Обход нового фроста - Тренеры снова в строю? Обсуждаем!

~~warl0ck~~ · 09.07.2012, 12:38

вдруг кому-то будет интересно [Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]

Fojest · 09.07.2012, 16:42

Цитата:

Сообщение от DED_MA3AY


	я тут понимаю что ты даже не понял что скопипастил ...

Разумеется не понял, я же это сразу написал. Скорее не скопипастил а просто рассказал о том, что нашёл.

1. снять этот хук
1. Нужен обход, и если этот обход сделают то в паблике его скорее всего не будет
1. Какой в жопу обход а нулевом кольце ...
- Я имел ввиду сам драйвер (Как обход), или что ты там пишешь, который и будет снимать этот хук, думал это понятно
2. обратится напрямую по указателю к правильной функции (если перехватили через SSDT )
2. Если не ошибаюсь, это нужно заинжектить dll, или ты сможешь функции PB из-вне вызывать? 0_о
2. в нулевом кольце нет инжекта длл там только драйвера + системные ДЛЛ их ты не хукнеш из юзермоде ..
- Это то понятно. Я видимо не о тех "функциях" подумал..
3. использховать другие функции
3. Какие?
3. в иде раскрой функцию ZwWriteProcessMemory и посмотри что она юзает хотя в ядре уже будет функция NtWriteProcessMemory
- -
4. откоректировать функцию которая совершила перехват и сделать в месте проверки jmp (чтобы всегда разрешала запись)
4. Ты её найди сначала, потом отредактируй да ещё и сохранить попробуй. Если за это отвечает драйвер, то функция в .sys файле, а IDA его хоть и открывает но сохранять она в .sys не умеет (Несколько я знаю)
4. дык если функция в ядре отхучена то эт тебе покажет тотже самый кернел детективе. И что мне помешает ее отредактировать? после загрузки драйвера как ты говориш sys файла функция уже не в файле а в памяти ядра .. и IDA открывает sys но зачем мне го после этого опять сохранять в sys ? если можно самому написать свой драйвер
- -

Vlad*Dino*By · 17.07.2012, 08:33

А вы не знаете где скачать мазай?))))

~~СS1TЕRAN1~~ · 17.07.2012, 10:22

Цитата:

Сообщение от Vlad*Dino*By


	А вы не знаете где скачать мазай?))))

его пкупать нужно, желательно у меня

erro1 · 03.08.2012, 20:56

Цитата:

Сообщение от DED_MA3AY


	ну перехватил "какойто антивирус или фрост" ZwWriteProcessMemory ну и в рот ему потные ноги .. что нам мешает один из вариантов: 1. снять этот хук 2. обратится напрямую по указателю к правильной функции (если перехватили через SSDT ) 3. использховать другие функции 4. откоректировать функцию которая совершила перехват и сделать в месте проверки jmp (чтобы всегда разрешала запись) и масса других вариантов когда вы в ядре вас может ограничить только ваша фантазия и знание системы

Ничего из этого не поможет на х64, т.к. фрост там ничего не хучит.

С висты SP1 и windows server 2008 появилась новая технология фильтров для защиты процессов и нитей, файлов, сетей. На 64 XP ее еще не было. Если бы можно было прочитать адрессное пространство драйвера, то обойти это не составит труда.

DED_MA3AY · 04.08.2012, 19:28

Цитата:

Сообщение от erro1


	Ничего из этого не поможет на х64, т.к. фрост там ничего не хучит. С висты SP1 и windows server 2008 появилась новая технология фильтров для защиты процессов и нитей, файлов, сетей. На 64 XP ее еще не было. Если бы можно было прочитать адрессное пространство драйвера, то обойти это не составит труда.

ты хочеш сказать что если я дерну нативную функцию записи в чужой процесс (функцию которая даже непроверяет имею ли я право на это) я не смогу ничего записать в защищаемый фростом процесс ?

gooodprops · 04.08.2012, 22:38

Цитата:

Сообщение от erro1


	Ничего из этого не поможет на х64, т.к. фрост там ничего не хучит. С висты SP1 и windows server 2008 появилась новая технология фильтров для защиты процессов и нитей, файлов, сетей. На 64 XP ее еще не было. Если бы можно было прочитать адрессное пространство драйвера, то обойти это не составит труда.

да с х64 проблема

erro1 · 05.08.2012, 00:03

Цитата:

Сообщение от DED_MA3AY


	ты хочеш сказать что если я дерну нативную функцию записи в чужой процесс (функцию которая даже непроверяет имею ли я право на это) я не смогу ничего записать в защищаемый фростом процесс ?

Сомневаюсь что тебе будет достаточно дернуть 1 функцию. Придеться полностью реверсить нативную функцию (тут я имею в виду Nt, Zw), а там уже разбираться как выделяется память тем же NtAllocateVirtualMemory. В любом случае придеться писать свою функцию.

P.S. если ты все это один делаешь, тогда респектище, ибо переписывать ядро это не хукать SSDT.

iamzero · 05.08.2012, 00:30

Цитата:

Сообщение от erro1


	если ты все это один делаешь, тогда респектище, ибо переписывать ядро это не хукать SSDT.

Думал у него команда разработчиков?

erro1 · 05.08.2012, 00:45

Цитата:

Сообщение от iamzero


	Думал у него команда разработчиков?

Откуда я знаю. Буржуйские читофабрики состоят из 5-6 кодеров. У каждого свои обязанности и свой пакет хаков. Но такие проблемы, я уверен, они совместно решают.

slava-zis · 05.08.2012, 00:53

Цитата:

Сообщение от erro1


	Откуда я знаю. Буржуйские читофабрики состоят из 5-6 кодеров. У каждого свои обязанности и свой пакет хаков. Но такие проблемы, я уверен, они совместно решают.

ну у них и деньги другие.

ivan7147 · 05.08.2012, 01:30

Вадим здарова. Ну до тебя не достучишся нигде. Когда WC обновишь? И все отсальные функции?! Ты там на реклассинге писан что обновишь после того как драйвей на 64бит напишешь и т.д. Но а можешь примерные сроки назвать когда обновишь вх?