| Сейчас на форуме: hgdagon, asfa, bartolomeo (+6 невидимых) |
 |
eXeL@B —› Программирование —› Обход файрвола |
| Посл.ответ | Сообщение |
|
|
Создано: 29 июня 2006 20:09 · Личное сообщение · #1 Пишу одну программку на Делфях, ей нужно незаметно скачать один файл. Но файрвол запалит это.Как можно обойти файрвол? В интернете мало об этом сказано. Какие есть способы обмана  |
|
|
Создано: 29 июня 2006 20:13 · Личное сообщение · #2 в нете полно об этом сказано читай дкои на васме, смотри сорсы руткитов.. --> линк1 <-- http://wasm.ru/article.php?article=fwb --> линк 2 <-- http://wasm.ru/src/6/micrork.zip там минимум для тебя.. ----- Тут не могла быть ваша реклама |
|
|
Создано: 29 июня 2006 20:19 · Личное сообщение · #3 да на васьме я смотрел. Все исходники на асьме. А мне желательно на Delphi |
|
|
Создано: 29 июня 2006 20:23 · Личное сообщение · #4 ну гугли доку все того же эмсирема про перехват апи на делфях, там есть нужное тебе =) ----- Тут не могла быть ваша реклама |
|
|
Создано: 29 июня 2006 21:07 · Личное сообщение · #5 GAMe ovER пишет: Как можно обойти файрвол? В интернете мало об этом сказано. Какие есть способы обмана ты так говоришь как будто на свете один файрвол. Файрвол файрволу рознь, нада знать какой у жертвы и искать методы обхода для него. |
|
|
Создано: 29 июня 2006 21:30 · Личное сообщение · #6 можно попробовать тупо покилять фаер ()выдать какую-нибудь ошибку для реалистичности, отослать то, что нужно и потереть все следы 
----- [nice coder and reverser] |
|
|
Создано: 29 июня 2006 21:37 · Поправил: BaGiE · Личное сообщение · #7 WarrioR пишет: Файрвол файрволу рознь а инжект от многих FW помогает. (если грамотно сделано) сам проверял. тока надо удалять информацию о DLL (если это DLL грузится в адресное пространство или обходить защиту, как у Outpost типа перехвата WriteProcessMemory и т.д) GAMe ovER Читай статьи Ms-Rem'а, там много чего есть хорошего. Например статьи "Перехват API функций в Windows NT" - там на Delphi примеры как внедриться в адресное пространство процесса, в том числе можно и файрвола. "Инжект как метод обхода фаерволлов, жив или мертв?" тоже замечательная статья. |
|
|
Создано: 29 июня 2006 21:38 · Личное сообщение · #8 Hellspawn пишет: можно попробовать тупо покилять фаер ()выдать какую-нибудь ошибку для реалистичности, отослать то, что нужно и потереть все следы детский сад имхо =) ----- Тут не могла быть ваша реклама |
|
|
Создано: 29 июня 2006 21:51 · Личное сообщение · #9 lord_Phoenix пишет: детский сад имхо =) и что? ты скажи что это не работает? и не вариант? на войне любые средства хороши! Собрал всю нужную инфу, отослал, удалился... И ты ничё сделать не успеешь 
----- [nice coder and reverser] |
|
|
Создано: 29 июня 2006 22:00 · Личное сообщение · #10 BaGiE пишет: а инжект от многих FW помогает. (если грамотно сделано) да да да, доками закидали, теперь пускай разбереться, что к чему =) Hellspawn пишет: и что? ты скажи что это не работает? и не вариант? на войне любые средства хороши! Собрал всю нужную инфу, отослал, удалился... И ты ничё сделать не успеешь успею ;P атких фторосортных троянов пруд пруди.. пс. хватит флуда %) ----- Тут не могла быть ваша реклама |
|
|
Создано: 29 июня 2006 22:52 · Личное сообщение · #11 это не фторосортный троян, а трой на 1 раз, под конкретного ламера, для получение инфы (я много уже таких фпарил) а как килять AV и фаеры есть статьи
з.ы. я предложил конкретный совет, а флуд начал ты
----- [nice coder and reverser] |
|
|
Создано: 29 июня 2006 22:58 · Личное сообщение · #12 Hellspawn пишет: можно попробовать тупо покилять фаер А можно не килять, а просто засуспендить процесс фаера... правда там свои ньюансы.. ----- Research is my purpose |
|
|
Создано: 29 июня 2006 23:20 · Личное сообщение · #13 инжект имхо самый удобный способ Error_Log пишет: А можно не килять, а просто засуспендить процесс фаера... правда там свои ньюансы.. нюанс в том, что фаер может не дать засуспендить себя? =) ----- Тут не могла быть ваша реклама |
|
|
Создано: 29 июня 2006 23:26 · Личное сообщение · #14 lord_Phoenix пишет: а инжект от многих FW помогает. (если грамотно сделано) Дык в шестой каспер уже сделали защиту от инжекта, он их сразу палит вроде
|
|
|
Создано: 30 июня 2006 00:41 · Личное сообщение · #15 Luminescent пишет: Дык в шестой каспер уже сделали защиту от инжекта, он их сразу палит в Никогда не говори больше таких глупостей  В аутпосте вроде тоже защита от инжекта есть...
