Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
вдруг кому-то будет интересно [Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Последний раз редактировалось warl0ck; 09.07.2012 в 12:40.
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от DED_MA3AY
я тут понимаю что ты даже не понял что скопипастил ...
Разумеется не понял, я же это сразу написал. Скорее не скопипастил а просто рассказал о том, что нашёл.
1. снять этот хук
1. Нужен обход, и если этот обход сделают то в паблике его скорее всего не будет
1. Какой в жопу обход а нулевом кольце ... - Я имел ввиду сам драйвер (Как обход), или что ты там пишешь, который и будет снимать этот хук, думал это понятно
2. обратится напрямую по указателю к правильной функции (если перехватили через SSDT )
2. Если не ошибаюсь, это нужно заинжектить dll, или ты сможешь функции PB из-вне вызывать? 0_о
2. в нулевом кольце нет инжекта длл там только драйвера + системные ДЛЛ их ты не хукнеш из юзермоде .. - Это то понятно. Я видимо не о тех "функциях" подумал..
3. использховать другие функции
3. Какие?
3. в иде раскрой функцию ZwWriteProcessMemory и посмотри что она юзает хотя в ядре уже будет функция NtWriteProcessMemory - -
4. откоректировать функцию которая совершила перехват и сделать в месте проверки jmp (чтобы всегда разрешала запись)
4. Ты её найди сначала, потом отредактируй да ещё и сохранить попробуй. Если за это отвечает драйвер, то функция в .sys файле, а IDA его хоть и открывает но сохранять она в .sys не умеет (Несколько я знаю)
4. дык если функция в ядре отхучена то эт тебе покажет тотже самый кернел детективе. И что мне помешает ее отредактировать? после загрузки драйвера как ты говориш sys файла функция уже не в файле а в памяти ядра .. и IDA открывает sys но зачем мне го после этого опять сохранять в sys ? если можно самому написать свой драйвер - -
________________
Последний раз редактировалось Fojest; 09.07.2012 в 16:50.
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от DED_MA3AY
ну перехватил "какойто антивирус или фрост" ZwWriteProcessMemory
ну и в рот ему потные ноги .. что нам мешает один из вариантов:
1. снять этот хук
2. обратится напрямую по указателю к правильной функции (если перехватили через SSDT )
3. использховать другие функции
4. откоректировать функцию которая совершила перехват и сделать в месте проверки jmp (чтобы всегда разрешала запись)
и масса других вариантов
когда вы в ядре вас может ограничить только ваша фантазия и знание системы
Ничего из этого не поможет на х64, т.к. фрост там ничего не хучит.
С висты SP1 и windows server 2008 появилась новая технология фильтров для защиты процессов и нитей, файлов, сетей. На 64 XP ее еще не было. Если бы можно было прочитать адрессное пространство драйвера, то обойти это не составит труда.
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от erro1
Ничего из этого не поможет на х64, т.к. фрост там ничего не хучит.
С висты SP1 и windows server 2008 появилась новая технология фильтров для защиты процессов и нитей, файлов, сетей. На 64 XP ее еще не было. Если бы можно было прочитать адрессное пространство драйвера, то обойти это не составит труда.
ты хочеш сказать что если я дерну нативную функцию записи в чужой процесс (функцию которая даже непроверяет имею ли я право на это) я не смогу ничего записать в защищаемый фростом процесс ?
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от erro1
Ничего из этого не поможет на х64, т.к. фрост там ничего не хучит.
С висты SP1 и windows server 2008 появилась новая технология фильтров для защиты процессов и нитей, файлов, сетей. На 64 XP ее еще не было. Если бы можно было прочитать адрессное пространство драйвера, то обойти это не составит труда.
да с х64 проблема
________________
Лучшая благодарность это кнопка "Спасибо". Если тебе помогли, не поленись, и нажми на эту кнопку
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от DED_MA3AY
ты хочеш сказать что если я дерну нативную функцию записи в чужой процесс (функцию которая даже непроверяет имею ли я право на это) я не смогу ничего записать в защищаемый фростом процесс ?
Сомневаюсь что тебе будет достаточно дернуть 1 функцию. Придеться полностью реверсить нативную функцию (тут я имею в виду Nt, Zw), а там уже разбираться как выделяется память тем же NtAllocateVirtualMemory. В любом случае придеться писать свою функцию.
P.S. если ты все это один делаешь, тогда респектище, ибо переписывать ядро это не хукать SSDT.
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от iamzero
Думал у него команда разработчиков?
Откуда я знаю. Буржуйские читофабрики состоят из 5-6 кодеров. У каждого свои обязанности и свой пакет хаков. Но такие проблемы, я уверен, они совместно решают.
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Цитата:
Сообщение от erro1
Откуда я знаю. Буржуйские читофабрики состоят из 5-6 кодеров. У каждого свои обязанности и свой пакет хаков. Но такие проблемы, я уверен, они совместно решают.
Re: Обход нового фроста - Тренеры снова в строю? Обсуждаем!
Вадим здарова. Ну до тебя не достучишся нигде. Когда WC обновишь? И все отсальные функции?! Ты там на реклассинге писан что обновишь после того как драйвей на 64бит напишешь и т.д. Но а можешь примерные сроки назвать когда обновишь вх?