Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Оле...жму руку:))) 17.12.01 12:03 Число просмотров: 1264
Автор: BioUnit Статус: Незарегистрированный пользователь
|
За телепузиков спасибо.
Рассказываю подробнее. Прошу прощение (и некоторое снисхождение) за слабую терминологию, я еще не волшебник, я только учусь...
Я воспльзовался стандартными OLE-серверами IE и MSScript. Сначала загружается некоторая html страница с помощью объекта сервера IE, здесь ФВ ничего не предпринял, хотя объект был создан как CLSCTX_INPROC_SERVER. Но даже при отрицательном результате, можно было бы ещё воспользоваться CLSCTX_LOCAL_SERVER.
Загруженная html страница, содержала в себе обычный текст JScript, который загружался в MSScript и выполнялся. Далее результаты отправлялись обратно через IE по POST.
Т.о. управление трояном усложняется, но появляется автономность и повышается анонимность, т.к. я могу закачать html страницу в любое время, а троян начнет выполнять помещенную на неё прогу (точнее скрипт) в момент своей активизации.
Замечание: скрипт выполняется не в контексте IE, как содержимое html-страницы, а отдельно объектом MSScript, как локальный файл .js, т.о. нет ограничений на операции с файлами, реестром и т.п.
В заключении скажу, что это действительно было опробаванно и работало.
Кроме того скажу, что троян был заслан с помощью .hlp файла. Был и менее надежные способы зысылки, использующие баги IE: html+chm и .hta, но тоже срабатывало: html+chm - около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая SP2, здесь такое не покатывает)
> > > Вот если такой троян обойдет мои ФВ-лы пожму челу
> > руку:)))
> >
> > Троян, который обходит ФВ - легко!
> Звучит не убедительно!
> Попробуй еще разок:)
>
> > Троян ----(ФВ)----> "Место встречи" <-----
> Клиент
> > трояна
>
> Может в картинках или на пальцах мне покажешь?:)))
>
> > Если троян будет не слушать, а сам посылать запросы
> > некоторому хосту ("Место встречи"), функция которого
> > передавать запросы от клиента, то всё должно
> прокатить.
>
> Вот последнее слово "должно"... говорит о том, что ты типа
> догадываешься или знаешь наверняка?
> Стыдно сначала утверждать, а потом самому же сеять
> сомнения:)))
>
> Чтож касается прослушивания то ты видимо даже не понимаешь
> о чем говоришь:)))
> У меня например за все время пользования различными
> фаерволами не встречал, чтоб они реагировали на пассивное
> прослушивание портов!:) Это бред! Это не функция ФВ.
> А если троян будет передавать запросу куда-нибудь это уже
> работа ФВ и => он это заметит, отфильтрует или предложит
> создать правило, что этого соединения и приложения!
> Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу
> на уши людям вешать:)
>
> P.S. Кстати я конечно лукавил и сам знаю несколько способов
> обойти ФВ, но это не абсолют,а лишь для некоторых "липовых"
> фаерволов. Но ATGuard как я понимаю тоже обходится одним из
> таких способов.
>
> Удачи!
|
|
|
подробно о проекте
Анализ криптографических сетевых...
