Рулим через мессаги
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Рулим через мессаги - 2007-11-04 14:06:55.633333
|
|
|
ArtAdmin
Сообщений: 11556
Оценки: 14
Присоединился: 2007-01-17 16:55:01.430000
|
Обсуждение статьи "Рулим через мессаги"
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.693333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
прикольно… посмотри статью о непривилигеированных технологиях, там этот способ использовался для остановки обновления таск.мана. Жаль только, что мало кто проникся идеей упраления через мессаги. Мне статья понравилась. Вопрос к автору: та относиш эту атаку к классу шеттер или нет?
|
|
|
Pupkin-Zade; e-mail: xa@real.xakep.ru - 2007-11-04 14:06:55.710000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
DS: Shutter, сдается мне, тут не при чем :)
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.726666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну смотри, шаттер это технология исполнения своего кода в чужом окне через мессаги. Причем вся работа заключается в посылке сообщений… как ты будешь классифицировать этот способ влияния на чужое окно? Если есть другие подходящие названия я слушаю…
|
|
|
Zero Ice; e-mail: - 2007-11-04 14:06:55.726666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Вот именно: Шатер это исполнение своего шеллкода в контексте чужого более привелегированного процесса. А тут чел рулит други прогами основываясь на ИХ коде. (т.е. он ничего не внедряет) 2DS У тебя в статье ничего про шатера не было. P.S. Что такое "емул"?
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2007-11-04 14:06:55.740000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
О названии этой деятельности: Это "легитимное урпавление прогой". :]]]]
|
|
|
Pupkin-Zade; e-mail: xa@real.xakep.ru - 2007-11-04 14:06:55.740000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
eMule - клиент для пиринговой сети
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2007-11-04 14:06:55.756666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2PZ THNX!
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.773333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну не совсем легитимное. ПО крайней мере не должно быть таким :)
|
|
|
slon; e-mail: - 2007-11-04 14:06:55.773333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Шаттер атака это исполнение СВОЕГО кода, в контексте чужого процесса, а не манипуляция ЧУЖИМ кодом. Так доступно ??? Ни в твоём тексте ни в этом этого нет. В Шаттер атаке сообщения это только средство, а не сама цель, как в данных случаях.
|
|
|
slon; e-mail: - 2007-11-04 14:06:55.790000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
да копирайт за зероайсом. Я только подчеркнул нужное.
|
|
|
DigitalScream; e-mail: - 2007-11-04 14:06:55.803333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну тогда, как это называть. Ведь нужно дать какое-то название? Если его нет…
|
|
|
asdf; e-mail: - 2007-11-04 14:06:55.803333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Скомпилил для TheBAT-а. У меня после открытия окна выполнение моей программы останавливается после выполнения строчки: SendMessage(hw,273,139,0); и продолжается только после того, как закроешь (вручную) это окно в Бате ;(
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2007-11-04 14:06:55.820000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2slon процесс должен быть более привилегированным для шаттера, иначе это теряет смысл. В статье DS про таск менеджер можно было просто внедриться в процесс и перехватить функции ответственные за получение инфы о процессах. Там не (!!!) нужен Шаттер. Шаттер служит для поднятия привилегий у своего (их) процесса (ов), или же для создание доступного процесса с приоритетом жертвы. 2DS MSDN это называет “message system”. Все проги (хотя есть исключения) управляются через сообщения. Если мне не веришь, то MSDN. :) 2asdf если честно, то посылать такие запросы для бата – изврат. И неработоспособность длинного кода основанного на сообщениях стремиться к 50%. (могут поменяться как различные классы окон, так и нет гарантии в то что за 100мс окно откроется) Такое управление мессагами обычно не приносит результата и грузит систему. 2freeman хотя закрытие фаера – клёвая фишка, бат - нереален. (нагрузка на ЦП припостоянном опросе +слишком много случайностей)
|
|
|
Freeman; e-mail: Freemanh@mail.ru - 2007-11-04 14:06:55.820000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2ZeroIce: Я показывал только сам принцип работы, что такое в принципе возможно, без всяких проверок на то что окно могло не открыться итд. 2asdf: Специально же сказал, что сначала нужно спаем проверить какая мессага посылается окну, и такую же посылать. А в Бате вообще-то в различных версиях меню менятеся, и его ID, как ни странно, тоже :)
|
|
|
=X=[ei]NOmorph; e-mail: xeno-morph@hsy.ru - 2007-11-04 14:06:55.836666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2 DigitalScream Ну я это называю технологией "Hover" 8-) В принципе подобных статей будет 10х10 :) Вскорости :) (или я дурак :))), что тоже вероятно :)))
Почему "Hover"? Фигурально выражаясь, мы фактически "парим" над окнами :) Эдакий невидимый юзер тыкает вирт. мышкой отключая фаеры, AV и т.П. (конечно, приблизительно :)))
Соль и суть этой технологии в том, что от неё ооочень трудно защититься, так как она дублирует действия юзверя используя все воз можные косвеные операции с окнами. Её изюминка - это то, что нельзя сделать программно "вчистю", она реализует через окна :). И это есть гуд.
2 Freeman :) Цитата: "Я показывал только сам принцип работы …" А я (читай тормоз :) думаю, что ты его "продемонстрировал", но вот проблема в том, что продемонстрировал ты его в очередной раз :). Мистер DS был первым. Демонстратором ;) то есть :) (если FOON-a не считать :)
2 ZeroIce: Цитата: "В статье DS про таск менеджер можно было просто внедриться в процесс …" - надо взять R4D][-а за одно место, хорошенько потрясти :) И пусть пишет, пишет, пишет !!! :) Хотя у меня есть некоторые плохие мысли по поводу … Смысл: Если влезть в процесс ТМ можно (нужно :) То нада сделать плугин контроля чё та радость должна отображать, а чё нет. [2DS: "Жаль только, что мало кто проникся идеей упраления через мессаги" ??? Кто сказал что идеей не прониклись? :))) Вот реализацией :) то не очень :) прониклись _типа_ :)))] А не лезть с Хплорер и мудохаться с прятанием процедуры.
Прикол в том что это будет работать _БЕЗ_ рута на системе (или я не прав?).
2 Sl0n 8-) Шеттер, не шеттер - главное ХвОСТ! :)
Кто за? :))) (Взять R4D][-f за … :))) _типа_ :))) Keep on …
|
|
|
RE: Рулим через мессаги - 2007-11-04 14:06:55.850000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Может это бы и прошло, но что если будет установлен пароль на Atguard? Сам этой прогой пользуюсь. Очень доволен. Даже Outpost 4.0 без всяких сожелений снес. К тому же я постоянно использую Shadow User. Так что загрузить трояна -безполезная трата времени. Вот вам и пища для размышлений.
|
|
|
|
|