Защитна стена, Как да преодолеете защитната стена и как да я предотвратите
отсъстващ
Инжектиране на DLL в шпионска услуга
Нека си представим една проста и много често срещана ситуация: шпионска програма периодично се свързва с определен сайт, използвайки например HTTP протокола, и прехвърля информация към този сайт, която потребителят би предпочел да запази в тайна. В допълнение към програмите за премахване на шпионски софтуер, чиято ефективност зависи от обстоятелствата, защитната стена може да помогне в тази ситуация, предотвратявайки програми, които не трябва да имат достъп до мрежата и позволява на потребителя да предотврати достъпа на подозрителни програми до мрежата. Но шпионските програми (по-точно техните създатели) могат да използват трикове.
Един от тези трикове е да използвате друга програма за достъп до Интернет, на която очевидно е разрешен достъп до мрежата. Една такава програма обикновено е Internet Explorer. Шпионската програма може да използва IE чрез интерфейса за автоматизация. Този метод се нарича "отвличане на процес" и модерните защитни стени са в състояние да се справят с него. И интерфейсът за автоматизация на IE няма да позволи на шпионската програма всичко, което би искала. Но има и друг начин шпионските програми да използват „доверени“ процеси за свои собствени цели. Този метод е свързан с техниката на така нареченото DLL инжектиране (DLL инжекция). Инжектирането на DLL е класическа техника за манипулиране на процеси, описана в също толкова класическа книга на Джефри Рихтер.
Нека разгледаме един практически пример.
Следва текстът на конзолна програма, която кара едно от копията на Internet Explorer, работещи в системата, да зареди определена библиотека
C:mylib.dll. #include "stdafx.h" #include #include #include vo , PE.szExeFile)) < Инжектиране (PE.th32ProcessID); прекъсване; >> докато (Process32Next(hPS, &PE)); closeHandle(hps); връщане 0;>
C:Mylib.dll: #include "stdafx.h" #include "windows.h" . BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVO >
Как да преодолеем защитната стена и как да я предотвратим. Искам веднага да отбележа, че тази статия ще се съсредоточи върху техниката за преодоляване на защитната стена, която отдавна е известна на компютърните нарушители (и не само на тях, тъй като аз също знам тази техника, въпреки че не съм нарушител). Проблемът е, че много често старите и добре познати "дупки" се отстраняват трудно. Става въпрос за един такъв широко известен, но все още нерешен проблем и възможните начини за разрешаването му, които ще бъдат обсъдени по-нататък.
Инжектиране на DLL в шпионска услуга
Нека си представим една проста и много често срещана ситуация: шпионска програма периодично се свързва с определен сайт, използвайки например HTTP протокола, и прехвърля информация към този сайт, която потребителят би предпочел да запази в тайна. В допълнение към програмите за премахване на шпионски софтуер, чиято ефективност зависи от обстоятелствата, защитната стена може да помогне в тази ситуация, предотвратявайки програми, които не трябва да имат достъп до мрежата и позволява на потребителя да предотврати достъпа на подозрителни програми до мрежата. Но шпионските програми (по-точно техните създатели) могат да използват трикове.
Един от тези трикове е да използвате друга програма за достъп до Интернет, на която очевидно е разрешен достъп до мрежата. Една такава програма обикновено е Internet Explorer. Шпионската програма може да използва IE чрез интерфейса за автоматизация. Този метод се нарича "отвличане на процес" и модерните защитни стени са в състояние да се справят с него. И интерфейсът за автоматизация на IE няма да позволи на шпионската програма всичко, което би искала. Но има и друг начин за използване на шпионски софтуер„доверени“ процеси за техните собствени цели. Този метод е свързан с техниката на така нареченото DLL инжектиране (DLL инжекция). Инжектирането на DLL е класическа техника за манипулиране на процеси, описана в също толкова класическа книга на Джефри Рихтер.
Нека разгледаме един практически пример.
Следва текстът на конзолна програма, която кара едно от копията на Internet Explorer, работещи в системата, да зареди определена библиотека
C:mylib.dll. #include "stdafx.h" #include #include #include vo , PE.szExeFile)) < Инжектиране (PE.th32ProcessID); прекъсване; >> докато (Process32Next(hPS, &PE)); CloseHandle(hps); връщане 0; >
C:Mylib.dll: #include "stdafx.h" #include "windows.h" . BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVO >
| Скрит текст |
| Нямате право да видите този текст. Моля, регистрирайте се... |
10 потребители благодариха на автора (Hessen333, leodubrovin, sey55555, lasar, vmg55555, Benzol, kaktus19, student-2, kamo).
| Потребителска информацияЕксперт офлайн»Изпратете имейл до Експерт»Търсене във всички публикации от Експерт»Добавяне на Експерт към списъка с контакти |
| »Затворете менюто |
__________________
| слънчево момчеНачинаещ |
отсъстващ
| Информация за потребителяsunnyboy офлайн»Изпратете имейл до sunnyboy»Търсете във всички публикации от sunnyboy |
| »Затворете менюто |
| НафаняНапреднали |
отсъстващ
срам, приятелю, трябва да знаеш това въпреки че изглежда нямам защитна стена
Въпросите за безопасната работа на компютър, свързан с интернет, вълнуват много активни потребители на компютри и за да разберат колко защитен е компютърът, има специализирани тестови програми. Има цял клас програми за тестване на защитни стени, с общо наименование Leak tests. Това са така наречените тестове за защитна стена, които действат като троянски коне, изпращайки информация от компютъра на потребителя до отдалечен компютър през интернет. В същото време тези програми се опитват да заобиколят филтрите, зададени от защитната стена.