| Сейчас на форуме: tyns777 (+5 невидимых) |
 |
eXeL@B —› Программирование —› Уничтожение процесса из Ring0 |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 декабря 2007 16:00 · Личное сообщение · #1 Всем доброго времени суток, подскажите где можно найти информацию по сабжу. Так же было бы интересно узнать, возможно ли защититься от уничтожения процесса из Ring0.  |
|
|
Создано: 13 декабря 2007 16:15 · Личное сообщение · #2 hook NtOpenProcess 
----- Shalom ebanats! |
|
|
Создано: 13 декабря 2007 16:42 · Личное сообщение · #3 g-l-u-k пишет: возможно ли защититься от уничтожения процесса из Ring0. Нельзя. Не стоит даже пытаться. ----- PGP key |
|
|
Создано: 13 декабря 2007 16:45 · Личное сообщение · #4 Ну почему нельзя. Если захучить в Ring0 нужные ресурсы, то попытаться можно |
|
|
Создано: 13 декабря 2007 17:09 · Личное сообщение · #5 Как захучили, так и расхучат Нельзя и точка.
----- PGP key |
|
|
Создано: 13 декабря 2007 17:11 · Личное сообщение · #6 SWR пишет: Если захучить в Ring0 нужные ресурсы, то попытаться можно Бесполезно. ntldr пишет: Нельзя и точка +1
----- Research is my purpose |
|
|
Создано: 13 декабря 2007 17:23 · Личное сообщение · #7 на 100% конечно нет. Но попытатся скрыться можно (но правильно все сделать довольно сложно) |
|
|
Создано: 13 декабря 2007 17:25 · Личное сообщение · #8 да практически не реально... лучше займитесь напесанием дружественного софта =) там все можно.. ----- invoke OpenFire |
|
|
Создано: 13 декабря 2007 17:28 · Личное сообщение · #9 например даже в Ring3 с ВМ сложно воевать. А если её перенести туда на перехваченые ф-ии то вообще  . (но это сложновато).
Да и вообще примитивное вороство кода в Ring0 сложно расхучить, тока я не встречал токого. |
|
|
Создано: 13 декабря 2007 17:44 · Личное сообщение · #10 SWR Разуй глаза и скачай утититу RootkitUnhooker. Она тебе расхукает почти все что угодно. Всякие ВМ тут будут совершенно допизды. На них никто даже смотреть не будет, просто выкинут твои хуки, убьют твои потоки и затрут твою область памяти нулями. ----- PGP key |
|
|
Создано: 13 декабря 2007 17:52 · Поправил: SWR · Личное сообщение · #11 Это автомат который настроен на определённые виды пакостей в ядре. Но всегда можно сделать чтото более сложной. Все руткиты довольно просты и основываются на перехвате (приметивный) нужных ресурсов. Но если сам перехват сделать почти не востонавливаемый без перезагрузки системы (и понизить права администратора).... Ну по этой теме бесмыслено спорить. Я например несобираюсь, чтото приводить на примере. Просто хочу сказать, что если сильно захотеть то можно. [htldr] Саму BM невикиниш если эмулить часть захваченой функции (для этого она и нужна). Ядро не прощает такого обращения (допизды) |
|
|
Создано: 13 декабря 2007 18:05 · Личное сообщение · #12 SWR пишет: Ядро не прощает такого обращения (допизды) Это смотря кто к нему обращается У некоторых и hello world бсодит
SWR пишет: Но если сам перехват сделать почти не востонавливаемый без перезагрузки системы (и понизить права администратора).... То все элементарно сноситься из консоли восстановления или с LiveCD. ----- PGP key |
|
|
Создано: 13 декабря 2007 18:11 · Личное сообщение · #13 SLV пишет: NtOpenProcess А тебе не кажетс, что если этно похукать, то система тутже БСОДнет? =) ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 13 декабря 2007 18:15 · Личное сообщение · #14 Ну дык против лома нет приёма
Если нет другова лома: Тут выход один - шифрование диска проще винду заставить это делать автоматом самой, а ключ давать не из хранилища а .... Короче тут стандартная ситуация меча и щита. P/S/ В теории много чего напридумывать можно - но вот делать это другое. |
|
|
Создано: 13 декабря 2007 18:37 · Поправил: Error_Log · Личное сообщение · #15 SWR пишет: Но если сам перехват сделать почти не востонавливаемый без перезагрузки системы (и понизить права администратора).... Бугага, делай. Сделайте реализацию, и я вам покажу как не снося хуков их обойти против ring-0 методов не возможно создать защиту в том же ring-0. Короче это бессмысленная игра в кошки-мышки. Я вообще молчу про то, что NtOpenProcess в ядре и нафиг не надо.
----- Research is my purpose |
|
|
Создано: 13 декабря 2007 20:49 · Личное сообщение · #16 За ответы спасибо =), есть над чем подумать. Есть еще вопрос, можно ли уничтожить процессы к примеру каспера и аутпоста и как это сделать. Несколько раз читал статьи рема, но так и не пришел к решению этой проблеммы |
|
|
Создано: 13 декабря 2007 21:54 · Личное сообщение · #17 Насчет осложнения жизни при убийстве процесса - можно создать свою TSS там и использовать Ring1 и Ring2; каспера можно наверное, но видимо придется создавать свою TSS, останавливать систему и восстанавливать все перехваченные структуры ядра (а-ля Soft-Ice), т.к. при попытке отодрать его с живой системы он на это дело очень сильно реагирует (т.е. БСОДом), проверялось RkU на VMWare, у него там все ядро перехвачено. Оутпост полегче будет наверное, хотя не знаю, не смотрел. |
|
|
Создано: 13 декабря 2007 23:49 · Личное сообщение · #18 Spirit, до вы норкоман.... ----- Shalom ebanats! |
|
|
Создано: 14 декабря 2007 03:51 · Личное сообщение · #19 Spirit пишет: А тебе не кажетс, что если этно похукать, то система тутже БСОДнет? =) не кажется |
|
|
Создано: 14 декабря 2007 21:39 · Личное сообщение · #20 Простейший пример защиты - винлогон. |
|
|
Создано: 14 декабря 2007 22:54 · Личное сообщение · #21 S_T_A_S_ пишет: Простейший пример защиты - винлогон. Защиты чего? Его неубивает только виндовый такс менеджер, остальными даже самыми простыми процесс киллерами он убивается наура из ринг-3 ;) |
|
|
Создано: 14 декабря 2007 23:40 · Личное сообщение · #22 VAD87, и система выносится с бсодом) ----- Shalom ebanats! |
|
|
Создано: 15 декабря 2007 00:08 · Поправил: Lumen · Личное сообщение · #23 Ну ведь не оговаривалось же с каким последствиями будет уничтожен процесс.  .
Хотя если так рассуждать, то можно сказать, что наивысшими правами в системе обладает Чубайс 
ЗЫ: попробуйте завершить программку из аттача. Естественно кроме как методом Чубайса. Там используется одна особенность винды, в общем все мои старания прибить её ничем не увенчались. Да, забыл. Для запуска нужны права администратора.  5ce5_14.12.2007_CRACKLAB.rU.tgz - Project1.zip
----- The truth is out of there... |
|
|
Создано: 15 декабря 2007 02:15 · Личное сообщение · #24 Если получится кильнуть эту программу - опишите метод (ну или хотя бы алгоритм) убийства. ----- The truth is out of there... |
|
|
Создано: 15 декабря 2007 03:40 · Личное сообщение · #25 Lumen пишет: 5ce5_14.12.2007_CRACKLAB.rU.tgz - Project1.zip ппц, как? 
|
|
|
Создано: 15 декабря 2007 03:44 · Личное сообщение · #26 Lumen пишет: Если получится кильнуть эту программу- опишите метод Нефига,давай сначало про ....метод Чубайса
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 15 декабря 2007 04:50 · Личное сообщение · #27 Ну метод Чубайса не особо хитрый
Он заключается либо в отключении электроэнергии, либо в нажатии кнопки Reset
----- The truth is out of there... |
|
|
Создано: 15 декабря 2007 08:14 · Личное сообщение · #28 Lumen пишет: Ну метод Чубайса не особо хитрый на самом деле винда способна закрыть процесс сама, так как стандартная перезагрузка происходит без проблем. Lumen, поделись исходниками или ссылкой, где можно посмотреть, пожалуйста. |
|
|
Создано: 15 декабря 2007 08:27 · Личное сообщение · #29 Там просто Deadlock на пайпе, работающем в блокирующем режиме. Ms-Rem в статьях об этом писал и на ВАСМе куча топиков была. Убить не возможно, хотя система сама это бы осилила... |
|
|
Создано: 15 декабря 2007 14:10 · Личное сообщение · #30 Twister, ну зачем так прям сразу всё?
А вообще вот топик про эту программку и про методы её убийства... bbs.vbstreets.ru/viewtopic.php?t=23423&postdays=0&postorder=asc&highlight=killme&start=0 ----- The truth is out of there... |
| . 1 . 2 . >> |
|
eXeL@B —› Программирование —› Уничтожение процесса из Ring0 |
Для печати