И снова про хуки

Программирование на Visual Basic, главный форум. Обсуждение тем программирования на VB 1—6.
Даже если вы плохо разбираетесь в VB и программировании вообще — тут вам помогут. В разумных пределах, конечно.
Правила форума
Темы, в которых будет сначала написано «что нужно сделать», а затем просьба «помогите», будут закрыты.
Читайте требования к создаваемым темам.
Vovik
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 643
Зарегистрирован: 02.08.2003 (Сб) 15:14
Откуда: Belarus, Minsk

И снова про хуки

Сообщение Vovik » 07.12.2009 (Пн) 21:37

Заранее извиняюсь, если плохо рыл, но оч срочно нуна. как отследить запуск файла, кем запущен (пользователь, приложение), копирование файла, открытие каталога. Если можно, то примерчиком. Заранее благодарен.
P.S. А можно как-нть заблокировать запуск файла (как в антивирусах)?

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: И снова про хуки

Сообщение Хакер » 07.12.2009 (Пн) 21:45

Антивирусы правят ячейки SST. Серьёзные антивирусы, по крайней мере.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Vovik
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 643
Зарегистрирован: 02.08.2003 (Сб) 15:14
Откуда: Belarus, Minsk

Re: И снова про хуки

Сообщение Vovik » 07.12.2009 (Пн) 21:59

Хакер писал(а):Антивирусы правят ячейки SST. Серьёзные антивирусы, по крайней мере.
:oops: А что за оно?

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: И снова про хуки

Сообщение Хакер » 07.12.2009 (Пн) 22:00

Таблица такая ядерная.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

ANDLL
Великий гастроном
Великий гастроном
Аватара пользователя
 
Сообщения: 3450
Зарегистрирован: 29.06.2003 (Вс) 18:55

Re: И снова про хуки

Сообщение ANDLL » 07.12.2009 (Пн) 22:04

Если вдруг SST это(хотя даже гугл не знает что это) system services table, то откуда такие сведения об их работе?
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: И снова про хуки

Сообщение Хакер » 07.12.2009 (Пн) 22:19

Отсюда, например:
rkussdt.PNG
rkussdt.PNG (49.12 Кб) Просмотров: 2115
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Vovik
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 643
Зарегистрирован: 02.08.2003 (Сб) 15:14
Откуда: Belarus, Minsk

Re: И снова про хуки

Сообщение Vovik » 07.12.2009 (Пн) 23:04

А что же з хуками?

ANDLL
Великий гастроном
Великий гастроном
Аватара пользователя
 
Сообщения: 3450
Зарегистрирован: 29.06.2003 (Вс) 18:55

Re: И снова про хуки

Сообщение ANDLL » 07.12.2009 (Пн) 23:13

Отсюда, например:
Ну это один. Вообще довольно странно, ведь и за ядерными файловыми операциям следить надо... Есть подозрения что эти сервисы(особенно учитывая что там их дофига) перезаписаны просто для эврестического анализа.
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: И снова про хуки

Сообщение Хакер » 07.12.2009 (Пн) 23:27

Почему просто для эвристики? Для подавления любых нехороших/нежеланных действий со стороны юзермодных процессов. Например, попыток убить тот же процесс kav.exe.

Вот ещё примечательная статья о положении дел в kav7. Как оно сейчас, не знаю.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: И снова про хуки

Сообщение Antonariy » 08.12.2009 (Вт) 16:13

Для подавления любых нехороших/нежеланных действий со стороны юзермодных процессов.
Всколыхнуло неприятные воспоминания недельной давности.

Все уже привыкли к баннерам, которые ползают по страницам вслед за скроллом, они, как правило, содержат закрывающую кнопку, которая, как правило, их таки закрывает. Но иногда наоборот. Мне попался как раз такой баннер. Он открыл новое окно, вслед за которым в трее появилась явовская иконка с сообщением об инсталляции чего-то сановского. Я сразу понял, что дело нечисто, однако обладая опытом ручной чистки системы от всякой гадости, решил подождать пока система отвиснет и посмотреть, что же я зацепил. Любопытство сгубило кошку :( После установки часть сервисов посыпалась с разнообразными ошибками, а секунд через тридцать появилось черное гламурно-полупрозрачное окно (такой бы дизайн да в мирных целях) с предложением заплатить смской за регистрацию на порносайте, название которого каждый раз при показе окна менялось. Ага, оконо висело не постоянно, а периодически, раз в пару минут появлялось секунд на 30. И естественно блокировало все, что под ним, и не сворачивалось. SAV был вырезан накорню и не подавал признаков жизни. Порноряд из трех картинок своим содержимым как бы недвусмысленно намекал: чувак, тебя поимели, лососни тунца и жди новых гостей в количестве 3-4х штук. Эта штука обладает двумя критическими свойствами: интегрируется в шелл и задорно приветствует в безопасном режиме, а так же завершает процессы, пытающиеся получить список процессов или получить доступ к автозагрузочным ключам реестра (поэтому посыпались сервисы). То есть обламывался не только таск менеджер, но и вообще все аналогичные утилиты, cmd в том числе. При загрузке с подержкой коммандной строки ничего, кроме пустого синего экрана, не было. На другом винте была установлена еще одна система, из под которой я попытался восстановить основную. Фиг там. Удаление всех файлов, созданных во время заражения, ничего не дало, а бесплатные сканнеры не обнаружили ничего криминального. Конец немного предсказуем — я вынужденно перешел на семерку. Лег спать в 4 утра.

