Текущий архив: 2005.03.20;
Скачать: CL | DM;
Вниз
Любителям "скырть процесс" под NT посвящается... Найти похожие ветки
← →
Игорь Шевченко © (2005-02-03 16:26) [40]Piter © (03.02.05 15:33) [39]
Все замыкается на NtCreateFile - это единственная дырка. И не читает, а получает доступ к файлу.
С уважением,
← →
BiN © (2005-02-03 16:42) [41]
>>Игорь Шевченко © (02.02.05 11:12) [11]
Но дело в том, что если перехватить, то как тогда остальные будут работать ? Ведь любая программа отображает NTDLL на свое адресное пространство
...
>> [19]
Если перехватывать NtCreateFile, то с какой целью ? Не дать открыть NtDll ? Так это вся система сломается.
...
>> [38]
Так система тоже читает.
Игорь, как, по-твоему, правка адресного пространства одного процесса (собственно перехват NtCreateFile, NtReadFile и т.п.) может повлиять на работу других процессов, тем более, системных?
С уважением,
← →
Burmistroff (2005-02-03 23:06) [42]Cool :)
Есть програмка - "SDTRestore" и "KProcCheck" - проверяют (и удаляют) различные ухищрения на которые идут rootkit"ы для сокрытия себя. Идея та же - сравнение с оригиналом файла на диске.
← →
Burmistroff (2005-02-03 23:06) [43]Cool :)
Есть програмка - "SDTRestore" и "KProcCheck" - проверяют (и удаляют) различные ухищрения на которые идут rootkit"ы для сокрытия себя. Идея та же - сравнение с оригиналом файла на диске. Правда они для kernel-mode.
← →
Игорь Шевченко © (2005-02-04 11:13) [44]BiN © (03.02.05 16:42) [41]
> Игорь, как, по-твоему, правка адресного пространства одного
> процесса (собственно перехват NtCreateFile, NtReadFile и
> т.п.) может повлиять на работу других процессов, тем более,
> системных?
Нет, конечно не может. Но откуда перехватчик узнает, что перехватывать надо именно мой процесс ? :))
С уважением,
← →
BiN © (2005-02-04 11:51) [45]Игорь Шевченко © (04.02.05 11:13) [44]
Но откуда перехватчик узнает, что перехватывать надо именно мой процесс ? :))
Так или иначе, реализовать перехват почти всех пользовательских процессов можно - пусть с тормозами, пусть геморрно и с раздутым кодом - но можно. Достаточно анализировать диапазон считываемых данных в NtReadFile и хранить значения описателей получаемых при открытии "ntdll.dll".
По-моему, остановить из пользовательского режима вредоносную программу, особенно работающую в админо-подобном контексте, невозможно.
Но зато сабжевый код - отличный способ дать по рукам молодым кулхацкерам. Если бы еще тема была выложена в виде статьи, то можно было бы по всем смежным вопросам отсылать к ней. На форуме ветка, боюсь, в Лету уйти может.
← →
Игорь Шевченко © (2005-02-04 11:57) [46]BiN © (04.02.05 11:51) [45]
> Так или иначе, реализовать перехват почти всех пользовательских
> процессов можно - пусть с тормозами, пусть геморрно и с
> раздутым кодом - но можно. Достаточно анализировать диапазон
> считываемых данных в NtReadFile и хранить значения описателей
> получаемых при открытии "ntdll.dll".
Жаба хитра, но маленький хрущ с винтом много хитрее ее.
Я как-то уже писал, что узнать скрытый процесс можно по меньше мере, четырьмя различными способами под Windows 2000 и Windows NT. Под Windows XP к способам добавился еще способ взаимодействия с отладчиком.
Из пользовательского режима можно установить факт наличия скрытого процесса и звать администратора, чтобы он разобрался :)
С уважением,
← →
BiN © (2005-02-04 12:41) [47]Игорь Шевченко © (04.02.05 11:57) [46]
Жаба хитра, но маленький хрущ с винтом много хитрее ее.
Я как-то уже писал, что узнать скрытый процесс можно по меньше мере, четырьмя различными способами под Windows 2000 и Windows NT. Под Windows XP к способам добавился еще способ взаимодействия с отладчиком.
Из пользовательского режима можно установить факт наличия скрытого процесса и звать администратора, чтобы он разобрался :)
Согласен :)
И поэтому считаю, что "скрывать процесс" - неблагодарное занятие.
← →
kaZaNoVa © (2005-02-04 12:51) [48]BiN © (04.02.05 11:51) [45]
> По-моему, остановить из пользовательского режима
> вредоносную программу, особенно работающую в
> админо-подобном контексте, невозможно.
я тоже так думаю ..
особенно, если программа "заточена" для этого - например программа - троян, засланный конкурентами по бизнесу, не знаю, как сейчас - но в буду.щем могу предположить, что в конкурентной борьбе не последнее место будет занимать программы-трояны, засылаемые конкурентам ... -)
← →
kaZaNoVa © (2005-02-04 12:52) [49]BiN © (04.02.05 11:51) [45]
> Но зато сабжевый код - отличный способ дать по рукам
> молодым кулхацкерам.
это точно .. терь половина их "разработок" станет бесполезна))
← →
xShadow © (2005-02-04 15:40) [50]Встречал в сети реализации проверки на хуки проверкой 5-и первых байт в IAT на предмет call и jmp что в свою очередь может трактоваться как перехват проверяемой процедуры.
← →
Игорь Шевченко © (2005-02-04 15:43) [51]xShadow © (04.02.05 15:40) [50]
Это не всегда корректно.
← →
xShadow © (2005-02-04 15:48) [52]
> Игорь Шевченко © (04.02.05 15:43) [51]
Согласен, перехват WinApi может буть и не в 5 пяти байтах! Поэтому и говорю что может трактоваться. Я думаю что нужен комплекс из нескольких проверок.
Страницы: 1 2 вся ветка
Текущий архив: 2005.03.20;
Скачать: CL | DM;
Память: 0.56 MB
Время: 0.031 c
