Обновить
0

Пользователь

2
Подписчики
Отправить сообщение
Красиво получилось!
Вы видимо невнимательно прочитали второй абзац.
Спасибо, очень интересный пост, уже добавил в закладки.
Спасибо, очень интересно, жду продолжения.
Та же фигня, AdThwart. Pochta.ru в блек-листах вроде не числиться…
Моторола очень понравилась.
Необязательно править hosts, можно делать хук на gethostbyname, это сложнее, но открываеться много новых возможностей.
Ну, у многих сейчас дома помимо настольного ПК есть еще и ноутбук/нетбук, с которого, в случае чего, можно по сети подредактировать реестр зараженного компьютера.
То что на ring0 нет ничего невозможного, все мы прекрасно знаем. Но мне кажеться это не универсальный способ. Не все уже бездумно выключают UAC, а чтобы внедрить свой драйвер нужны привилегии, ну и опять же таки, антивири не дремлют :)
Любой мало-мальски грамотный админ без проблем удаленно включит «удалённый реестр» (извините за тафтологию) и откроет необходимые порты/использует Dameware, Radmin, etc.
в настоящее время процесс можно лишь спрятать в нитях, и то это сложно!

Процессы могут обладать нитями, нити обладать процессами не могут.
Или вы имели ввиду создание своего потока в чужом процессе? Это не так уж и сложно, но большинство антивирусов давно научились перехватывать CreateRemoteThread, хотя все еще изловчиться можно :)
Эта функция существовала еще во времена Win95/98, в версиях повыше ее уже небыло. А скрывала процесс она только из тогдашнего встроенного Диспетчера задач (он по функциональности был сравним с вкладкой Applications у нынешнего TaskMgr).
Настоящие Process View'ерами «крысу» показывали как на ладони.
Можно просто снять блокировку с TaskManager'а и заодно и с Regedit'a:
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ну и вместо HKLM можно еще HKCU.
Еще можно посылать определнные байты на особые порты, VM их перехватывает и присылает ответы, я думаю по такому принципу и работают «Гостевые дополнения».
Нуу… Проактивная защита файрвола/антивируса не зря же свой % оперативки ест :) Да и DEP не дремлет.
Процессы тоже по-разному можно смотреть. Самый легкий, «нестандартный» способ — через WMI.
Когда-то даже писал мини-антируткит который смотрел процессы обычным способом, как это делает TaskMgr и запросом выбирал данные о процессах через WMI, а затем сравнивал результаты. Но единственное что тогда поймал защитный модуль какого-то стоявшего в то время на компьютере антивиря.
Прочитал как «Работа с учётными записями FBI через C#»…
Фи, как банально сделана проверка…
Парни из Интел могли бы бить и пооригинальнее, например проверять наличие «родных» (присутствие «чужих») технологий.
И таки да, подленько это.
Хабр состоит не только из веб-программистов :)
Видимо орудием взлома послужил Adobe Photoshop, предположительно последней версии.

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность