| Сейчас на форуме: tyns777 (+5 невидимых) |
 |
eXeL@B —› Программирование —› ERROR_ACCESS_DENIED при вызове DeviceIoControl |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 18 марта 2010 09:42 · Личное сообщение · #1 Первые два вызова отрабатывают нормально, на третьем  Исходник в архиве, там же драйвер и оригинальный бинарник из которого выдраны вызовы.  976f_17.03.2010_CRACKLAB.rU.tgz - drwprot.zip
 |
|
|
Создано: 18 марта 2010 13:22 · Личное сообщение · #2 Необходим ДрВэб для теста. ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 18 марта 2010 13:42 · Личное сообщение · #3 Coderess Что именно от него надо? У меня Enterprise редакция, толку от неё будет немного. Собственно из-за того, что он Enterprise всё и началось - пришло битое обновление и на всех машинах клиенты резко стали неуправляемыми, для того чтоб их оживить - нужно отключить самозащиту, причём автоматически, чему мешает капча в штатной отключалке. ЗЫ: ftp://ftp.drweb.com/pub/drweb/windows/drweb-600-win-x86.exe Такой не подойдёт? Демо-ключ можно получить прямо из него. |
|
|
Создано: 18 марта 2010 13:57 · Личное сообщение · #4 viiri Я так думаю проект коммерческий или по крайней мере должен денежку стоить. ----- продавец резиновых утёнков |
|
|
Создано: 18 марта 2010 14:44 · Личное сообщение · #5 HiEndsoft Не понял? Подсказать что не так с вызовом будет денежку стоить? |
|
|
Создано: 18 марта 2010 14:46 · Личное сообщение · #6 Нет, имеется ввиду, что за помощью можно к разрабам обратиться. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 18 марта 2010 15:21 · Личное сообщение · #7 ARCHANGEL Вот именно ----- продавец резиновых утёнков |
|
|
Создано: 18 марта 2010 16:19 · Личное сообщение · #8 ЗЫ: ftp://ftp.drweb.com/pub/drweb/windows/drweb-600-win-x86.exe Такой не подойдёт? Демо-ключ можно получить прямо из него Это-ж надо устанавливать на машину, возится и HiEndsoft Я так думаю проект коммерческий или по крайней мере должен денежку стоить. Я тоже так считаю. ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 18 марта 2010 16:55 · Личное сообщение · #9 Alchemistry пишет: ТС ищет способ выключить самозащиту докторвеб. Видимо считает, что его писали идиоты. (с) К.О. Ну не идиоты, конечно. Но как-то я писал атакующий все известные антивирусы драйвер (вот только давайте без вопросов "зачем?") и процессы Dr.Web легко и непринуждённо гасли, несмотря на все их хвалёные перехваты в ядре и модули самозащиты. А как погас процесс, то сняли перехват)) А сняли перехват - нет самозащиты. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 18 марта 2010 18:05 · Личное сообщение · #10 на чем писался драйвер? ----- The blood swap.... |
|
|
Создано: 18 марта 2010 18:08 · Личное сообщение · #11 Johnson Finger На С с использованием WDK 7100.0.0. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 18 марта 2010 20:50 · Личное сообщение · #12 ARCHANGEL Он не защищается от ядра ибо это бесполезно. |
|
|
Создано: 18 марта 2010 21:11 · Личное сообщение · #13 Alchemistry Может и так, да только это авторов малвари не остановит. Но что-то мы отклонились от темы, а по теме, кроме как обратиться в саппорт, не могу ничего посоветовать, ибо здесь не форум разработки троянов - проактивку тут не раскажут, как отключить. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 18 марта 2010 21:56 · Личное сообщение · #14 ARCHANGEL пишет: кроме как обратиться в саппорт, не могу ничего посоветовать, ибо здесь не форум разработки троянов - проактивку тут не раскажут, как отключить. Наверное в саппорте тоже не расскажут 
----- продавец резиновых утёнков |
|
|
Создано: 18 марта 2010 22:34 · Поправил: Clerk · Личное сообщение · #15 Зачем её отключать, если средствами её можно эскалацию привилегий выполнить 
|
|
|
Создано: 18 марта 2010 22:54 · Личное сообщение · #16 Clerk пишет: средствами её можно эскалацию привилегий выполнить Чё выполнить??? ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 18 марта 2010 23:07 · Личное сообщение · #17 ARCHANGEL пишет: эскалацию привилегий Повышение привилегий ----- Research For Food |
|
|
Создано: 18 марта 2010 23:14 · Личное сообщение · #18 Clerk видимо имел ввиду что к драйверу drweb можно цеплятся для различных своих целей, т.к. он является мощной доверенной хренью в ring0. ----- продавец резиновых утёнков |
|
|
Создано: 18 марта 2010 23:29 · Личное сообщение · #19 Видимо не все знают класс уязвимостей "privileges escalation". ----- Shalom ebanats! |
|
|
Создано: 18 марта 2010 23:38 · Поправил: Coderess · Личное сообщение · #20 Эскалация привилегий - это когда привилегия процесса позволяет сделать больше, чем этот процесс должен быть в состоянии делать Privilege escalation is when a privilege enables a process to do more than the process should be able to do ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 19 марта 2010 00:35 · Личное сообщение · #21 Какой интерес к теме! К сожалению до техподдержки дозвониться пока не получилось то ли из-за разницы в часовых поясах, то ли они так работают. Да и появился спортивный интерес - почему один и тот же код работает по-разному?Coderess Для тестов двух файлов из архива должно хватить, хотя вру, нужен ещё один. Приду на работу - отправлю. |
|
|
Создано: 19 марта 2010 00:36 · Поправил: Clerk · Личное сообщение · #22 хм.. я имел ввиду уязвимости типо нульдереференс, расекондишен и пр., через которые можно понижать кпл до нулевого. Софтверные драйвера дырявые практически все. |
|
|
Создано: 19 марта 2010 02:24 · Личное сообщение · #23 Выкладываю. spideragent.exe - устанавливает защиту. spideragent_set.exe - вызывается предыдущим с ключом -uninstall:1985639496 (число - значение GetTickCount, один раз полученное актуально на пару часов) для снятия защиты. spideragent_set.exe - по адресу 4122DFh вызывает диалоговую процедуру для проверки капчи, если занопить вызов - защита чудесным образом перестаёт сниматься. Скорее всего что-то хитрое происходит именно в оконной процедуре, она расположена по адресу 404080h. 92de_18.03.2010_CRACKLAB.rU.tgz - spideragent.zip
|
|
|
Создано: 19 марта 2010 07:46 · Личное сообщение · #24 Очень похоже, что драйвер считает контрольные суммы. Сделал лоадер, вроде работает. ЗЫ: Всё же если кто разберётся - хотелось бы узнать, что ж такого в драйвере происходит. 88cb_18.03.2010_CRACKLAB.rU.tgz - loader.zip
|
|
|
Создано: 19 марта 2010 09:24 · Личное сообщение · #25 давайте без оскорблений, ещё раз и зачинщики будут наказаны. 
----- [nice coder and reverser] |
|
|
Создано: 19 марта 2010 20:41 · Личное сообщение · #26 viiri доверенный список процессов доктор веб с их eprocessами, ты не там - пролетаешь. |
|
|
Создано: 20 марта 2010 02:11 · Личное сообщение · #27 Alchemistry Как это осуществляется? В драйверах не силён. |
|
|
Создано: 21 марта 2010 13:43 · Личное сообщение · #28 Любой антивирус, особенно "кривой" - помощник зловреда. ----- продавец резиновых утёнков |
|
|
Создано: 21 марта 2010 18:54 · Личное сообщение · #29 Alchemistry Сам то хоть понял что сказал ? Обычно доверенные потоки, которые имеют PreviousMode = KernelMode. |
|
|
Создано: 21 марта 2010 19:08 · Поправил: Alchemistry · Личное сообщение · #30 Clerk Ей богу клерк, читай по горизонтали, так лучше понимать. Я то понял, что сказал, а ты несешь чушь как и всегда. Какие доверенные потоки с PreviousMode = KernelMode в процессе agent-е drweb, который включает-выключает самозащиту антивируса? Из юзермода вызывается DeviceIoControl, далее драйвер в обработчике смотрит из какого процесса пришел request. p.s. Или тебе совсем твое кулхацкерство мозги вынесло? Может недостает выпендрежа на васм.ру? |
| . 1 . 2 . >> |
|
eXeL@B —› Программирование —› ERROR_ACCESS_DENIED при вызове DeviceIoControl |
Для печати