Текущий архив: 2006.09.17;
Скачать: CL | DM;

Вниз

Методы работы антивирусных почтовых сканеров   Найти похожие ветки 

← →
Piter ©   (2006-08-22 00:23) [0]

Видел алгоритм работы почтовых сканеров на вирусы. Как я понимаю, они любое устанавливаемое TCP соединение на определенный порт (110, например) перенаправляют на себя, а сами устанавливают соединение с этим портом, "прокачивая" трафик через себя (и проверяя, соответственно).

Нужно реализовать нечто похожее. Как можно перенаправить соединение?

Неужели они перехватывают WinApi функции?! Что-то сомнительно... Да и работают как-то легко :) Запускаются под любыми правами, никому не мешают.

Может есть какой легкий способ?

---

← →
Ketmar ©   (2006-08-22 00:28) [1]

да. хукают. а запускаются они обычно как сервисы, сиречь с правами системы.

или -- как вариант -- transparent proxy. в почтовике настраиваем забор почты с адреса 127.0.0.1 и пишем свою забиралку, которая анализирует письма перед отдачей почтовику.

---

← →
Piter ©   (2006-08-22 01:03) [2]

Ketmar ©   (22.08.06 0:28) [1]
да. хукают

хукают это одно, а перехват API функций - совсем другое.

Ketmar ©   (22.08.06 0:28) [1]
а запускаются они обычно как сервисы, сиречь с правами системы

да нет, в том то и дело, что и без таких полномочий могут. Просто EXE запустил - и он уже перехватывает...

Ketmar ©   (22.08.06 0:28) [1]
или -- как вариант -- transparent proxy. в почтовике настраиваем забор почты с адреса 127.0.0.1

в том-то и дело, что в почтовике ничего настраивать не надо, все автоматом.

---

← →
Ketmar ©   (2006-08-22 01:14) [3]

> [2] Piter ©   (22.08.06 01:03)
> хукают это одно, а перехват API функций - совсем другое
держите меня семеро. сделай поиск по "api hooking".

> что и без таких полномочий могут
угу-угу. на ограниченом аккаунте. без права открывать процессы на запись, например.

давайте так: приведите пример программы.

---

← →
Piter ©   (2006-08-22 01:27) [4]

Ketmar ©   (22.08.06 1:14) [3]
угу-угу. на ограниченом аккаунте. без права открывать процессы на запись, например

без таких = без полномочий сервера (в контексте нашего разговора).

Например, будучи запущенные под обычным пользователем (не advanced).
КОнечно, перехватят они тогда, наврное, только такие же процессы (не проверял) - но и этого достаточно.

Ketmar ©   (22.08.06 1:14) [3]
держите меня семеро. сделай поиск по "api hooking".

Ладно, не будем спорить о терминологии. Просто я под "хукают" - понимаю установку хука (SetWindowsHook)

Ketmar ©   (22.08.06 1:14) [3]
давайте так: приведите пример программы

да по-моему все антивирусные посчтовые сканеры так делают.

Пример: Spider mail, Internet monitor из пакета NOD 32...

---

← →
Piter ©   (2006-08-22 01:27) [5]

Piter ©   (22.08.06 1:27) [4]
без таких = без полномочий сервера

без полномочий "сервиса"

сори за опечатку.

---

← →
Ketmar ©   (2006-08-22 01:44) [6]

> [4] Piter ©   (22.08.06 01:27)
а теперь пример антивируса, где это работает не как сервис. насколько я помню, NOD32 engine -- как раз сервис.
что такое Spider Mail -- я не знаю, но сильно подозреваю, что оно тоже сервис суёт.

впрочем, ответ всё равно не меняется: api hooking.

---

← →
Ketmar ©   (2006-08-22 01:44) [7]

нет, можно, конечно, и сложнее, но тогда и прав больше надо. %-)

---

← →
Piter ©   (2006-08-22 15:06) [8]

Ketmar ©   (22.08.06 1:44) [6]
что такое Spider Mail -- я не знаю, но сильно подозреваю

программка из пакета Dr.web

Нет, никаких сервисов ей не надо, все сервисы Spider"а можно остановить и просто запустить EXE - она будет проверять.

Сейчас у меня стоит NOD, он конечно в виде сервиса...

Но у меня стоит файервол Jetico - он отлично обнаруживает любые попытки внедрения в  чужой процесс, так вот на NOD он ничего не пишет...

Блин, сто пудово должен быть именно что простой способ для этой задачи...

---

← →
Piter ©   (2006-08-22 15:14) [9]

Хм... с другой стороны у меня NOD"у разрешено только обновляться...
То есть, псевдоконнект он устанавливает из под личины почтового клиента. Но при этом Jetico не ругается на внедрение...

Блин, может я вообще неправильно понимаю идею работы? Я как думаю:

- почтовый клиент пытается установить коннект
- монитор перехватывает соединение и устанавливает СВОЙ коннект
- прокачивает данные через свой коннект, проверяет и отправляет почтовому коннекту (поэтому под почтовыми мониторами аттачи при передачи пишутся 0%, а потом бац - и сразу 100%)

Но может все не так? Может быть монитор НЕ устанавливает свой коннект?

Может в какой-нибудь WinApi 2.0 есть возможность установить хук на передачу данных?!

---

← →
Piter ©   (2006-08-22 15:15) [10]

Piter ©   (22.08.06 15:14) [9]
Может в какой-нибудь WinApi 2.0

WinSock 2.0

---

← →
guav ©   (2006-08-22 15:40) [11]

Dr Web вроде свой драйвер ставит, типа как файрвол.

---

← →
Piter ©   (2006-08-22 16:15) [12]

guav ©   (22.08.06 15:40) [11]

блин, вот с драйверами тоже возможно :(
Но имхо драйвер ставится чисто для проверки файлов, а вот для перехвата соединений...

Блин, вот и хотелось бы знать - как на самом деле реализовано.

---

← →
Rouse_ ©   (2006-08-22 17:11) [13]

> держите меня семеро. сделай поиск по "api hooking".

А что у нас уже АПИ функции хукают? :)
Мошт всеже внедрение через Hook, а потом только API Interception? :))

---

← →
Piter ©   (2006-08-22 17:55) [14]

Rouse_ ©   (22.08.06 17:11) [13]

я тоже об этом говорил.

Но может просто перехват тоже хукингом называют. Не в смысле поставить HOOK (как один из способов внедрения), а в смысле перехватить функции.

Да и в общем не в терминологии дело.

---

← →
Ketmar ©   (2006-08-22 18:25) [15]

> [13] Rouse_ ©   (22.08.06 17:11)
хукают, хукают. и интерсептят тоже. что однофигственно. %-) а внедрение через хук делают только недобитые джедаи. %-)

зыж
вообще-то да -- все нормальные антивирусы втыкают ndis-драйвера. хочется такое написать? флаг в руки. "мне не надо <быстрее>, мне надо, чтобы ты задолбался!" (ц), так, да?

---

← →
oldman ©   (2006-08-22 18:31) [16]

> Видел алгоритм работы почтовых сканеров на вирусы...  

> Нужно реализовать нечто похожее. Как можно перенаправить
> соединение?


ну...
если видел алгоритм работы, какие вопросы???
:)))

---

← →
Piter ©   (2006-08-22 18:36) [17]

Ketmar ©   (22.08.06 18:25) [15]
хукают, хукают. и интерсептят тоже. что однофигственно

это вообще разные вещи

Ketmar ©   (22.08.06 18:25) [15]
а внедрение через хук делают только недобитые джедаи

хм. Я что Рихтера читал, что вообще слышал - это самый универсальный и безглючный способ внедрения.

А как же внедряются супер-хацкеры?