Итак, если вы вдруг увидите в трее явовскую иконку, которой там быть не должно, немедленно ЖМИТЕ РЕЗЕТ!!11 И грузитесь в безопасном режиме, а лучше с другой системы, может пронесет.

PS. Извините за офф.
Лучший способ понять что-то самому — объяснить это другому.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: И снова про хуки

Сообщение Хакер » 08.12.2009 (Вт) 16:26

RkU надо было пробовать.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Денис
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2734
Зарегистрирован: 07.11.2006 (Вт) 13:55
Откуда: Ейск, Краснодарский край

Re: И снова про хуки

Сообщение Денис » 08.12.2009 (Вт) 16:41

Хакер писал(а):RkU надо было пробовать.

А еще надо было попробовать AvZ
А еще, если нет возможности просканировать систему извне, зайти под пользователем или под гостем (эсэмэсочники против этого бессильны), а потом запускать от имени админской учетной записи диспетчеры задач, редакторы реестра, автозагрузки и т.п.
Программирование — богоизбранная дисциплина! Если бог и есть, то вселенную он скомпилировал, не иначе.

Twister
Теоретик
Теоретик
Аватара пользователя
 
Сообщения: 2251
Зарегистрирован: 28.06.2005 (Вт) 12:32
Откуда: Алматы

Re: И снова про хуки

Сообщение Twister » 08.12.2009 (Вт) 19:15

За ядерными файловыми операциями, как вы их тут назвали, следят обычно либо установкой драйвера-фильтра, либо перехватом irp-обработчиков драйверов файловых систем. Свой пример первого варианта я могу предоставить, да боюсь, что он будет не по силам топик-стартеру. Пример второго метода найдете в каком-нибудь более или менее нормальном ядерном рутките.
А я все практикую лечение травами...

ANDLL
Великий гастроном
Великий гастроном
Аватара пользователя
 
Сообщения: 3450
Зарегистрирован: 29.06.2003 (Вс) 18:55

Re: И снова про хуки

Сообщение ANDLL » 08.12.2009 (Вт) 19:20

Вот к чему я - нафига перехватывать пользовательский системный вызов если можно все сделать простым фильтром?
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог

Twister
Теоретик
Теоретик
Аватара пользователя
 
Сообщения: 2251
Зарегистрирован: 28.06.2005 (Вт) 12:32
Откуда: Алматы

Re: И снова про хуки

Сообщение Twister » 08.12.2009 (Вт) 19:22

А еще надо было попробовать AvZ
В данном случае, как уже было сказано, надо было юзать РкУ. Убить его из юзермода мало кто сможет, а все что надо для устранения вредятины (ну почти все) в нем есть. AVZ же славится своей эвристикой, но для искоренения заразы мало пригоден.
А я все практикую лечение травами...

Twister
Теоретик
Теоретик
Аватара пользователя
 
Сообщения: 2251
Зарегистрирован: 28.06.2005 (Вт) 12:32
Откуда: Алматы

Re: И снова про хуки

Сообщение Twister » 08.12.2009 (Вт) 19:25

перехватывать пользовательский системный вызов
Ты уж определись. Если пользовательский - то это какой-нить сплайс какой-нить функции в kernel32 :) Если системный, то это хук SSDT. Тут все зависит от задачи - если контролировать реестр, к примеру, то надо лезть в SSDT, если следить за файлами, то я назвал два варианта. Первый (фильтр) вполне документированный.
А я все практикую лечение травами...

arvitaly
Постоялец
Постоялец
 
Сообщения: 485
Зарегистрирован: 12.04.2009 (Вс) 0:30
Откуда: Казань

Re: И снова про хуки

Сообщение arvitaly » 12.12.2009 (Сб) 21:26

Twister писал(а):Свой пример первого варианта я могу предоставить, да боюсь, что он будет не по силам топик-стартеру.


Если не сложно выложи, пожалуйста

Twister
Теоретик
Теоретик
Аватара пользователя
 
Сообщения: 2251
Зарегистрирован: 28.06.2005 (Вт) 12:32
Откуда: Алматы

Re: И снова про хуки

Сообщение Twister » 14.12.2009 (Пн) 19:00

Ну что же, держите. Это сорцы коммерческого проекта в самом его зачаточном состоянии. С вопросами по ним можно сюда же.

ЗЫ. По идее под Win7 работать не должно.
Вложения
Security [04.05.2009].rar
(711.16 Кб) Скачиваний: 63
А я все практикую лечение травами...


Вернуться в Visual Basic 1–6

Кто сейчас на конференции

Сейчас этот форум просматривают: AhrefsBot и гости: 53

    TopList  
cron