| Сейчас на форуме: hgdagon, asfa, bartolomeo (+4 невидимых) |
 |
eXeL@B —› Программирование —› Скрытая работа |
| Посл.ответ | Сообщение |
|
|
Создано: 12 декабря 2006 22:34 · Поправил: Dian · Личное сообщение · #1 Всем привет Интересна информация (советы, литература, ссылки, прочее) по следующим вопросам: 1) Автозапуск. Скрытый, а не через какой-нибудь избитый autorun 2) Сокрытие работы в системе. Хуки? Или есть что поинтересней - они и так уже под сомнением... 3) Передача данных по сети Опять же, не просто так, а с учетом firewall'а, который ничего замечать не должен  |
|
|
Создано: 12 декабря 2006 22:36 · Личное сообщение · #2 А тебе на какой мове интересно? Я например в дельфях пишу... ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 12 декабря 2006 22:40 · Личное сообщение · #3 Dian Топай сюда http://wasm.ru/publist.php ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 13 декабря 2006 00:02 · Личное сообщение · #4 Хз. По первому щас есть утелиты которые показывают вообще все места что может откуда бы то ни было стартовать, тут надо курить бамбук усилено. 2) Есть утелиты которые выводят все приложения которые юзают хуки, я например их отслеживаю, нахожу и грохаю. 3) Файрвол если настроен нормально и нормальный файрвол, то к сожалению нужно тоже курить, в основном наверное на тему убедить пользователя, что то что лезет в сеть абсолютно ему необходимо, как воздух. 
Опять таки для нормального юзера такой гусь не взлетид.
|
|
|
Создано: 13 декабря 2006 02:41 · Личное сообщение · #5 Dian В ученики к Ms-Rem-у. Почитай про написание руткитов. Без асма и написания драйверов - не обойдешься. |
|
|
Создано: 13 декабря 2006 02:56 · Личное сообщение · #6 грузится можно и общеизв способами главное не вызвать подозрений = acid spirit )) значит ты вкурсе сколько хуков ставят приложения ( это если ловить только keyb хук ты фотошоп, ворд, эксплорер в конце концов тоже грохаеш? )) 2) ддк в руки |
|
|
Создано: 13 декабря 2006 03:40 · Поправил: Dian · Личное сообщение · #7 Spirit Оптимальный вариант - С++, хотя подойдут Asm и Delphi ValdiS, stahh, LazzY Спасибо acid spirit 1) например? 2) У меня Lingvo и Winamp хуки юзают - убить их об стену теперь, что-ли?
3) Outpost попадает в категорию "нормальных"? эксплорер в конце концов тоже грохаеш? В первую очередь - "Дави осла!"
2) ддк в руки Это да... P.S. Может кто-нибудь хочет принять участие а исследовательском проекте на эту тему? ;) (ася - 466772909) |
|
|
Создано: 13 декабря 2006 03:52 · Поправил: vins · Личное сообщение · #8 stahh пишет: В ученики к Ms-Rem-у. Чуть что сразу к рему, а самому поискать инфу и подумать трудно ? з.ы. на васме есть все что надо |
|
|
Создано: 13 декабря 2006 04:32 · Личное сообщение · #9 stahh пишет: В ученики к Ms-Rem-у. Почитай про написание руткитов. Без асма и написания драйверов - не обойдешься. Зачем в ученики. Надо самому разруливать. И вообще. С++ хоть и ООП, но библитотеки с++,что используют?А про руткиты выкладывают только фигню. Хорошую инфу просто так не выложат. Отсюда вывод, копать только самому.Если копать самому не получается, тогда выкидывайте затею как глупую, ничего все равно не выйдет. |
|
|
Создано: 13 декабря 2006 06:09 · Личное сообщение · #10 Dian пишет: Скрытый, а не через какой-нибудь избитый autorun Такого нет. Все методы автозапуска давно избиты и учтены в различных антивирусных утилитах. Хотя воспользоваться ими можно, при некоторо умении их скрывать. Dian пишет: Хуки? Или есть что поинтересней - они и так уже под сомнением... Попробуй DKOM. И без хуков много чего можно сделать. dimaxmaster пишет: А про руткиты выкладывают только фигню Абсолютно согласен. Никто не станет просто так делиться полезной информацией. Все новости на rootkit.com обычно отстают на год от реального положения дел, хотя публичные антируткиты от положения дел часто отстают только на шаг. ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 13 декабря 2006 08:44 · Личное сообщение · #11 Такого нет. Все методы автозапуска давно избиты и учтены в различных антивирусных утилитах. Не согласен. Как насчет загрузки драйверов вместе с системой? Или даже - до, напр. Сайс? Какой антивирь грузиться раньше? Зачем в ученики. Надо самому разруливать. Много ты сам разрулишь? Только верхов можно нахвататься. Да и то - где? Я б и сам у Ms-Rema поучился, да в кодинге - слаб. И поздно старому медведю учиться новым трюкам. 
И в любом случае, чтоб чота толковое сделать - надо быть системщиком, а не просто знать делфи или си. Это - если чот толковое. И без дров - не обойтись. |
|
|
Создано: 13 декабря 2006 08:51 · Личное сообщение · #12 stahh пишет: Сайс? Какой антивирь грузиться раньше? Я говорю не о том, какой грузиться раньше, а о том, что все методы автозагрузки уже учтены. Возьми к примеру HijakThis или AVZ, и увидишь ключи реестра откуда загружается айс. Тоже самое покажет autoruns и еще куча разных утилит. Попробуй установить айс при наличии какого-либо HIPS, и без предупреждений это сделать не удасться. Принципиально новых, нигде не учтенных методов антизагрузки не имеется в принципе (не будем только вспоминать о перешивке биос матери и pci карт). ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 13 декабря 2006 10:33 · Личное сообщение · #13 что-нить нативное до загрузки эксплорера.. сорри за оффтоп 2MS_Rem в ученики набираешь? 
