Приветствую,
ищу информацию по чему-либо, позволяющему перехватывать обращения к реестру, для фильтрации определенных ключей, как, по-моему, поступают некоторые современные протекторы лицензий. Цель - сокрытие определенных ключей, например для банального "однократного" показа документа.
Перехват функций работы с реестром
Правила форума
Темы, в которых будет сначала написано «что нужно сделать», а затем просьба «помогите», будут закрыты.
Читайте требования к создаваемым темам.
Темы, в которых будет сначала написано «что нужно сделать», а затем просьба «помогите», будут закрыты.
Читайте требования к создаваемым темам.
Сообщений: 25
• Страница 1 из 1
- Maitris
- Постоялец
- Сообщения: 656
- Зарегистрирован: 02.03.2005 (Ср) 21:00
- Откуда: Из другой цивилизации.
- Maitris
- Постоялец
- Сообщения: 656
- Зарегистрирован: 02.03.2005 (Ср) 21:00
- Откуда: Из другой цивилизации.
Maitris » 29.09.2007 (Сб) 19:22
локальный. Подошла бы даже наверное установка запрета на чтение для определенных пользователей, но мне нужно скрыть скорее значения, чем непосредственно ключ.
Добавлено: вот например, цитата об одной из программ:
Потом, попробуйте удалить ключ сервиса Outpost Firewall. Разрешения стоят Full Control, ан нет, не получится так просто. Как они это делают (перехват)?
Добавлено: вот например, цитата об одной из программ:
Технология Rootkit Скрывает следующее:
– Собственные файлы
– Собственный ключ реестра
Используемый метод:
• Невидимый из Windows API
Потом, попробуйте удалить ключ сервиса Outpost Firewall. Разрешения стоят Full Control, ан нет, не получится так просто. Как они это делают (перехват)?
Последний раз редактировалось Maitris 29.09.2007 (Сб) 19:27, всего редактировалось 1 раз.
----
- Хакер
- Телепат
-
- Сообщения: 16478
- Зарегистрирован: 13.11.2005 (Вс) 2:43
- Откуда: Казахстан, Петропавловск
Хакер » 29.09.2007 (Сб) 19:24
Maitris
Локальный - это когда перехватываются вызовы функции, сделанные из своего процесса.
Локальный - это когда перехватываются вызовы функции, сделанные из своего процесса.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.
—That's right! We decapitate them.
- Maitris
- Постоялец
- Сообщения: 656
- Зарегистрирован: 02.03.2005 (Ср) 21:00
- Откуда: Из другой цивилизации.
- Maitris
- Постоялец
- Сообщения: 656
- Зарегистрирован: 02.03.2005 (Ср) 21:00
- Откуда: Из другой цивилизации.
Maitris » 29.09.2007 (Сб) 19:49
Me!
гы, причем тут "внутреннее устройство Windows"? Меня интересует практически применимая информация.
Предположительно, загружается драйвер, который хукает какие-то функции Api. Знаю, что аналогичный эффект достигался в программе написаной на Delphi - так что видимо тут не нужно глубокое знание ассемблера или же операционной системы в целом.... Должно быть не слишком тривиальное решение
гы, причем тут "внутреннее устройство Windows"? Меня интересует практически применимая информация.
Предположительно, загружается драйвер, который хукает какие-то функции Api. Знаю, что аналогичный эффект достигался в программе написаной на Delphi - так что видимо тут не нужно глубокое знание ассемблера или же операционной системы в целом.... Должно быть не слишком тривиальное решение
----
- Хакер
- Телепат
-
- Сообщения: 16478
- Зарегистрирован: 13.11.2005 (Вс) 2:43
- Откуда: Казахстан, Петропавловск
Хакер » 29.09.2007 (Сб) 20:06
Maitris
Открываешь процесс, который тебе нужно перехватить, получаешь права на запись в него. Юзая VirtualAllocEx, записываешь в чужой процесс свой код. Запускаешь в контексте чужого процесса новый поток (с помощью CreateRemoteThread, - передавая в качестве одного из аргументов (3-ий или 4-ый - не помню точно) адрес точки входа кода нового потока (т.е. это должен быть адрес, по которому ты записал свой код, адрес, который вернула VirtualAllocEx.) ).
Твой код теперь получился вживлённым в чужок процесс. Этот код должен получить hModule модуля advapi32. Юзая GetProcAddress, получаешь адреса функций, которые нужно перехватить. Меняешь атрибут страницы памяти, по котроым расположены эти функции так, чтобы в них можно было писать (устанавливай максимальный уровень доступа! т.е. - RWX, иначе может произойти так, что выполнение главного потока попадёт в non-executable страницу памяти, что приведёт к GPF). В самое начало фунции записываешь команду, совершающую прыжок на твой код, который и должен будет обрабатывать перехват функции и, к примеру, подменивать параметры.
Проблема тут может возникнуть в том, что команда перехода затрёт оригинальный код функции (в начале функций может валяться mov edi, edi - тогда ситуация несколько лучше). Я не знаю решения этой проблемы кроме как переноса кода функции (до её модификации) в другое место. Но при этом, потребуется фиксить все те места функции, где используется абсолютная адресация. В этом тебе поможет секция релокации.
