Форум: "Прочее";
Текущий архив: 2006.09.17;
Скачать: [xml.tar.bz2];
ВнизМетоды работы антивирусных почтовых сканеров Найти похожие ветки
← →
Piter © (2006-08-22 00:23) [0]Видел алгоритм работы почтовых сканеров на вирусы. Как я понимаю, они любое устанавливаемое TCP соединение на определенный порт (110, например) перенаправляют на себя, а сами устанавливают соединение с этим портом, "прокачивая" трафик через себя (и проверяя, соответственно).
Нужно реализовать нечто похожее. Как можно перенаправить соединение?
Неужели они перехватывают WinApi функции?! Что-то сомнительно... Да и работают как-то легко :) Запускаются под любыми правами, никому не мешают.
Может есть какой легкий способ?
← →
Ketmar © (2006-08-22 00:28) [1]да. хукают. а запускаются они обычно как сервисы, сиречь с правами системы.
или -- как вариант -- transparent proxy. в почтовике настраиваем забор почты с адреса 127.0.0.1 и пишем свою забиралку, которая анализирует письма перед отдачей почтовику.
← →
Piter © (2006-08-22 01:03) [2]Ketmar © (22.08.06 0:28) [1]
да. хукают
хукают это одно, а перехват API функций - совсем другое.
Ketmar © (22.08.06 0:28) [1]
а запускаются они обычно как сервисы, сиречь с правами системы
да нет, в том то и дело, что и без таких полномочий могут. Просто EXE запустил - и он уже перехватывает...
Ketmar © (22.08.06 0:28) [1]
или -- как вариант -- transparent proxy. в почтовике настраиваем забор почты с адреса 127.0.0.1
в том-то и дело, что в почтовике ничего настраивать не надо, все автоматом.
← →
Ketmar © (2006-08-22 01:14) [3]> [2] Piter © (22.08.06 01:03)
> хукают это одно, а перехват API функций - совсем другое
держите меня семеро. сделай поиск по "api hooking".
> что и без таких полномочий могут
угу-угу. на ограниченом аккаунте. без права открывать процессы на запись, например.
давайте так: приведите пример программы.
← →
Piter © (2006-08-22 01:27) [4]Ketmar © (22.08.06 1:14) [3]
угу-угу. на ограниченом аккаунте. без права открывать процессы на запись, например
без таких = без полномочий сервера (в контексте нашего разговора).
Например, будучи запущенные под обычным пользователем (не advanced).
КОнечно, перехватят они тогда, наврное, только такие же процессы (не проверял) - но и этого достаточно.
Ketmar © (22.08.06 1:14) [3]
держите меня семеро. сделай поиск по "api hooking".
Ладно, не будем спорить о терминологии. Просто я под "хукают" - понимаю установку хука (SetWindowsHook)
Ketmar © (22.08.06 1:14) [3]
давайте так: приведите пример программы
да по-моему все антивирусные посчтовые сканеры так делают.
Пример: Spider mail, Internet monitor из пакета NOD 32...
← →
Piter © (2006-08-22 01:27) [5]Piter © (22.08.06 1:27) [4]
без таких = без полномочий сервера
без полномочий "сервиса"
сори за опечатку.
← →
Ketmar © (2006-08-22 01:44) [6]> [4] Piter © (22.08.06 01:27)
а теперь пример антивируса, где это работает не как сервис. насколько я помню, NOD32 engine -- как раз сервис.
что такое Spider Mail -- я не знаю, но сильно подозреваю, что оно тоже сервис суёт.
впрочем, ответ всё равно не меняется: api hooking.
← →
Ketmar © (2006-08-22 01:44) [7]нет, можно, конечно, и сложнее, но тогда и прав больше надо. %-)
← →
Piter © (2006-08-22 15:06) [8]Ketmar © (22.08.06 1:44) [6]
что такое Spider Mail -- я не знаю, но сильно подозреваю
программка из пакета Dr.web
Нет, никаких сервисов ей не надо, все сервисы Spider"а можно остановить и просто запустить EXE - она будет проверять.
Сейчас у меня стоит NOD, он конечно в виде сервиса...
Но у меня стоит файервол Jetico - он отлично обнаруживает любые попытки внедрения в чужой процесс, так вот на NOD он ничего не пишет...
Блин, сто пудово должен быть именно что простой способ для этой задачи...
← →
Piter © (2006-08-22 15:14) [9]Хм... с другой стороны у меня NOD"у разрешено только обновляться...
То есть, псевдоконнект он устанавливает из под личины почтового клиента. Но при этом Jetico не ругается на внедрение...
Блин, может я вообще неправильно понимаю идею работы? Я как думаю:
- почтовый клиент пытается установить коннект
- монитор перехватывает соединение и устанавливает СВОЙ коннект
- прокачивает данные через свой коннект, проверяет и отправляет почтовому коннекту (поэтому под почтовыми мониторами аттачи при передачи пишутся 0%, а потом бац - и сразу 100%)
Но может все не так? Может быть монитор НЕ устанавливает свой коннект?
Может в какой-нибудь WinApi 2.0 есть возможность установить хук на передачу данных?!
← →
Piter © (2006-08-22 15:15) [10]Piter © (22.08.06 15:14) [9]
Может в какой-нибудь WinApi 2.0
WinSock 2.0
← →
guav © (2006-08-22 15:40) [11]Dr Web вроде свой драйвер ставит, типа как файрвол.
← →
Piter © (2006-08-22 16:15) [12]guav © (22.08.06 15:40) [11]
блин, вот с драйверами тоже возможно :(
Но имхо драйвер ставится чисто для проверки файлов, а вот для перехвата соединений...
