное сообщение · #10 Zorn пишет: Когда то давно делал лоадер на батлу вторую. Секуром там что ли был. SafeDisk 4.5 с наномитами |
|
|
Создано: 10 мая 2014 11:05 · Личное сообщение · #11 Есть ли способ полностью заблокировать доступ в сеть/Инет с помощью файла hosts? Если же нет, то другой вопрос - имеется, скажем, десяток разных программ, все они ломятся в Инет с разными целями, от проверки апдейтов до проверки регистрации. Какой именно файл или файлы в WinXP можно удалить или заглушить, чтобы ни одна программа не могла достучаться до Инета? Есть ли общий (для всех механизмов доступа в Инет) файл, тыкскать - ключевой? Вопрос может показаться идиотским, но дело в виртуализации, а там совсем другие подходы, нежели в реальной системе. |
|
|
Создано: 10 мая 2014 11:09 · Личное сообщение · #12 Ты б хыть почитал, для чего вообще hosts нужен. Он для резолва доменных имён. И на доступ по IP никак не влияет. Отключи адаптер сети-и не будет интернетов. |
|
|
Создано: 10 мая 2014 11:48 · Личное сообщение · #13 Вопрос, похоже, полностью решен. Респект Zorn за пинок в нужном направлении. Один байт в реестре и все пучком. |
|
|
Создано: 10 мая 2014 12:27 · Личное сообщение · #14 GMAP пишет: Какой именно файл или файлы в WinXP можно удалить или заглушить, чтобы ни одна программа не могла достучаться до Инета? что-то вроде tcpip.sys и аналогов
|
|
|
Создано: 11 мая 2014 07:01 · Личное сообщение · #15 Veliant С tcpip.sys не получилось, видимо, вариантов коннекта много, нужно во всем этом разбираться. Через реестр все получается, поэтому нет смысла дальше ломать голову. Кстати, на реальной системе такой метод не работает, а на виртуале все ОК. |
|
|
Создано: 12 мая 2014 11:49 · Личное сообщение · #16 Default route на себя же заверни, в таблице маршрутизации, и все. |
|
|
Создано: 13 мая 2014 08:38 · Личное сообщение · #17 Подскажите, какие именно виндовые процессы используют этот hosts? Одна задача решена, но осталась вторая - заблокировать только определенные сайты в виртуальном hosts, оставив реальный файл hosts в неприкосновенности. Предполагаю, что дублирование искомых процессов и самого файла hosts в виртуальной среде, должно помочь. |
|
|
Создано: 13 мая 2014 10:06 · Личное сообщение · #18 Фаервол уже отменили ? Че вы к этому хостс привязались ? |
|
|
Создано: 14 мая 2014 07:29 · Личное сообщение · #19 Судя по всему ArmaGeddon тоже отменили. Ктож ищет себе легкий путь. |
|
|
Создано: 14 мая 2014 10:31 · Личное сообщение · #20 Дело в виртуализации программ, а не в блокировке реальной системы, фаер здесь не нужен. Мне нужно через виртуальный дубль hosts и виртуализацию процессов, которые его используют, заблокировать доступ к выбранным сайтам внутри виртуального контейнера. |
|
|
Создано: 14 мая 2014 10:49 · Поправил: -=AkaBOSS=- · Личное сообщение · #21 GMAP пишет: виртуальный дубль hosts это как вообще? перехват и заворот обращений через апи? тогда что мешает перехватывать апи для работы с сетью и соединениями, например? DNSAPI.dll HostsFile_Open HostsFile_ReadLine HostsFile_ReadClose |
|
|
Создано: 15 мая 2014 21:39 · Личное сообщение · #22 -=AkaBOSS=- Мысль верная, но получается невероятное количество дллок, которые придется дублировать в виртуал, чтобы вся эта лабуда вообще заработала. Тупиковый путь, буду мыслить дальше. |
|
eXeL@B —› Вопросы новичков —› Как обойти проверку файла hosts? |
Для печати