---

← →
Piter ©   (2006-08-22 18:38) [18]

Ketmar ©   (22.08.06 18:25) [15]
вообще-то да -- все нормальные антивирусы втыкают ndis-драйвера. хочется такое написать? флаг в руки. "мне не надо <быстрее>, мне надо, чтобы ты задолбался!" (ц), так, да?

у тебя очень интересная точка отстаивания  своего мнения - обязательно обосрать чужое.

Ты УВЕРЕН, что интернет-мониторы драйвера на перехват WinSock ставят?

---

← →
Ketmar ©   (2006-08-22 18:49) [19]

> [17] Piter ©   (22.08.06 18:36)
а я вот не "слышал", а "делал". и, кстати, не помню, чтобы Рихтер говорил про "самый-самый". афаир, он говорил про удобный и... а. лениво мне. пусть будут хуки. пусть .EXE без сервисов. да хоть вообще батники. смысл тут распинаться, если читают в лучшем случае через слово?

---

← →
Piter ©   (2006-08-22 22:04) [20]

Ketmar ©   (22.08.06 18:49) [19]
я вот не "слышал", а "делал

Ketmar, это ты понтанулся что ли? Я тоже перехватывал WinApi функции, благо Рихтер все давно расписал как чего.

Ketmar ©   (22.08.06 18:49) [19]
лениво мне. пусть будут хуки. пусть .EXE без сервисов. да хоть вообще батники. смысл тут распинаться, если читают в лучшем случае через слово?

да нет, ты просто не аргументируешь свою точку зрения, а потом обижаешься, если с тобой ПОЗВОЛЯЮТ не соглашаться.

Вот например, ты говорил, что хуки - для ламаков. Назови плиз более лучший способ внедрения?

---

← →
Ketmar ©   (2006-08-22 22:07) [21]

> [20] Piter ©   (22.08.06 22:04)
лично я тебе ничего называть и показывать не собираюсь. подают в другом месте. а здесь принято сначала читать сообщения. ты мои читаешь как-то странно, приписывая мне утверждения, которых я не делал. за сим разговор с тобой в этой ветке закончен.
"компрене ву?" (ц)

---

← →
Piter ©   (2006-08-22 22:13) [22]

Ketmar ©   (22.08.06 22:07) [21]

это абсолютно твое право, я ничего от тебя требовать не имею правf.
Только хочу заметить, что ты сначала наговорил, а теперь просто убежал от разговора. Видимо, сначала посчитал, что я ламер, мол блесну гранями, а теперь просто умываешь руки :)

Я абсолютно не прошу оправдываться и прочее. Просто хочу чтобы ты пояснил свои мысли.

Например, твоя фраза:

Ketmar ©   (22.08.06 18:25) [15]
а внедрение через хук делают только недобитые джедаи.

я делаю вывод, что ты знаешь способы внедрения получше?

Прошу их озвучить, вот и все.
Думаю, что не озвучишь, а как минимум будешь продолжать уходить от разговора, потому что прекрасно знаешь, что у всех остальных способов есть серьезнейшие недостатки.

P.S. Очень жаль, что все перешло в тупое бодание.

---

← →
Дмитрий Белькевич ©   (2006-08-23 01:50) [23]

>все нормальные антивирусы втыкают ndis-драйвера

+1. Наверняка, там до api ничего не доходит - на уровне драйверов пакеты перемешивают, скорее всего.

---

← →
Ketmar ©   (2006-08-23 01:54) [24]

> [23] Дмитрий Белькевич ©   (23.08.06 01:50)
но в случае фильтрации именно почты можно и без драйвера. %-)

---

← →
Piter ©   (2006-08-23 15:07) [25]

Эх, сомневаюсь я, что они ради почты пишут свой драйвер для коннектов... Это же не файерволы.

Впрочем, просто бы хотелось узнать точно, может все таки есть простой способ.

---

← →
Piter ©   (2006-08-24 14:44) [26]

up

---

Страницы: 1 вся ветка

Текущий архив: 2006.09.17;
Скачать: CL | DM;

Наверх

Память: 0.54 MB
Время: 0.045 c