Блин, вот и хотелось бы знать - как на самом деле реализовано.
← →
Rouse_ © (2006-08-22 17:11) [13]
> держите меня семеро. сделай поиск по "api hooking".
А что у нас уже АПИ функции хукают? :)
Мошт всеже внедрение через Hook, а потом только API Interception? :))
← →
Piter © (2006-08-22 17:55) [14]Rouse_ © (22.08.06 17:11) [13]
я тоже об этом говорил.
Но может просто перехват тоже хукингом называют. Не в смысле поставить HOOK (как один из способов внедрения), а в смысле перехватить функции.
Да и в общем не в терминологии дело.
← →
Ketmar © (2006-08-22 18:25) [15]> [13] Rouse_ © (22.08.06 17:11)
хукают, хукают. и интерсептят тоже. что однофигственно. %-) а внедрение через хук делают только недобитые джедаи. %-)
зыж
вообще-то да -- все нормальные антивирусы втыкают ndis-драйвера. хочется такое написать? флаг в руки. "мне не надо <быстрее>, мне надо, чтобы ты задолбался!" (ц), так, да?
← →
oldman © (2006-08-22 18:31) [16]
> Видел алгоритм работы почтовых сканеров на вирусы...
> Нужно реализовать нечто похожее. Как можно перенаправить
> соединение?
ну...
если видел алгоритм работы, какие вопросы???
:)))
← →
Piter © (2006-08-22 18:36) [17]Ketmar © (22.08.06 18:25) [15]
хукают, хукают. и интерсептят тоже. что однофигственно
это вообще разные вещи
Ketmar © (22.08.06 18:25) [15]
а внедрение через хук делают только недобитые джедаи
хм. Я что Рихтера читал, что вообще слышал - это самый универсальный и безглючный способ внедрения.
А как же внедряются супер-хацкеры?
← →
Piter © (2006-08-22 18:38) [18]Ketmar © (22.08.06 18:25) [15]
вообще-то да -- все нормальные антивирусы втыкают ndis-драйвера. хочется такое написать? флаг в руки. "мне не надо <быстрее>, мне надо, чтобы ты задолбался!" (ц), так, да?
у тебя очень интересная точка отстаивания своего мнения - обязательно обосрать чужое.
Ты УВЕРЕН, что интернет-мониторы драйвера на перехват WinSock ставят?
← →
Ketmar © (2006-08-22 18:49) [19]> [17] Piter © (22.08.06 18:36)
а я вот не "слышал", а "делал". и, кстати, не помню, чтобы Рихтер говорил про "самый-самый". афаир, он говорил про удобный и... а. лениво мне. пусть будут хуки. пусть .EXE без сервисов. да хоть вообще батники. смысл тут распинаться, если читают в лучшем случае через слово?
← →
Piter © (2006-08-22 22:04) [20]Ketmar © (22.08.06 18:49) [19]
я вот не "слышал", а "делал
Ketmar, это ты понтанулся что ли? Я тоже перехватывал WinApi функции, благо Рихтер все давно расписал как чего.
Ketmar © (22.08.06 18:49) [19]
лениво мне. пусть будут хуки. пусть .EXE без сервисов. да хоть вообще батники. смысл тут распинаться, если читают в лучшем случае через слово?
да нет, ты просто не аргументируешь свою точку зрения, а потом обижаешься, если с тобой ПОЗВОЛЯЮТ не соглашаться.
Вот например, ты говорил, что хуки - для ламаков. Назови плиз более лучший способ внедрения?
← →
Ketmar © (2006-08-22 22:07) [21]> [20] Piter © (22.08.06 22:04)
лично я тебе ничего называть и показывать не собираюсь. подают в другом месте. а здесь принято сначала читать сообщения. ты мои читаешь как-то странно, приписывая мне утверждения, которых я не делал. за сим разговор с тобой в этой ветке закончен.
"компрене ву?" (ц)
← →
Piter © (2006-08-22 22:13) [22]Ketmar © (22.08.06 22:07) [21]
это абсолютно твое право, я ничего от тебя требовать не имею правf.
Только хочу заметить, что ты сначала наговорил, а теперь просто убежал от разговора. Видимо, сначала посчитал, что я ламер, мол блесну гранями, а теперь просто умываешь руки :)
Я абсолютно не прошу оправдываться и прочее. Просто хочу чтобы ты пояснил свои мысли.
Например, твоя фраза:
Ketmar © (22.08.06 18:25) [15]
а внедрение через хук делают только недобитые джедаи.
я делаю вывод, что ты знаешь способы внедрения получше?
Прошу их озвучить, вот и все.
Думаю, что не озвучишь, а как минимум будешь продолжать уходить от разговора, потому что прекрасно знаешь, что у всех остальных способов есть серьезнейшие недостатки.
P.S. Очень жаль, что все перешло в тупое бодание.
← →
Дмитрий Белькевич © (2006-08-23 01:50) [23]>все нормальные антивирусы втыкают ndis-драйвера
+1. Наверняка, там до api ничего не доходит - на уровне драйверов пакеты перемешивают, скорее всего.
← →
Ketmar © (2006-08-23 01:54) [24]> [23] Дмитрий Белькевич © (23.08.06 01:50)
но в случае фильтрации именно почты можно и без драйвера. %-)
← →
Piter © (2006-08-23 15:07) [25]Эх, сомневаюсь я, что они ради почты пишут свой драйвер для коннектов... Это же не файерволы.
Впрочем, просто бы хотелось узнать точно, может все таки есть простой способ.
← →
Piter © (2006-08-24 14:44) [26]up
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.09.17;
Скачать: [xml.tar.bz2];
Память: 0.52 MB
Время: 0.052 c