Рулим через мессаги
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Рулим через мессаги - 2007-11-04 14:06:55.633333
|
|
|
ArtAdmin
Сообщений: 11556
Оценки: 14
Присоединился: 2007-01-17 16:55:01.430000
|
Обсуждение статьи "Рулим через мессаги"
|
|
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.693333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
прикольно… посмотри статью о непривилигеированных технологиях, там этот способ использовался для остановки обновления таск.мана. Жаль только, что мало кто проникся идеей упраления через мессаги. Мне статья понравилась. Вопрос к автору: та относиш эту атаку к классу шеттер или нет?
|
|
|
|
|
Pupkin-Zade; e-mail: xa@real.xakep.ru - 2007-11-04 14:06:55.710000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
DS: Shutter, сдается мне, тут не при чем :)
|
|
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.726666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну смотри, шаттер это технология исполнения своего кода в чужом окне через мессаги. Причем вся работа заключается в посылке сообщений… как ты будешь классифицировать этот способ влияния на чужое окно? Если есть другие подходящие названия я слушаю…
|
|
|
|
|
Zero Ice; e-mail: - 2007-11-04 14:06:55.726666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Вот именно: Шатер это исполнение своего шеллкода в контексте чужого более привелегированного процесса.
А тут чел рулит други прогами основываясь на ИХ коде. (т.е. он ничего не внедряет)
2DS У тебя в статье ничего про шатера не было.
P.S. Что такое "емул"?
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2007-11-04 14:06:55.740000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
О названии этой деятельности: Это "легитимное урпавление прогой". :]]]]
|
|
|
|
|
Pupkin-Zade; e-mail: xa@real.xakep.ru - 2007-11-04 14:06:55.740000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
eMule - клиент для пиринговой сети
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2007-11-04 14:06:55.756666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2PZ THNX!
|
|
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.773333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну не совсем легитимное. ПО крайней мере не должно быть таким :)
|
|
|
|
|
slon; e-mail: - 2007-11-04 14:06:55.773333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Шаттер атака это исполнение СВОЕГО кода, в контексте чужого процесса, а не манипуляция ЧУЖИМ кодом. Так доступно ??? Ни в твоём тексте ни в этом этого нет. В Шаттер атаке сообщения это только средство, а не сама цель, как в данных случаях.
|
|
|
|
|
slon; e-mail: - 2007-11-04 14:06:55.790000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
да копирайт за зероайсом. Я только подчеркнул нужное.
|
|
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.803333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну тогда, как это называть. Ведь нужно дать какое-то название? Если его нет…
|
|
|
|
|
asdf; e-mail: - 2007-11-04 14:06:55.803333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Скомпилил для TheBAT-а. У меня после открытия окна выполнение моей программы останавливается
после выполнения строчки:
SendMessage(hw,273,139,0);
и продолжается только после того, как закроешь (вручную) это окно в Бате ;(
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2007-11-04 14:06:55.820000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2slon процесс должен быть более привилегированным для шаттера, иначе это теряет смысл. В статье DS про таск менеджер можно было просто внедриться в процесс и перехватить функции ответственные за получение инфы о процессах. Там не (!!!) нужен Шаттер. Шаттер служит для поднятия привилегий у своего (их) процесса (ов), или же для создание доступного процесса с приоритетом жертвы. 2DS MSDN это называет “message system”. Все проги (хотя есть исключения) управляются через сообщения. Если мне не веришь, то MSDN. :) 2asdf если честно, то посылать такие запросы для бата – изврат. И неработоспособность длинного кода основанного на сообщениях стремиться к 50%. (могут поменяться как различные классы окон, так и нет гарантии в то что за 100мс окно откроется) Такое управление мессагами обычно не приносит результата и грузит систему. 2freeman хотя закрытие фаера – клёвая фишка, бат - нереален. (нагрузка на ЦП припостоянном опросе +слишком много случайностей)
|
|
|
|
|
Freeman; e-mail: Freemanh@mail.ru - 2007-11-04 14:06:55.820000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2ZeroIce: Я показывал только сам принцип работы, что такое в принципе возможно, без всяких проверок на то что окно могло не открыться итд.
2asdf: Специально же сказал, что сначала нужно спаем проверить какая мессага посылается окну, и такую же посылать. А в Бате вообще-то в различных версиях меню менятеся, и его ID, как ни странно, тоже :)
|
|
|
|
|
=X=[ei]NOmorph; e-mail: xeno-morph@hsy.ru - 2007-11-04 14:06:55.836666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2 DigitalScream
Ну я это называю технологией "Hover" 8-)
В принципе подобных статей будет 10х10 :)
Вскорости :) (или я дурак :))),
что тоже вероятно :)))
Почему "Hover"? Фигурально выражаясь,
мы фактически "парим" над окнами :)
Эдакий невидимый юзер тыкает вирт. мышкой
отключая фаеры, AV и т.П. (конечно,
приблизительно :)))
Соль и суть этой технологии в том, что
от неё ооочень трудно защититься, так как она
дублирует действия юзверя используя все воз
можные косвеные операции с окнами. Её изюминка -
это то, что нельзя сделать программно "вчистю",
она реализует через окна :). И это есть гуд.
2 Freeman :)
Цитата: "Я показывал только сам принцип работы …"
А я (читай тормоз :) думаю, что ты его
"продемонстрировал", но вот проблема в том, что
продемонстрировал ты его в очередной раз :).
Мистер DS был первым.
Демонстратором ;) то есть :)
(если FOON-a не считать :)
2 ZeroIce:
Цитата: "В статье DS про таск менеджер можно
было просто внедриться в процесс …" - надо взять
R4D][-а за одно место, хорошенько потрясти :)
И пусть пишет, пишет, пишет !!! :)
Хотя у меня есть некоторые плохие
мысли по поводу …
Смысл:
Если влезть в процесс ТМ можно (нужно :)
То нада сделать плугин контроля чё та
радость должна отображать, а чё нет.
[2DS: "Жаль только, что мало кто проникся
идеей упраления через мессаги" ???
Кто сказал что идеей не прониклись? :)))
Вот реализацией :) то не очень :)
прониклись _типа_ :)))]
А не лезть с Хплорер и мудохаться с прятанием
процедуры.
Прикол в том что это будет работать _БЕЗ_ рута
на системе (или я не прав?).
2 Sl0n 8-)
Шеттер, не шеттер - главное ХвОСТ! :)
Кто за? :))) (Взять R4D][-f за … :)))
_типа_ :)))
Keep on …
|
|
|
|
|
RE: Рулим через мессаги - 2007-11-04 14:06:55.850000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Может это бы и прошло, но что если будет установлен пароль на Atguard? Сам этой прогой пользуюсь. Очень доволен. Даже Outpost 4.0 без всяких сожелений снес. К тому же я постоянно использую Shadow User. Так что загрузить трояна -безполезная трата времени. Вот вам и пища для размышлений.
|
|
|
|
|
|
