Четверг, 14.12.2017, 07:19 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » DLL Hijacking (Exploit for AV :))
DLL Hijacking
Anton93Дата: Воскресенье, 08.06.2014, 14:20 | Сообщение # 1
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896
 
xXxSh@dowxXxДата: Воскресенье, 08.06.2014, 16:08 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Отличная статья, все подробно, по делу, а самое главное актуально! Красавец! victory

Естественно для собственного проекта я предпочитаю использовать в основном только активный метод прохода, без лишних диалоговых окон так сказать!
 
Anton93Дата: Воскресенье, 08.06.2014, 20:07 | Сообщение # 3
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
небольшой совет для читающих, чтобы ваше творение ни захиджекели, при вызове loadlibrary используйте полные пути

ICQ: 41896
 
Волк-1024Дата: Пятница, 13.06.2014, 03:11 | Сообщение # 4
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Ну а теперь о подводных камнях. Далеко не каждый антивирус, даже если программа обладает системными правами, позволит вам изменять, а тем более уж подменять свою библиотеку. На примере своего Касперыча, я выяснил, что без выключения самозащиты с его файлами хрен что сделаешь, даже обладая сис.привилегиями(можно, конечно, уповать на то, что он будет искать в системе какие-то специфические либы, как в случае с ppeset.dll, которые можно без проблем подменить, но... я думаю это маловероятно). ((( Это раз. Даже если удалось подменить библиотеку, то далеко не факт, что антивирус не проверит её контрольную сумму и не выдаст алерт. Это два. Не всё так просто. Без буткита и пол литра тут никак. Это три ))))

Pascal, C\C++, Assembler, Python
 
Anton93Дата: Пятница, 13.06.2014, 14:38 | Сообщение # 5
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Волк-1024,
Цитата
позволит вам изменять, а тем более уж подменять свою библиотеку

не нужно ничего заменять, в примере рассмотрены случаи когда разработчики вообще оставили библиотеки которых не существует, либо используются общедоступные, но с относительными путями, может просто невнимательно прочел smile

Цитата
На примере своего Касперыча, я выяснил, что без выключения самозащиты с его файлами хрен что сделаешь

и опять же, про каспера тоже сверху писалось, что у него все защищено. я разве сказал что его можно поиметь таким макаром?

Цитата
Даже если удалось подменить библиотеку, то далеко не факт, что антивирус не проверит её контрольную сумму и не выдаст алерт.

общедоступные, типа кернела, не думаю что чекаются, так как часвто выходят критические обновления, контрольная сумма многих подобных либ меняется


ICQ: 41896
 
Волк-1024Дата: Пятница, 13.06.2014, 15:05 | Сообщение # 6
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Цитата Anton93 ()
может просто невнимательно прочел

Та не) Я всё норм прочел. Я писал просто опираясь на Касперыча. Странно, что разработчики некоторых антивируов оказываются такими рукожопами, хотя...возможно они просто не стали заморачиваться по причине того, мол "Кто будет реверсить наше 100 мегабайтное говно и искать в нём какие-то не существующие библиотеки?"

Цитата Anton93 ()
либо используются общедоступные

Опять рукожопство. Нужно, так сказать, всё всегда нести с собой ) Сис.файлы в том числе.

Цитата Anton93 ()
контрольная сумма многих подобных либ меняется

Никто не мешает вместе с файлом обновить и список с новыми контрольными суммами.


Pascal, C\C++, Assembler, Python
 
Anton93Дата: Вторник, 17.06.2014, 18:00 | Сообщение # 7
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Волк-1024,
Цитата
Кто будет реверсить наше 100 мегабайтное говно и искать в нём какие-то не существующие библиотеки?

хах) ну они же наши творения дизассемблируют, разбирают по кусочкам, почему мы не можем применить эту же технологию против них? happy
и как оказалось применяется с результатами wink


ICQ: 41896
 
delfcode » Delphi » Вирусология Delphi » DLL Hijacking (Exploit for AV :))
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz