Конференция VBStreets

[ger_kar]

- другого 100% надежного я не вижу.

100% Надежного нет по определению, и вряд ли когда нибудь будет.

А в обсуждаемых вариантах я б даже не стал с хуком париться - нашел бы триальную заглушку (там наверняка jnz/jne будет) и тупо джампом обошел.

А вот это я предусмотрел, поэтому jnz/jne, да и вообще операции сравнения как таковой там не будет.

WMI - на любителя.

Я любитель .

Я его терпеть не могу

А вот это зря. Прочитал пост, ба, да прямо в мои теплые руки идет противник моей любимой технологии (шутка ) А если серьезно, то вы действительно первый, кто прямо сказал о том, что WMI ему не нравится, для этого здесь, я даже специально создал тему, но пока никто откровенно против не высказывался, позиция у всех скорее не рыба не мясо. Даже категоричный Хакер, сам вопрос обошел стороной.
А теперь по существу:

По большому счету, в части получения информации WMI на 99% это "читатель" реестра.

Не согласен с цифрой 99%, скорее примерно в районе 60%, и не всякую информацию можно получить обращяясь к реестру. Пример - пожалуйста: узнать каким процессом занят файл, да и занят ли он вообще. Этот пример - первое, что взбрело в голову и таких примеров... К тому же возможности WMI не сводятся к получению информации и многие вещи, при помощи WMI, делаются ну просто очень эффективно, как по простоте реализации, так и по результату работы.
Не верите? Могу доказать. Но не будем здесь оффтопить. Если вы не против подискутировать, то давайте это делать в той теме, которую я указал, и на основе конкретных примеров. Если согласны, то оставьте в той теме свой след , а я по возвращению домой подключусь.

[Хакер]

Предложи хорошую Я, кстати, предложил

А я в самом начале сказал — никак.

Почему IT переходит на отвратительные веб-приложения? Да там просто проще защититься от пиратства: разметил логику на сервере, а от пользователя получаешь входные данные и отправляешь выходные.

В любом случае, вопрос не в том, какую функцию вызвать, а как не дать понять, какая функция вызывается.

[ger_kar]

В любом случае, вопрос не в том, какую функцию вызвать, а как не дать понять, какая функция вызывается.

Прежде чем не дать другому понять, надо сначало, чтобы на самого защищающего снизошло озарение, мою голову такое еще не посящало, так что буду довольствоваться тем что есть.

[ark]

Пример - пожалуйста: узнать каким процессом занят файл, да и занят ли он вообще

Через АПИ - вот первое, что нагуглилось http://www.wasm.ru/article.php?article=lockfileswork
По части чего можно в реестре накопать - вот статья, которую я давно отправлял на vbrussian.com:

Performance.zip

(137.42 Кб) Скачиваний: 122

Сайт благополучно почил, статья (у меня) осталась.

[Хакер]

Через АПИ - вот первое, что нагуглилось http://www.wasm.ru/article.php?article=lockfileswork

Он тебя не спрашивает, как это сделать. Тебе пример приводят случая, когда WMI не обращается к реестру для выполнения возложенной задачи.

[ark]

В любом случае, вопрос не в том, какую функцию вызвать, а как не дать понять, какая функция вызывается.

На вскидку, первое, что приходит в голову, реальный вызов спрятать куда-нибудь в lsass или svchost - на вызываемые ими функции опасно туфту отправлять. Главное, чтоб у юзерской функции был "нтшный" дубликат. А так, мало ли зачем я нитку в svchost создаю. Тут, правда, Касперский скорее всего орать начнет.

[ark]

Он тебя не спрашивает, как это сделать. Тебе пример приводят случая, когда WMI не обращается к реестру для выполнения возложенной задачи.

Блин, мне что, самого себя цитировать? Я ж писАл - или через АПИ, или через реестр. Да, согласен, нет в PerfCounters СПИСКА всех хэндлов, только их количество, но это как раз тот 1%, остальное или в ControlSet или в Counters.

[Хакер]

На вскидку, первое, что приходит в голову, реальный вызов спрятать куда-нибудь в lsass или svchost - на вызываемые ими функции опасно туфту отправлять. Главное, чтоб у юзерской функции был "нтшный" дубликат. А так, мало ли зачем я нитку в svchost создаю. Тут, правда, Касперский скорее всего орать начнет.

Методы какие-то совершенно ерундовые предлагаются. Как в плане самих методов, так и в плане того, что они требуют непотребного.

[ger_kar]

Он тебя не спрашивает, как это сделать. Тебе пример приводят случая, когда WMI не обращается к реестру для выполнения возложенной задачи.

Блин, мне что, самого себя цитировать? Я ж писАл - или через АПИ, или через реестр. Да, согласен, нет в PerfCounters СПИСКА всех хэндлов, только их количество, но это как раз тот 1%, остальное или в ControlSet или в Counters.

Тема свернув с основного пути уже лихо скачет по обочине , поэтому отвечаю здесь

[ark]

в плане того, что они требуют непотребного.

Ты спросил - я ответил. "Потребность" методов же пока не обсуждаем?
В "своем" процессе IAT как на ладони, поэтому и первая мысль - удаленный процесс. Ну, не нравится svchost - пусть будет explorer. Или Calc невидимый.

[Хакер]

В "своем" процессе IAT как на ладони, поэтому и первая мысль - удаленный процесс. Ну, не нравится svchost - пусть будет explorer. Или Calc невидимый.

Бред. Отвыкайте от идиотской привычки предполагать, что все ваши программы будут запускаться по администраторской учётной записью и будут иметь максимальные права.

• Фиг, не будут!
• Особенно это касается программы для отправки нал. деклараций: если домашний пользователь ещё может по собственной тупости сидеть под администраторской учёткой, то в компании действует политика безопасности, и бухгалтера уж точно будут ограничены в правах. В нормальной компании. Ну а мы же не хотим писать для неправильных компаний?
• CreateRemoteThread привлечёт взломщика в 10 раз сильнее, чем просто те действия, которые ты намерен совершать в рамках удалённого потока, но делай ты их в своём процессе.

[ger_kar]

Ну вообще-то уязвимых мест несколько, и все прятать очень накладно выйдет. Сначала надо спрятать сам факт снятия метки, с файла, процесса и т.д., ну хорошо сам факт спрятали, дальше преобразование FileTimeToSystemTime, опять его нужно куда нибудь, как нибудь, убрать с глаз долой. А дальше такие спецы как Хакер и ark и им подобные, расковыряют такое, о чем я даже понятия не имею, вобщем погоня за ускользающим.

Фиг, не будут!Особенно это касается программы для отправки нал. деклараций: если домашний пользователь ещё может по собственной тупости сидеть под администраторской учёткой, то в компании действует политика безопасности, и бухгалтера уж точно будут ограничены в правах. В нормальной компании. Ну а мы же не хотим писать для неправильных компаний?

Это кстати да. Единственное, что радует, бухгалтеры в таких компаниях охотно берут мое изделие и платят даже не задумываясь и не помышляя что-либо ломать. Цена тоже многое решает.

[ger_kar]

В любом случае, вопрос не в том, какую функцию вызвать, а как не дать понять, какая функция вызывается.

А как не дать понять? Вот бы самому это понять

[Хакер]

и не помышляя что-либо ломать

Ты то откуда знаешь.
По твоему ситуация с приобретением будет выглядеть как-то так:
— Спасибо за покупку!
— Кстати, мы планируем отправить копию дистрибутива нашим коллегам из фирмы Х, они сказали, что у них есть хакер, чтобы взломать её.

[Хакер]

А как не дать понять? Вот бы самому это понять

Обычно те, кто владеют какими-то методами, не говорят о них, потому что им это не выгодно.

Скажем из простого: пишется виртуальная машина, и некоторые участки кода выполняются этой машиной, а не процессором. То есть процессор выполняет не особый код, а код вирт. машины, которая выполняет особый код.

Как следствие — можно сколько угодно ставить брекпоинты на API-функции и пытаться трассировать код. Выполнение в отладчике никогда не придёт туда, куда хакеру не нужно совать нос, хотя все эти инструкции выполнены будут.

[ark]

Бред. Отвыкайте от идиотской привычки предполагать, что все ваши программы будут запускаться по администраторской учётной записью и будут иметь максимальные права.

А зачем админка? Достаточно SeDebugPrivilege. Да и вообще, это ж все в теоретической плоскости. В практической

Ну а мы же не хотим писать для неправильных компаний

в правильных компаниях не будут ломать триалы - первый же аудит им все кишки вывернет за левый софт.

пишется виртуальная машина

На VB?

[Хакер]

Достаточно SeDebugPrivilege.

Да. Программа для отправки отчётов не должна требовать привилегии на отладку процессов.

в правильных компаниях не будут ломать триалы - первый же аудит им все кишки вывернет за левый софт.

Скажем так, я под правильными имел в виду не те, которые уважают законы, а те, которые правильно относятся к собственной безопасности.

На VB?

На VB будет проблематично.

[ger_kar]

в правильных компаниях не будут ломать триалы - первый же аудит им все кишки вывернет за левый софт.

Ну у нас в нашей дикой стране, да и еще в нашем городишке, никто никого выворачивать не будет, ибо у нас здесь край не пуганых пиратов . А если кто и может вывернуть, так это исключительно я сам в судах, но для этого мне нужно, располагать фактами. Но зато уж если я сам возмусь защищать свои интересы, то внатуре выверну наизнанку, одна засада, у меня нет никаких полномочий кого-либо проверять

[ger_kar]

Скажем из простого: пишется виртуальная машина, и некоторые участки кода выполняются этой машиной, а не процессором. То есть процессор выполняет не особый код, а код вирт. машины, которая выполняет особый код.

Ну на это могу ответить только пословицей - не по Сеньке шапка

[ark]

Я так думаю: виртуальная машина (равно как и внедрение кода в удаленный процесс) в рамках софтины по отчетам, это даже не из пушки, а ядрёной бомбой по воробьям. ИМХО, в данном случае главным оружием "хакеров-юзеров" (@Хакер - это не про тебя) будет перевод стрелок назад.
Так, в качестве еще одного варианта. Я не крупный спец в налоговых отчетах, но там же наверняка какие-то даты есть. Сделай их относительными к текущей - ну там UpDown прикрути, или кнопочки +/-. Причем назад - сколько хочешь, а вперед - типа Const MAX_FORWARD = TRIAL_TIME. Ну, или при валидации контрола, куда дата заносится - сравнивай с текущей и выдавай предупреждение, мол, похвально, что хотите заплатить за следующий год и спать спокойно, но налоги изменятся, лучше через пол-года скачайте новый, улучшенный апдейт...
#IF FloodAllowed

CreateRemoteThread привлечёт ...

Для svchost или lsass не покатит - надо RtlCreateUserThread

На VB будет проблематично

Жаль.. А как звучало бы:

Код: Выделить всё

VirtualMachine vm;
vm.LoadVBVM();
Private Function MyTopSecret()
End Function


#End If

[ger_kar]

Я так думаю: виртуальная машина (равно как и внедрение кода в удаленный процесс) в рамках софтины по отчетам, это даже не из пушки, а ядрёной бомбой по воробьям.

Это точно

Я не крупный спец в налоговых отчетах, но там же наверняка какие-то даты есть

Конечно есть, куда же без них. А вообще идея интересная, надо ее детально продумать. Спасибо.

[tav]

а если сделать простенькую защиту от "дня сурка" ?
т.е. прога запустилась записала дату. при сохранении результата работы записала сколько времени она проработала.
если она пару раз включится в одну и туже дату может удивиться...

собсно пока выше описанный легко обходимый способ печатался пришла другая мысль, это же налоговые отчетности. в налоговых отчётностях уже должна быть настоящая дата, от сюда и плясать всякими проверками.
не будут же они сдать каждый месяц сдавать новогоднюю отчетность.

[Viper]

а если сделать простенькую защиту от "дня сурка" ?т.е. прога запустилась записала дату. при сохранении результата работы записала сколько времени она проработала.если она пару раз включится в одну и туже дату может удивиться...

И любым отладчиком это отлавливается на раз

[ark]

И любым отладчиком это отлавливается на раз

Тады предлагается следующий сценарий для несчастной проги:
1. Пишем виртуальную машину (лучше тяжелый track, или, на худой конец, Хаммер)
2. Из под машины проверяем наличие в системе отладчиков (ИДА, Олли, и далее по списку). Если находим - убиваем.
3. Проверяем IAT и EAT основных dll (kernell, advapi, далее по вкусу) на предмет хука. Если находим адрес чужого процесса - убиваем этот процесс.
4. Убиваем сами dll (чтоб не мешались)
5. Запускаем маленькую, но гордую программу налоговой отчетности.

[Хакер]

3. Проверяем IAT и EAT основных dll (kernell, advapi, далее по вкусу) на предмет хука. Если находим адрес чужого процесса - убиваем этот процесс.

Чаво??

[ark]

Не понял. Чаво "Чаво"? Я чего-то пропустил и уже нельзя из IMAGE_IMPORT(EXPORT)_DIRECTORY взять RVA и сравнить с оригинальными?

[Хакер]

Подробнее насчёт «находим адрес чужого процесса».
Во-первых, где находим.
А во-вторых, раскрыть понятие «адрес чужого процесса».

[ark]

Подробнее насчёт «находим адрес чужого процесса».

Звиняйте. В посте насчет сценария забыл поставить смайлик. Я вообще-то отправил его не как руководство к действию, а как пример несоразмерности предлагаемых методов взлома/защиты уровню программы.

Насчет "адреса" - примерно так

Код: Выделить всё

addr=hModule+RVA
dim me32 As MODULEENTRY32
me32.dwSize = Len(me32)
snap=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid)
found=Module32First(snap, me32)
Do While found
     if IsBetween(addr,me32.BaseAddr,me32.BaseAddr+me32.BaseSize) Then
        Kill TrimNull(me32.szExePath)
     endif
     found=Module32Next(..) 'UPD
Loop

[Хакер]

Мне не нужен бредовый код с непонятными константами. Мне нужно, чтобы ты объяснил смысл фразы «адрес чужого процесса».

[ark]

Мне не нужен бредовый код с непонятными константами. Мне нужно, чтобы ты объяснил смысл фразы «адрес чужого процесса».

Послушайте, уважаемый, Вы не могли бы эпитеты типа "бредовый", "гиперидиотизм" и проч. психиатрические термины оставить для более узкоспециализированного форума?
"адрес чужого процесса" - адрес в памяти текущего (current) процесса, куда загружена "чужая" dll.