я согласен 
----- Researcher |
|
|
Создано: 13 декабря 2006 10:39 · Личное сообщение · #14 overwriter пишет: в ученики набираешь С чего бы это? Учитесь у гугла, он многое знает. ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 13 декабря 2006 11:26 · Личное сообщение · #15 Ms-Rem Ну, я согласен, что ключи учтены. Но если умело сделано, загружено раньше антитвари и скрыто - то мало кто обнаружит такую весчь  Я не имею ввиду таких, как здесь присутствующие. Мой знакомый страдает манией. У него каспер стоит на обновления кажные 3 часа(а может и чаще, если есть), оутпост - в режиме блокировки. Ну я ему как-то сказал, что до  все его крепости, если зацепит хорошего руткита. "А чо такое - руткит?" - был ответ.
Dian Так вот с ходу - пиши драйвер, добавляй его HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices, Reg_Dword "Start", 1. Ну, а дальше драйвер должен работать. Делать руткит, мне кажется - не то. Все равно, при желании его вычислят. Лучче приклеить его к какой-нить проге и замаскировать под официальную дровину. Ну там подпись, версия и все такое. И пусть работает легально. 
|
|
|
Создано: 13 декабря 2006 18:10 · Личное сообщение · #16 stahh пишет: Dian Так вот с ходу - пиши драйвер ... Точно, и если что, я думаю, Ms-Rem подскажет.
ну и пару ссылочек в помощь - ген в сети www.jungo.com/download/KD611.EXE www.jungo.com/download/WD811.EXE |
|
|
Создано: 13 декабря 2006 21:16 · Личное сообщение · #17 LazzY Я имею ввиду, что смотреж, что использует, исследуешь, и если видишь что кака - убиваешь. Я же не говорю все сносить, а все, что левое на твой взгляд.
Dian Да прогу я не помню, я кочал какую то ставил, помню что какой то серьезной конторы американской, она смотрит во все места и пишет что откуда грузится. По второму а разве я сказал все убивать? Что за воображение? Я говорю имено о том, что не нужно, или подозрительно, если программа c:windowsvasisdust.exe висит, стоит задуматься. Outpost'а нормальность это все субъектив, тут дело не в этом, все фаерволы все равно не учтешь. А вообще масдай разрабочеки специально курили на тему того, чтобы было трудно запустить что то незамечено. Это же и их репутация в какой то степени, венду они во всяком случае пытались в этом ограничить. А дриверы форева. )))
|
|
|
Создано: 14 декабря 2006 01:08 · Личное сообщение · #18 stahh пишет: Много ты сам разрулишь? Только верхов можно нахвататься. Да и то - где? Я б и сам у Ms-Rema поучился, да в кодинге - слаб. И поздно старому медведю учиться новым трюкам. И в любом случае, чтоб чота толковое сделать - надо быть системщиком, а не просто знать делфи или си. Это - если чот толковое. И без дров - не обойтись. Во-первых, учиться надо самому. Во-вторых, системщик - это условное понятие. Есть понятие - программист. Если мозги есть, то начиаешь изучать, как и что работает.Постепенно. За месяц этому не научиться. Если мозгов нет, то хоть в ученики записывайся, хоть не записывайся - толку не будет.Если ты знаешь с++, но открыв библиотеку iostream.h ничего не понимаешь - то ты не знаешь с++.Имхо. Поэтому, только самому доходить до руткитов и прочее. А чтобы обмануть антивирус, фаервол и т.д., сначала изучают как они работают.Затем ищут слабые места. Так и делают. И если кто-то думает, что это типа - захотел, и раз тебе руткит, то тогда, за руткиты не стоит и браться. Серьезные программисты, много изучают. В этом их сила. А неумейки хотят все сразу и по быстрому.Кидисы им название
|
|
|
Создано: 14 декабря 2006 01:22 · Поправил: censor · Личное сообщение · #19 dimaxmaster iostream.h вообще-то считается устаревшим хидером, и по стандарту надо включать iostream (без .h). это к вопросу о знании vs незнании с++ : )
|
|
|
Создано: 14 декабря 2006 01:32 · Личное сообщение · #20 вот недавно скачал книгу "Программирование драйверов и систем безопасности - Светлана Сорокина" (тока пока не читал). Может кто читал, хочется выслушать мнения по сабжу. ЗЫ Видел еще книгу - "В.Солдатов - Программирование драйверов Windows", во думаю, с какой начать? |
|
|
Создано: 14 декабря 2006 01:32 · Личное сообщение · #21 censor пишет: iostream.h вообще-то считается устаревшим хидером, и по стандарту надо включать iostream (без .h). это к вопросу о знании vs незнании с++
Это смотря чем пользоваться.Вот открой например Borland c++ 5.02 и повключай без h. Другое дело если юзаеш билдер. А написал я об iostream.h, так как самая первая прога которая пишется на с++ обычно - это всем известный Hello,world! И юзают там iostream.h Ну это к слову.
|
|
|
Создано: 14 декабря 2006 04:06 · Личное сообщение · #22 dimaxmaster Не, - самому учиться тоже надо. Но в таких запущенных случаях, как написание руткитов - без гуру не обойтись. И начинать надо не с изучения си++, а с изучения железа, в первую очередь - процессора. И писать дрова на си++ - изврат, для этого есть асм.
Зы. Тема переходит в офтоп. |
|
eXeL@B —› Программирование —› Скрытая работа |
Для печати