Firewall, Як подолати файрволл і як не допустити цього
Відсутня
DLL injection на службі spyware
Уявімо собі просту і дуже поширену ситуацію: spyware-програма періодично з'єднується з деяким сайтом, використовуючи, наприклад, протокол HTTP, і передає на цей сайт певну інформацію, яку користувач хотів би зберегти в секреті. Крім програм видалення spyware, ефективність яких залежить від обставин, допомогти в цій ситуації може брандмауер, що не допускає виходу в мережу програм, яким це не належить, і дозволяє користувачеві заборонити вихід в мережу підозрілим програмам. Але й spyware-програми (точніше – їхні творці) можуть піти на хитрощі.
Одна з таких хитрощів – використовувати для виходу в Інтернет іншу програму, якою доступ до мережі заздалегідь дозволений. Однією з таких програм є Internet Explorer. Програма spyware може використовувати IE через інтерфейс автоматизації. Цей спосіб отримав назву «процес hijacking» і сучасні брандмауери вміють з ним боротися. Та й інтерфейс автоматизації IE дозволить spyware-програмі далеко не все, що їй хотілося б. Але існує інший спосіб використання spyware-програмами довірених процесів у своїх цілях. Спосіб цей пов'язаний з технікою так званої DLL injection (використання DLL). Впровадження DLL – класична техніка маніпуляції процесами, описана в такій же класичній книзі Джеффрі Ріхтера.
Розглянемо практичний приклад.
Далі наводиться текст консольної програми, яка змушує один із запущених у системі екземплярів Internet Explorer завантажити якусь бібліотеку
C:Mylib.dll. #include "stdafx.h" #include #include #include vo, PE.szExeFile)) < Inject(PE.th32ProcessID); break; >> while (Process32Next(hPS, &PE)); CloseHandle(hPS); return 0;>
C:Mylib.dll: #include "stdafx.h" #include "windows.h" . BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVO >
Як подолати файрвол і як не допустити цього. Хочу відзначити відразу, в цій статті мова піде про прийом подолання захисту брандмауера, давно відомий комп'ютерним зловмисникам (і не тільки їм, оскільки я теж цей прийом знаю, хоча зловмисником не є). Проблема в тому, що дуже часто старі і давно відомі «дірки» погано піддаються усуненню. Саме про одну таку, широко відому, але досі не вирішену проблему та можливі способи її вирішення й йтиме далі мова.
DLL injection на службі spyware
Уявімо собі просту і дуже поширену ситуацію: spyware-програма періодично з'єднується з деяким сайтом, використовуючи, наприклад, протокол HTTP, і передає на цей сайт певну інформацію, яку користувач хотів би зберегти в секреті. Крім програм видалення spyware, ефективність яких залежить від обставин, допомогти в цій ситуації може брандмауер, що не допускає виходу в мережу програм, яким це не належить, і дозволяє користувачеві заборонити вихід в мережу підозрілим програмам. Але й spyware-програми (точніше – їхні творці) можуть піти на хитрощі.
Одна з таких хитрощів – використовувати для виходу в Інтернет іншу програму, якою доступ до мережі заздалегідь дозволений. Однією з таких програм є Internet Explorer. Програма spyware може використовувати IE через інтерфейс автоматизації. Цей спосіб отримав назву «процес hijacking» і сучасні брандмауери вміють з ним боротися. Та й інтерфейс автоматизації IE дозволить spyware-програмі далеко не все, що їй хотілося б. Але існує інший спосіб використання spyware-програм«довірених» процесів у своїх цілях. Спосіб цей пов'язаний з технікою так званої DLL injection (використання DLL). Впровадження DLL – класична техніка маніпуляції процесами, описана в такій же класичній книзі Джеффрі Ріхтера.
Розглянемо практичний приклад.
Далі наводиться текст консольної програми, яка змушує один із запущених у системі екземплярів Internet Explorer завантажити якусь бібліотеку
C:Mylib.dll. #include "stdafx.h" #include #include #include vo, PE.szExeFile)) < Inject(PE.th32ProcessID); break; >> while (Process32Next(hPS, &PE)); CloseHandle(hPS); return 0; >
C:Mylib.dll: #include "stdafx.h" #include "windows.h" . BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVO >
| Прихований текст |
| У вас немає прав бачити цей текст. Будь ласка, зареєструйтесь.. |
Автора подякували 10 користувачам (Hessen333, leodubrovin, sey55555, lasar, vmg55555, Бензол, kaktus19, учень-2, kamo).
| Інфо користувачаExpert offline»Надіслати e-mail Expert»Шукати всі повідомлення користувача Expert»Додати Expert до Контакт-лист |
| »Закрити меню |
__________________
| sunnyboyНовачок |
Відсутня
| Інфо користувачаsunnyboy offline»Надіслати e-mail sunnyboy»Шукати всі повідомлення sunnyboy |
| »Закрити меню |
| нафаняПросунутий |
Відсутня
соромно батенька це ж знати потрібно хоча в мене на кшталт файрвола і ні
Питання безпечної роботи комп'ютера, підключеного до Інтернету, хвилюють багатьох активних користувачів ПК, і для того, щоб зрозуміти, наскільки комп'ютер захищений, існують спеціалізовані програми-тести. Для тестування файрволлів існує цілий клас програм із загальною назвою Leak tests. Це звані тести на непробивність файрволлов, які діють за принципом троянів, відправляючи інформацію з комп'ютера користувача на віддалений комп'ютер через Інтернет. При цьому ці програми намагаються обійти фільтри, виставлені захистом файрволла.