Маленькая заметка про обход Outpost

Discussion in 'С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby' started by Ky3bMu4, 24 Sep 2007.

  1. Ky3bMu4

    Ky3bMu4 Elder - Старейшина

    Joined:
    3 Feb 2007
    Messages:
    489
    Likes Received:
    284
    Reputations:
    42
    Незнаю конечно, мож это давно всем известно, то ни на васме, ни в гугле я этого не нашёл...

    Нижеуказанные действия проводились на свежей(2 недели отроду, 7 установленых программ) WinXP SP2.

    Итак, поствил я для тестов себе Outpost(Pro ver. 4.0.964.6926 (584),стандартные настройки). Стал тестить SDT restore. Как и следовало ожидать, оутпост заорал(но прога успела прописаться в автозагрузку). Ну я расстроился, выключил комп, выпил пива, включил комп... и тут оутпост заорал, что типо он повреждён и восстановлению не подлежит. Переставил. 1 сеанс поработал, но потом снова таже история. И тут до меня дошло, что это так прога с унхуком сдт мочит оутпост. Ага! значит при загрузке оутпост в попе. Попробывал тоже самое только с инжектом - молчание, а заветный messagebox появился. Вот ,в принципе, и всё...
     
    2 people like this.
  2. gevara

    gevara Elder - Старейшина

    Joined:
    29 Nov 2006
    Messages:
    48
    Likes Received:
    7
    Reputations:
    5
    У меня тут тоже приколы с аутпостом вышли.
    1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:

    MessageBox(..);
    ZeTerminateProcess(-1,0);

    на моё удивление аутпост не выдал никаких матерных сообщений. после окошка MessageBox процесс благополучно скончался.
    2) делал я syn flood. вобщем создал сырой сокет, создал пакеты и начал флудить в несколько потоков (предварительно добавив свою флудилку в список доверенных приложений аутпосту)... Тут самое интересное: драйвер аутпоста выкинул BSOD. По видимому повторное освобождение памяти (хотя я сильно не копался - не уверен). Вобщем BufferOverflow.
     
    1 person likes this.
  3. 0x4D617A

    0x4D617A Member

    Joined:
    23 Sep 2007
    Messages:
    11
    Likes Received:
    8
    Reputations:
    0
    Syn flood? вроде в ХР2 запрещено через сырые сокеты тцп пакеты посылать
     
  4. gevara

    gevara Elder - Старейшина

    Joined:
    29 Nov 2006
    Messages:
    48
    Likes Received:
    7
    Reputations:
    5
    я отключил брандмауэр Windows + добавил запись в реестр. на ядерный уровень я не спускался.
     
  5. _nic

    _nic Elder - Старейшина

    Joined:
    5 May 2006
    Messages:
    654
    Likes Received:
    54
    Reputations:
    3
    Можно по подробней.В какие именно ветки и какие записи?
     
  6. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,650
    Likes Received:
    754
    Reputations:
    397
    Ебать, да у вас тут такие споры проффесионалов, даже как-то стесняюсь писать...

    Это будет навечно выколото стамеской на доске почета нашего городка:

    ААААаааа ну и самое главное ; )))) так сказать, на десерт
    Спустись, глянь, там телки, пиво, дискотека, все гуляют, не то что у вас вверху ; )
    Ты наверное никогда не слышал, но ключ (угадаю!!) который ты прописал в ноль, т.е. DisableRawPolicy - никак не связан с RAW-сокетами WinXP SP2 : DDD
    Он лишь задает, может ли НЕ-админ в NT 4 юзать raw-сокеты. В XP SP2 это ограничение присутствует в ядре, и как показала практика, именно в NDIS-драйвере сетевухе. И я пока не видел в пабике ничего, что его там убирает.
     
    #6 KEZ, 28 Oct 2007
    Last edited: 28 Oct 2007
    4 people like this.
  7. gevara

    gevara Elder - Старейшина

    Joined:
    29 Nov 2006
    Messages:
    48
    Likes Received:
    7
    Reputations:
    5
    А.. я же забыл.. тут такие реальные чукваки тусуются... ну прости, что запостил...
    Если серьёзно:
    система у меня была SP1. и если ты не понял, то система тут вообще ни при чём. дело в том, что при большой интенсивности пакетов vfilt.sys выдаёт BSOD. именно этот баг я и имел ввиду.

    я так и не понял - что ты имел ввиду, когда процитировал.

    >>1) Делаю унхук ntdll kernel32, затем инжект в процесс outpost.exe и следующий код:

    Да, аутпост хучит функции в ринг3. после анхука можно спокойно инжектиться в любой процесс. что тут удивительного?
     
  8. А®ТеS

    А®ТеS Active Member

    Joined:
    25 Nov 2006
    Messages:
    208
    Likes Received:
    194
    Reputations:
    41
    2gevara: На последнем протесть... на 584 анхук ZwWriteVirtualMemory() давал положительный результат, но дальше больше и напоследнем начинаються странности :). Т.е. Оутпост не орет, но и инжект не идет.
     
  9. gevara

    gevara Elder - Старейшина

    Joined:
    29 Nov 2006
    Messages:
    48
    Likes Received:
    7
    Reputations:
    5
    я не фанат аутпоста. последних версий не видел. тот баг я нашёл где-то пол года назад в версии 4.0. На крайняк можно юзать 2Е прерывание. запрашивать GetVersion а дальше вызывать соответствующий сервис.
     
    1 person likes this.
  10. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,650
    Likes Received:
    754
    Reputations:
    397
    Угу, супер. На античате можно узнать столько нового, в очередной раз вскрикиваю я. Оказывается аутпост у нас хук ставит в юзер-моде для предотвращения инжекта. Да ещё и в версии 4. Он наверное вообще все хуки ставит в юзер-моде, чтоб ты мог их снимать спокойно. Но про прерывание прикольно написал, умно, особенно что 2E число знаешь.

    Тогда о каком параметре в реестре, разрешающем RAWSOCKET идет речь, если он и так уже разрешен, как и должно быть на SP1 ? А имел ввиду ты очевидно то, что при большой интенсивности использования кривых рук пользователя упадет не только аутпост, а монитор с полки. Это смотря как постараться.
     
  11. gevara

    gevara Elder - Старейшина

    Joined:
    29 Nov 2006
    Messages:
    48
    Likes Received:
    7
    Reputations:
    5
    Слушай, а откуда такие познания? ты случаем не какер?

    Если не в лом - посмотри в ольке. на ZwCreateThread CreateRemouteThread WriteProcessMemory и т.д. апишках стоит сплайсинг. я конечн не настолько крут как ты.. я к этому стремлюсь.. но какая-то бональная эрудиция подсказывает мне что аутпост не ради развлечения ставит сплайсинг в этих апишках.
    Code:
    ZwCreateThread:
    jmp   wl_hhok.1004C714
    mov  edx,7FFE0300
    call   edx
    retn 20
    
     
    #11 gevara, 30 Oct 2007
    Last edited: 31 Oct 2007
  12. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,650
    Likes Received:
    754
    Reputations:
    397
    Точно, ты не настолько крут как я, иначе бы посмотрел сст (с системы, где стоит Outpost 4.0.971.7030 (584))
    [​IMG]
    , увидел бы в ней все эти ядерные хуки, покраснел бы и перестал писать в этот топик.
    Поэтому свою бональную эрудицию ты имхо развиваешь не в том направлении
    а что бы ты не продолжил этот разговор, сказав что SandBox.sys - не аутпоста вовсе, выкладываю:
    [​IMG]
    (в ранних версиях хуки идут прямо в filtnt.sys

    ну а что бы ты не сказал, что на том месте, где ничего не написано на скриншоте, идет не NtWriteVirtualMemory, вот тебе тот же скриншот, снятый с системе без аутпоста
    [​IMG]

    Но, конечно, ты скажешь что у меня мол, новая версия, а у тебя старая. Я могу специально поставить на виртуалку любой старый аутпост, в котором хотя бы есть вообще контроль виртуальной памяти процессов и снять тебе такие же скриншоты,

    UPD:
    ну и конечно твой замечательный пост на ту же тему
    http://forum.antichat.ru/showthread.php?p=338299#post338299
     
    #12 KEZ, 1 Nov 2007
    Last edited: 1 Nov 2007
    4 people like this.
  13. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    783
    Likes Received:
    351
    Reputations:
    353
    Кез, ты победил в споре-то в итоге или нет? А то че-то оппоненты разошлись, а я хочу еще умных слов почитать всяких, чтобы потом понтаваться ими перед девчонками.
     
  14. _Great_

    _Great_ Elder - Старейшина

    Joined:
    27 Dec 2005
    Messages:
    2,043
    Likes Received:
    1,117
    Reputations:
    1,139
    кодерскими словечками понтоваться не хорошо =//
    понтуйся хеккерскими - сплоент, бага, скуль, шелл, рут, ..
     
  15. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    783
    Likes Received:
    351
    Reputations:
    353
    Грейт, в список хеккерских словечек пора добавлять хмурый, вмазка, барыга и подобные ;)
     
    1 person likes this.
  16. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,650
    Likes Received:
    754
    Reputations:
    397
    2 podkashey, Great
    можно комбинировать
    "хмурый рут"
    "скуль по вмазке"
    "бага-барыга"
    "шелл-баян-ядро-таблица"
    ммм...

    "бутират плюс плюс" ?
     
  17. _Great_

    _Great_ Elder - Старейшина

    Joined:
    27 Dec 2005
    Messages:
    2,043
    Likes Received:
    1,117
    Reputations:
    1,139
    Kez, реверсинг через петуха по вене в ринг0
     
Loading...