Ну, это так, в общих словах
Открываешь процесс, который тебе нужно перехватить, получаешь права на запись в него. Юзая VirtualAllocEx, записываешь в чужой процесс свой код. Запускаешь в контексте чужого процесса новый поток (с помощью CreateRemoteThread, - передавая в качестве одного из аргументов (3-ий или 4-ый - не помню точно) адрес точки входа кода нового потока (т.е. это должен быть адрес, по которому ты записал свой код, адрес, который вернула VirtualAllocEx.) ).
Твой код теперь получился вживлённым в чужок процесс. Этот код должен получить hModule модуля advapi32. Юзая GetProcAddress, получаешь адреса функций, которые нужно перехватить. Меняешь атрибут страницы памяти, по котроым расположены эти функции так, чтобы в них можно было писать (устанавливай максимальный уровень доступа! т.е. - RWX, иначе может произойти так, что выполнение главного потока попадёт в non-executable страницу памяти, что приведёт к GPF). В самое начало фунции записываешь команду, совершающую прыжок на твой код, который и должен будет обрабатывать перехват функции и, к примеру, подменивать параметры.
Проблема тут может возникнуть в том, что команда перехода затрёт оригинальный код функции (в начале функций может валяться mov edi, edi - тогда ситуация несколько лучше). Я не знаю решения этой проблемы кроме как переноса кода функции (до её модификации) в другое место. Но при этом, потребуется фиксить все те места функции, где используется абсолютная адресация. В этом тебе поможет секция релокации.
Ну, это так, в общих словах
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.
—That's right! We decapitate them.
- Maitris
- Постоялец
- Сообщения: 656
- Зарегистрирован: 02.03.2005 (Ср) 21:00
- Откуда: Из другой цивилизации.
Maitris » 29.09.2007 (Сб) 21:10
Хакер
Такая активность, которую ты упомянул (инъекция кода в чужой процесс), непременно привлечет интерес антивирусных программ, что категорически неприемлемо. Это ведь не вирус, а очередная попытка защитить хранимые данные/параметры.
Добавлено: всю ту информацию о недрах windows, что твоя голова насобирала за несколько лет, ты вылил как ведро помоев на либеральное сообщество форумчан.... Вот
Me!
lol
dr.MIG
Уточни
Такая активность, которую ты упомянул (инъекция кода в чужой процесс), непременно привлечет интерес антивирусных программ, что категорически неприемлемо. Это ведь не вирус, а очередная попытка защитить хранимые данные/параметры.
Добавлено: всю ту информацию о недрах windows, что твоя голова насобирала за несколько лет, ты вылил как ведро помоев на либеральное сообщество форумчан.... Вот
Me!
lol
dr.MIG
Уточни
----
- Хакер
- Телепат
-
- Сообщения: 16478
- Зарегистрирован: 13.11.2005 (Вс) 2:43
- Откуда: Казахстан, Петропавловск
Хакер » 29.09.2007 (Сб) 21:18
Maitris
Антивирусные программы - фтопку.
Вон, Spy++ же внедряется во все процессы...
А другого варианта (ну, возможно вариант с WMI всё же существует, но я о нём не знаю) не существует.
Антивирусные программы - фтопку.
Вон, Spy++ же внедряется во все процессы...
А другого варианта (ну, возможно вариант с WMI всё же существует, но я о нём не знаю) не существует.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.
—That's right! We decapitate them.
- Хакер
- Телепат
-
- Сообщения: 16478
- Зарегистрирован: 13.11.2005 (Вс) 2:43
- Откуда: Казахстан, Петропавловск
Хакер » 29.09.2007 (Сб) 21:21
Добавлено: всю ту информацию о недрах windows, что твоя голова насобирала за несколько лет, ты вылил как ведро помоев на либеральное сообщество форумчан.... Вот
Кто? Я?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.
—That's right! We decapitate them.
- Me!
- Новичок
- Сообщения: 35
- Зарегистрирован: 05.08.2007 (Вс) 21:35
Me! » 29.09.2007 (Сб) 21:44
Maitris
если тебе эта инфа показалась помоями, то сложно назвать тебя программером, ибо программер обязан знать устройство системы для которой он пишет
всю ту информацию о недрах windows, что твоя голова насобирала за несколько лет, ты вылил как ведро помоев на либеральное сообщество форумчан
если тебе эта инфа показалась помоями, то сложно назвать тебя программером, ибо программер обязан знать устройство системы для которой он пишет
- ANDLL
- Великий гастроном
-
- Сообщения: 3450
- Зарегистрирован: 29.06.2003 (Вс) 18:55
ANDLL » 30.09.2007 (Вс) 7:50
Даже обсуждалось ,чт0 писать по 4 байта - и никто ничего не скажет....активность, которую ты упомянул (инъекция кода в чужой процесс), непременно привлечет интерес антивирусных программ, что категорически неприемлемо
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог
Блог
- Maitris
- Постоялец
- Сообщения: 656
- Зарегистрирован: 02.03.2005 (Ср) 21:00
- Откуда: Из другой цивилизации.
Maitris » 30.09.2007 (Вс) 15:11
Хакер
ну ребята, у вас с чуством юмора............... кх-кх
На самом же деле интересный док получился, только плохо структурированный.
что-ж, пойдем попишем в процесс
ну ребята, у вас с чуством юмора............... кх-кх
На самом же деле интересный док получился, только плохо структурированный.
что-ж, пойдем попишем в процесс
----
Сообщений: 25
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: SemrushBot, Yandex-бот и гости: 54