| Вопрос: Секьюрность OpenProcess | Добавлено: 26.02.05 18:12 |
Автор вопроса:  Павел | Web-сайт: www.vbnet.ru | ICQ: 326066673 |
|
В журнале "Хакер", 12 2004 прочитал статью с дебильным названием
"Клизма для файрвола". Там описывается процесс внедрения кода в чужой процесс. Коротко так: открывает процесс через OpenProcess, выделяем в нем кусок памяти, копируем туда образ программы, и запускаем через CreateRemoteThread. У меня возник резонный вопрос: а почему Windows позволяет осуществить такой беспредел? ИМХО, не во всех случаях такое возможно, при каком-то исходе событий вызов OpenProcess должен обломаться по соображениям секьюрности... Так вот, подскажите, что это за случаи, и какие права требуются процессу, чтобы он смог вот так запросто вызвать OpenProcess с флагом PROCESS_ALL_ACCESS и получить положительный результат. Разумеется, я имею в виду NT-based системы. |
| Ответы | Всего ответов: 14 |
|
Номер ответа: 1 Автор ответа:  Neco ICQ: 247906854 Вопросов: 133 Ответов: 882 |
Web-сайт: Профиль | | #1 | Добавлено: 26.02.05 20:00 |
| О правах я знаю лишь DebugPrivelege. А открыть (я эксперементировал над убийством) можно почти что любой процесс, за исключением зверей, типа ZA и Каспера. И как обойти их защиту, кажется не знает (или знает, но не хочет отвечать) никто на этом сайте, т.к. тему по убийству ZA не я один поднимал. | ||
|
Номер ответа: 2 Автор ответа: sne Разработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #2 | Добавлено: 26.02.05 21:12 |
все можно, но возиться и искать - надо время 
На счет того что это безобразие... ну не знаю, я бы не сказал что это так уж и безобразно... Многие фаерволы, к примеру Outpost, выдает информацию о процессе и показывает что мол такая-то DLL была присоединена к процессу... В итоге пользователь может и не дать процессу доступ в сеть... И снова это можно обойти  Имеется пример, пусть и на ассемблере (это не суть важно...) по скрытию dll'ки из процесса...
Итог: Если знать и уметь - возможно все, даже и не совсем хорошие вещи... Вот только кто до этих вещей доходит, обычно, имеет голову на плечах и что-то ужасающее писать ему лень и неохота
PS CreateRemoteThread нет в 9x
Есть еще вариант - можно перехватывать эту самую функцию, и сравниваться: существует-ли имя процесса в некотором списке... Ну это если уж совсем параноя
|
||
|
Номер ответа: 3 Автор ответа: ПавелАдминистратор ICQ: 326066673 Вопросов: 368 Ответов: 5968 |
Web-сайт: Профиль | | #3 | Добавлено: 27.02.05 10:54 |
|
SE_Debug_Privelege будет достаточно? Или еще что-то надо?
Если это так, то получается этот способ не покатит у обычного User'а, так как он такой привелегии не имеет? 2 cresta: Мне неинтересно, как обходятся файрволы, неинтересно, как узнать о таком вторжении. У меня конкретный вопрос: почему допускается такой беспредел и какие права нужны для этого беспредела 
|
||
|
Номер ответа: 4 Автор ответа: ПавелАдминистратор ICQ: 326066673 Вопросов: 368 Ответов: 5968 |
Web-сайт: Профиль | | #4 | Добавлено: 27.02.05 10:54 |
|
Сорри, спутал. В предыдущем сообщении вместо "2 cresta" нужно читать
"2 sne"
|
||
|
Номер ответа: 5 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #5 | Добавлено: 27.02.05 16:31 |
| Это не беспредел, это жизнь! Если сделано - значит требовалось... А прав хватит и юзеровских... | ||
|
Номер ответа: 6 Автор ответа: ПавелАдминистратор ICQ: 326066673 Вопросов: 368 Ответов: 5968 |
Web-сайт: Профиль | | #6 | Добавлено: 27.02.05 16:36 |
|
Нет, это беспредел Не должен один процесс получать доступ к памяти
другого процесса. Чревато. |
||
|
Номер ответа: 7 Автор ответа:  User UnknownВечный Юзер! ICQ: uu@jabber.cz Вопросов: 120 Ответов: 3302 |
Профиль | | #7 | Добавлено: 28.02.05 10:48 |
|
Павел, ща как черепком долбану за офф-топ в общем форуме
На самом деле будет интересно почитать вот здесь тов. Касперски: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.phtml |
||
|
Номер ответа: 8 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #8 | Добавлено: 28.02.05 19:13 |
| Павел, с чего ты взял что это черевато!? Вспомни DLL и глобальные хуки... Сразу же начинаешь убеждаться что взаимодействие меж процессами необходимо! | ||
|
Номер ответа: 9 Автор ответа:  Агент СмитICQ: 147404128 Вопросов: 12 Ответов: 128 |
Web-сайт: Профиль | | #9 | Добавлено: 03.03.05 21:53 |
| Кроие того, Павел, ты не забывай, что это может быть просто дыркой в винде, которая уже заткнута камулятивом (либо будет заткнута). Кроме того, ИМХО, чтобы выполнить данные действия, необходимо получить соответвующие привелегии. | ||
|
Номер ответа: 10 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #10 | Добавлено: 04.03.05 00:55 |
|
Тьфу, блин... Привелегий хватит гостя! Это не дырка! Если это убрать то винда или какие-то проги загнутся!!!
и этим все сказано... |
||
|
Номер ответа: 11 Автор ответа: ПавелАдминистратор ICQ: 326066673 Вопросов: 368 Ответов: 5968 |
Web-сайт: Профиль | | #11 | Добавлено: 04.03.05 10:53 |
|
Не заткнут эту дырку по понятным, вышеописанным причинам.
Однако, как подчеркивает Крис Касперски, это большая дыра в безопасности... Я бы на месте БГ за это разработчиков винды премии лишил
|
||
|
Номер ответа: 12 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #12 | Добавлено: 04.03.05 13:04 |
|
Как ты думаешь, почему Longhorn не выходит? Разработчики Винды обиделись на Билли за то, что он их премии лишил, и уволились А ему теперь остается только кормить нас "завтраками".
|
||
|
Номер ответа: 13 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #13 | Добавлено: 04.03.05 15:46 |
|
Да кто вам вообще сказал что это бага или дырка!? С чего это такое отрицательное отношение!?
У каждого процесса свое адресное пр-во лишь по соображениям устойчивости Windows... Навязали вам мнение о том что то что сказано так должно быть всегда и везде, вот теперь сидите и возмущаетесь... Да оказывается нас обманули, как же это!? Это дырка!!! Все, конец света ) И как же люди жили во времена MS-DOS... ведь это же одна большая черная такая дырка в безопасности
В общем то что есть оно есть и никто ничего прикрывать не станет, имхо и это думается мне правда
|
||
|
Номер ответа: 14 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #14 | Добавлено: 04.03.05 17:13 |
| Просто после краткого ознакомления с устройством Винды и никсов перестаешь замечать, что никсы сложно устанавливать, что тяжело работать не из под рута, что Konqueror криво отображает некоторые сайты, что над всем надо парицца - над шрифтами, над дисками, над сидюком, над установкой программ, что для просмотра шар нужно иметь терпение узника Освенцима и т.п. и т.д. | ||
Страница: 1 |