|
DLL Hijacking
|
|
| Anton93 | Дата: Воскресенье, 08.06.2014, 14:20 | Сообщение # 1 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Доступно только для пользователей
 ICQ: 41896
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 08.06.2014, 16:08 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Отличная статья, все подробно, по делу, а самое главное актуально! Красавец! 
Естественно для собственного проекта я предпочитаю использовать в основном только активный метод прохода, без лишних диалоговых окон так сказать!
|
| |
| |
| Anton93 | Дата: Воскресенье, 08.06.2014, 20:07 | Сообщение # 3 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| небольшой совет для читающих, чтобы ваше творение ни захиджекели, при вызове loadlibrary используйте полные пути
ICQ: 41896
|
| |
| |
| Волк-1024 | Дата: Пятница, 13.06.2014, 03:11 | Сообщение # 4 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Ну а теперь о подводных камнях. Далеко не каждый антивирус, даже если программа обладает системными правами, позволит вам изменять, а тем более уж подменять свою библиотеку. На примере своего Касперыча, я выяснил, что без выключения самозащиты с его файлами хрен что сделаешь, даже обладая сис.привилегиями(можно, конечно, уповать на то, что он будет искать в системе какие-то специфические либы, как в случае с ppeset.dll, которые можно без проблем подменить, но... я думаю это маловероятно). ((( Это раз. Даже если удалось подменить библиотеку, то далеко не факт, что антивирус не проверит её контрольную сумму и не выдаст алерт. Это два. Не всё так просто. Без буткита и пол литра тут никак. Это три ))))
Pascal, C\C++, Assembler, Python
|
| |
| |
| Anton93 | Дата: Пятница, 13.06.2014, 14:38 | Сообщение # 5 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Волк-1024,
Цитата позволит вам изменять, а тем более уж подменять свою библиотеку
не нужно ничего заменять, в примере рассмотрены случаи когда разработчики вообще оставили библиотеки которых не существует, либо используются общедоступные, но с относительными путями, может просто невнимательно прочел 
Цитата На примере своего Касперыча, я выяснил, что без выключения самозащиты с его файлами хрен что сделаешь
и опять же, про каспера тоже сверху писалось, что у него все защищено. я разве сказал что его можно поиметь таким макаром?
Цитата Даже если удалось подменить библиотеку, то далеко не факт, что антивирус не проверит её контрольную сумму и не выдаст алерт.
общедоступные, типа кернела, не думаю что чекаются, так как часвто выходят критические обновления, контрольная сумма многих подобных либ меняется
ICQ: 41896
|
| |
| |
| Волк-1024 | Дата: Пятница, 13.06.2014, 15:05 | Сообщение # 6 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Цитата Anton93 (  ) может просто невнимательно прочел
Та не) Я всё норм прочел. Я писал просто опираясь на Касперыча. Странно, что разработчики некоторых антивируов оказываются такими рукожопами, хотя...возможно они просто не стали заморачиваться по причине того, мол "Кто будет реверсить наше 100 мегабайтное говно и искать в нём какие-то не существующие библиотеки?"
Цитата Anton93 ( ) либо используются общедоступные
Опять рукожопство. Нужно, так сказать, всё всегда нести с собой ) Сис.файлы в том числе.
Цитата Anton93 ( ) контрольная сумма многих подобных либ меняется
Никто не мешает вместе с файлом обновить и список с новыми контрольными суммами.
Pascal, C\C++, Assembler, Python
|
| |
| |
| Anton93 | Дата: Вторник, 17.06.2014, 18:00 | Сообщение # 7 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Волк-1024,
Цитата Кто будет реверсить наше 100 мегабайтное говно и искать в нём какие-то не существующие библиотеки?
хах) ну они же наши творения дизассемблируют, разбирают по кусочкам, почему мы не можем применить эту же технологию против них? 
и как оказалось применяется с результатами 
ICQ: 41896
|
| |
| |
