Firewall for Windows, handsmake

[GunSmoker]

Цитата:

Сообщение от BOBAH13

Если даже рассмотреть с другой стороны, разве тот же UAC будет запрещать вызывать Windows API для установки хуков? А раз .dll уже загружена процессом, и является его частью памяти, то редактирование разрешенных участков памяти в одном процессе (не говоря о тех же API Read/WriteProcessMemory) тоже было бы глупо запрещать. Так, что логически все нормально, иначе казус вышел бы, что сама система запрещает свои же API вызывать

Из процесса обычного пользователя никто вам не даст манипулировать процессами других учёток (админов, системы, служб и других пользователей). В любой системе.

[BOBAH13]

Цитата:

Сообщение от GunSmoker

Из процесса обычного пользователя никто вам не даст манипулировать процессами других учёток (админов, системы, служб и других пользователей). В любой системе.

Я уже писал, не говоря о множестве людей, так у меня на ПК, с включенным UAC в Windows 7 x64, внедряется моя .dll и ловит FlashWindow(Ex) успешно.

[Alex Cones]

Возможно система позволяет отлавливать и менять это сообщение, поскольку оно входит в список "разрешенных" для изменения. Если бы можно было спокойно выловить и подменить ЛЮБОЕ сообщение, то мы бы сейчас были с нерабочими машинами - все забилось бы вирусней.

[GunSmoker]

Цитата:

Сообщение от BOBAH13

с включенным UAC в Windows 7 x64, внедряется моя .dll и ловит FlashWindow(Ex) успешно.

Из процесс администратора? Верю.

Из обычной учётки? Внедряется в процесс админа? Ну да, конечно

Цитата:

Сообщение от Alex Cones

Возможно система позволяет отлавливать и менять это сообщение

Сообщение?

[BOBAH13]

Цитата:

Сообщение от GunSmoker

Из процесс администратора? Верю.

Из обычной учётки? Внедряется в процесс админа? Ну да, конечно

Вы постоянно работаете параллельно в нескольких сессиях Windows? Странные Вы

[GunSmoker]

Цитата:

Сообщение от BOBAH13

Вы постоянно работаете параллельно в нескольких сессиях Windows? Странные Вы

Любая Windows на базе NT при работе имеет более одной запущенной учётки. Всегда.

Пользователю вообще даже не нужно заходить. Ни одному.

И всё равно будут процессы, работающие как минимум под: Local system, Local service, Network service.

[BOBAH13]

Цитата:

Local system, Local service, Network service

Там обычно всегда появляются вирусы? Ладно, я не понимаю о чем мы вообще говорим, у меня и у более 30000 программа работает и ловит у приложений FlashWindow(Ex), тем более как было сказано, работа для курсака, поэтому 100% гарантию защиты от взлома я гарантировать и так не буду.

Приветствую. Поднял тему, т.к. всплыл вопрос.

Короче говоря, нашел кучу примеров, сделаны видимо на основе одного того же примера. В итоге все сводится к поиску драйвера (объекта)

Код:

#define DD_IPFLTRDRVR_DEVICE_NAME   L"\\Device\\IPFILTERDRIVER"

и в итоге получение данного объекта с помощью IoGetDeviceObjectPointer. Вроде как у всех все работает, у меня же код

Код:

RtlInitUnicodeString(&filterName, DD_IPFLTRDRVR_DEVICE_NAME);
	status = IoGetDeviceObjectPointer(&filterName, FILE_ALL_ACCESS, &ipFileObject, &ipDeviceObject);

	DbgPrint("%x\n", status); // c0000034 - STATUS_OBJECT_NAME_NOT_FOUND

Вот и вопрос, может кто знает по какой причине данный драйвер не может быть найден, может надо что-то в настройках системы включить, чтобы данный драйвер загружался и запускался, или я что-либо не понимаю. Просто в сети я искал, пока ничего вразумительного не удалось найти.

[oleg kutkov]

Небольшой оффтоп: если кому то нужно, могу написать в журнал статью, как реализовать подобное в ядре Linux, перехватывая системные вызовы, с обходом всех защит...

По теме: реализовывать через драйвер - действительно самый лучший путь. Правда с антивирусами проблемы 100% будут.

[BOBAH13]

Удивительно но ответ был найден. Идея на счет не загрузки драйвера была верна.

Копаясь в просторах интернета, нашел какие то куски кода (еще и не оформлены нормально, просто текст), докопался до места установки фильтра, и обнаружил это

Код:

RtlInitUnicodeString(&DSN,L"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\IpFilterDriver");
	status = ZwLoadDriver(&DSN);

И о чудо, теперь работает. Сразу проверил, при включенном файрволе, IE не открывает майкрософт сайт, при выключенном, все работает.