lord_Phoenix пишет: нюанс в том, что фаер может не дать засуспендить себя? =) Нет, нюанс в том, что если суспендить, например, аутпост, то сохранятеся только установленные на момент суспенда сетевые соединения, а новые установить не выходит. ----- Research is my purpose |
|
|
Создано: 30 июня 2006 09:28 · Личное сообщение · #16 Hellspawn пишет: а трой на 1 раз, под конкретного ламера Тогда зачем мучиться с обходом? Если тебе надо просто отослать инфу, а человек постоянно в инете, то самое быстрое (но не самое умное) это удалить/остановить файрвол, отправить все что надо, НО человек поймет что что-то тут не так. Это самое быстрое что можно сделать. Сильно не рекомендую так делать, если пишешь прогу, расчитанную на долгосрочное использование. |
|
|
Создано: 30 июня 2006 10:22 · Личное сообщение · #17 читай E-Zine от mazafaka.ru, правда не помню какой номер, но их там не много и статья действительно хорошая ----- Nothing just happens. You choose it to happen. |
|
|
Создано: 30 июня 2006 16:21 · Личное сообщение · #18 Error_Log пишет: Никогда не говори больше таких глупостей В аутпосте вроде тоже защита от инжекта есть... Какие нахрен глупости? Я к тому что аутпост у мня ниразу не обнаруживал инжект даже с его долбаными плугинами... |
|
|
Создано: 30 июня 2006 16:40 · Личное сообщение · #19 Luminescent пишет: Какие нахрен глупости? Я к тому что аутпост у мня ниразу не обнаруживал инжект даже с его долбаными плугинами... А ты уверен что каспер точно палит инжект? (и смотря какой). Ты говоришь так как будто бы на 100% в этом уверен. Но если защита и есть, то есть и способ обойти её
З.Ы. аутпост действительно тупой FW и с плугинами и без. когда я его поставил, то мне иногда даже стало казаться что он для параноиков, которые думают что он поможет чем-то... а затем я его снес. хотя у аутпоста мне все же одна вещь понравилась - это плугин для вырезания рекламных баннеров |
|
|
Создано: 30 июня 2006 16:51 · Личное сообщение · #20 BaGiE пишет: и смотря какой Я ж написал, што 6. BaGiE пишет: Ты говоришь так как будто бы на 100% в этом уверен. Я говорю, што вижу. По крайней мере у меня действительно всё время ловит инжект, постафь и смори сам. BaGiE пишет: Но если защита и есть, то есть и способ обойти её Ну ето понятно Просто ета версия антивиря довольно новая.
|
|
|
Создано: 30 июня 2006 21:17 · Личное сообщение · #21 Luminescent пишет: По крайней мере у меня действительно всё время ловит инжект, постафь и смори сам Во-первых каспер 6 не ловит заражение системных файлов, чем тебе не обход? Во-вторых, легко можно сделать так, что после перезагрузки Windows первее каспера загрузится троян, отправит все что надо, а потом загрузит каспера =)). Это я проверял. А то что каспер ловит WriteProcessMemory и CreateRemoteThread дык это еще не о чем не говорит
----- Research is my purpose |
|
|
Создано: 30 июня 2006 21:27 · Личное сообщение · #22 Error_Log пишет: Во-первых каспер 6 не ловит заражение системных файлов Дык штоб заразить надо сначала вирю запустица. А как он запустица, если каспер работаеть? А с автозагрузкой я не проверял, но там всёравно можно каспера снести, почитай ms-rem'а Error_Log, ваще фигня ето всё, всё равно всё сломаем
И пошел етот каспер в 
|
|
|
Создано: 01 июля 2006 10:04 · Личное сообщение · #23 Error_Log пишет: -вторых, легко можно сделать так, что после перезагрузки Windows первее каспера загрузится троян, отправит все что надо, а потом загрузит каспера =)) Не факт, что тогда будет потключен и нет. У меня к примеру не успевает. |
|
|
Создано: 01 июля 2006 19:34 · Личное сообщение · #24 У меня каспер мой инжект не палит хоть в него тыкай =) :D |
|
|
Создано: 02 июля 2006 01:42 · Личное сообщение · #25 если решать проблему на счет фаерволла, то касательно вырубки его. это не поможет. если вы kill в режиме debug сделаете сервису фаерволла, то доступ в сеть закроется вместе с фаером. идей на счет обхода фаера много. вот одна из них: как известно, большинство юзеров сидят в системах под админами. поэтому делаем снятие всех хуков в SDT. а потом инжектимся куда хотим, никто ничего не заподозрит. удачи, братва!  =)
|
|
|
Создано: 02 июля 2006 11:38 · Поправил: Error_Log · Личное сообщение · #26 Есть функция ZwWriteRequestData -- осуществляет запись данных в пространство виртуальных адресов процесса, на которые указывают сообщения (из справочника). Вопрос - пробовал ли ней кто-то пользоваться для инжекта в доверенный процесс? Эту функцию не перехватывают фаеры в большинстве случаев, но, похоже ее можно использовать для инжекта. Luminescent пишет: Дык штоб заразить надо сначала вирю запустица. А как он запустица, если каспер работаеть Знач прийдется пить йад или идти учить матчасть. ----- Research is my purpose |
|
|
Создано: 02 июля 2006 13:16 · Личное сообщение · #27 Error_Log пишет: Есть функция ZwWriteRequestData -- осуществляет запись данных в пространство виртуальных адресов процесса, на которые указывают сообщения (из справочника). а что за справочник? он на русском или это ты уже переводил? ----- Nothing just happens. You choose it to happen. |
|
|
Создано: 02 июля 2006 18:17 · Личное сообщение · #28 Viktoro пишет: а что за справочник Гэри Неббет Справочник по базовым функциям API Перевод с английского Коваленко В.А. >в книге содержится полное описание базовых функций API... ----- Research is my purpose |
|
|
Создано: 02 июля 2006 23:24 · Личное сообщение · #29 ZwWriteRequestData пользоваться относительно не безопасно. ибо функция недокументирована официально. и кто его знает как она себя будет вести в различных версиях систем. |
|
eXeL@B —› Программирование —› Обход файрвола |
Для печати