информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ну смысл не совсем в этом 23.05.07 13:40  Число просмотров: 3877
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Ботва ИМХО.

Ну не совсем ботва.

> Я не сварщик, но попытался понять смысл. Он не аттачится к
> существующему процессу, а создаёт свой, с таким же уровнем
> привилегий. Ну да, ты можешь в созданном тобой процессе

Ага. Никакого privilege escalation-а нету.

> изменять память и контекст. И чё? смысла особого не вижу.
> Зубры, вы не смотрели? Может я чего-то не вкурил?

Смысл в том, что вместо WriteProcessMemory используется мэппинг в память target-процесса, а вместо CreateRemoteThread - вставляется APC в поток-жертву.
<hacking>
как вам такое? 22.05.07 17:02  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>


https://www.rootkit.com/newsread.php?newsid=715
heh 03.06.07 10:39    Штраф: 30 [Ustin, JINN]
Автор: krayziebone Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ботва ИМХО. 23.05.07 12:08  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Ботва ИМХО.

Я не сварщик, но попытался понять смысл. Он не аттачится к существующему процессу, а создаёт свой, с таким же уровнем привилегий. Ну да, ты можешь в созданном тобой процессе изменять память и контекст. И чё? смысла особого не вижу. Зубры, вы не смотрели? Может я чего-то не вкурил?

коля
Ну смысл не совсем в этом 23.05.07 13:40  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Ботва ИМХО.

Ну не совсем ботва.

> Я не сварщик, но попытался понять смысл. Он не аттачится к
> существующему процессу, а создаёт свой, с таким же уровнем
> привилегий. Ну да, ты можешь в созданном тобой процессе

Ага. Никакого privilege escalation-а нету.

> изменять память и контекст. И чё? смысла особого не вижу.
> Зубры, вы не смотрели? Может я чего-то не вкурил?

Смысл в том, что вместо WriteProcessMemory используется мэппинг в память target-процесса, а вместо CreateRemoteThread - вставляется APC в поток-жертву.
замечу что такой код некорректен: 24.05.07 18:23  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>

> Смысл в том, что вместо WriteProcessMemory используется
> мэппинг в память target-процесса, а вместо
> CreateRemoteThread - вставляется APC в поток-жертву.

замечу что такой код некорректен:

CreateProcess( ... CREATE_SUSPENDED ... )
VirtualAllocEx()
WriteProcessMemory()
CreateRemoteThread( обычно на LoadLibraryA )
WaitForSingleObject()
ResumeThread( ProcInfo.hProcess )

иногда (зависит от набора ДЛЛ) при этом ломается список модулей процесса
глюки самые невероятные
см:
http://forum.sources.ru/index.php?showtopic=177691&view=showall
http://wasm.ru/forum/viewtopic.php?pid=168358

правильно имеено так как на рутките, вместо CreateRemoteThread -> QueueUserAPC
ну ладно, уговорили - гениально 24.05.07 20:18  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
хотя ещё N лет назад рихтер описывал code injection для Win32
да 25.05.07 13:52  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
> хотя ещё N лет назад рихтер описывал code injection для
> Win32

да
и все так делали
а потом оказалось - не работает
конфирмится 100% например на winhlp32.exe
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach