eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: asmerdev1, Gaal, Tolkin (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Как обойти проверку файла hosts?
Посл.ответ Сообщение

Ранг: 6.4 (гость)
Статус: Участник

Создано: 7 мая 2014 18:16 · Поправил: Pastor New!
Цитата · Личное сообщение · #1

Программа накрыта armadillo, на виртуалке не запускается, проверяет файл hosts на наличие "запрещённых адресов".


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 7 мая 2014 18:22 New!
Цитата · Личное сообщение · #2

пропиши другой файл в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath

Ранг: 6.4 (гость)
Статус: Участник

Создано: 7 мая 2014 18:34 · Поправил: Pastor New!
Цитата · Личное сообщение · #3

Flint, пробовал изменять реестр перезагружал но на windows7 не работает, реальный путь остается тот же.

Нужен универсальный способ, так как проверку реестра сделать не сложно.

Может как-то перехватить winapi?


Ранг: 210.4 (наставник)
Статус: Участник
X-Literator

Создано: 7 мая 2014 19:01 New!
Цитата · Личное сообщение · #4

Pastor, может помочь

http://www.evilsocket.net/2014/02/01/keservicedescriptortable-patching-aka-how-to-hook-win32-api-patching-the-kernel/

Ранг: 45.4 (посетитель)
Статус: Участник

Создано: 7 мая 2014 20:34 New!
Цитата · Личное сообщение · #5

нужно "запрещать адреса" не через hosts, а через политики ІР секюрити

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 7 мая 2014 21:24 New!
Цитата · Личное сообщение · #6

Если не получится...
Зачем обходить эту защиту, когда можно изменять любые данные которые следуют после нее. Перенаправьте куда надо на следующем узле (роутер, сервер, burpsuite для HTTP).
Он (программа) ведь не сможет узнать что стало с запросом после отправки.
Если процесс известен, можно использовать Echo Mirage.
Настроить VMware на "невидимость", и крутить WRK под windbg.

Ранг: 239.5 (наставник)
Статус: Участник

Создано: 7 мая 2014 23:33 New!
Цитата · Личное сообщение · #7

Возможно задам глупый вопрос, но зачем все эти велосипеды? Почему не снять арму и избавиться от проверки hosts?

| Сообщение посчитали полезным: Zorn



Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 7 мая 2014 23:48 New!
Цитата · Личное сообщение · #8

CreateFileW хукнуть или что пониже, наверняка читается содержимое файла.

Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 8 мая 2014 03:01 New!
Цитата · Личное сообщение · #9

Когда то давно делал лоадер на батлу вторую. Секуром там что ли был.
Элементарный сирч/реплейс /etc/hosts на /etc/h0sts
Работало

Ранг: 376.3 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 8 мая 2014 07:39 New!
Цитата · Личное сообщение · #10

Zorn пишет:
Когда то давно делал лоадер на батлу вторую. Секуром там что ли был.

SafeDisk 4.5 с наномитами

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 10 мая 2014 11:05 New!
Цитата · Личное сообщение · #11

Есть ли способ полностью заблокировать доступ в сеть/Инет с помощью файла hosts? Если же нет, то другой вопрос - имеется, скажем, десяток разных программ, все они ломятся в Инет с разными целями, от проверки апдейтов до проверки регистрации. Какой именно файл или файлы в WinXP можно удалить или заглушить, чтобы ни одна программа не могла достучаться до Инета? Есть ли общий (для всех механизмов доступа в Инет) файл, тыкскать - ключевой? Вопрос может показаться идиотским, но дело в виртуализации, а там совсем другие подходы, нежели в реальной системе.


Ранг: 1983.5 (!!!!)
Статус: Модератор
retired

Создано: 10 мая 2014 11:09 New!
Цитата · Личное сообщение · #12

Ты б хыть почитал, для чего вообще hosts нужен. Он для резолва доменных имён. И на доступ по IP никак не влияет. Отключи адаптер сети-и не будет интернетов.

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 10 мая 2014 11:48 New!
Цитата · Личное сообщение · #13

Вопрос, похоже, полностью решен. Респект Zorn за пинок в нужном направлении. Один байт в реестре и все пучком.

Ранг: 300.0 (мудрец)
Статус: Участник

Создано: 10 мая 2014 12:27 New!
Цитата · Личное сообщение · #14

GMAP пишет:
Какой именно файл или файлы в WinXP можно удалить или заглушить, чтобы ни одна программа не могла достучаться до Инета?

что-то вроде tcpip.sys и аналогов

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 11 мая 2014 07:01 New!
Цитата · Личное сообщение · #15

Veliant
С tcpip.sys не получилось, видимо, вариантов коннекта много, нужно во всем этом разбираться. Через реестр все получается, поэтому нет смысла дальше ломать голову. Кстати, на реальной системе такой метод не работает, а на виртуале все ОК.

Ранг: 10.8 (новичок)
Статус: Участник

Создано: 12 мая 2014 11:49 New!
Цитата · Личное сообщение · #16

Default route на себя же заверни, в таблице маршрутизации, и все.

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 13 мая 2014 08:38 New!
Цитата · Личное сообщение · #17

Подскажите, какие именно виндовые процессы используют этот hosts? Одна задача решена, но осталась вторая - заблокировать только определенные сайты в виртуальном hosts, оставив реальный файл hosts в неприкосновенности. Предполагаю, что дублирование искомых процессов и самого файла hosts в виртуальной среде, должно помочь.

Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 13 мая 2014 10:06 New!
Цитата · Личное сообщение · #18

Фаервол уже отменили ?
Че вы к этому хостс привязались ?

Ранг: 9.4 (гость)
Статус: Участник

Создано: 14 мая 2014 07:29 New!
Цитата · Личное сообщение · #19

Судя по всему ArmaGeddon тоже отменили.
Ктож ищет себе легкий путь.

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 14 мая 2014 10:31 New!
Цитата · Личное сообщение · #20

Дело в виртуализации программ, а не в блокировке реальной системы, фаер здесь не нужен. Мне нужно через виртуальный дубль hosts и виртуализацию процессов, которые его используют, заблокировать доступ к выбранным сайтам внутри виртуального контейнера.


Ранг: 147.4 (ветеран)
Статус: Участник

Создано: 14 мая 2014 10:49 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #21

GMAP пишет:
виртуальный дубль hosts

это как вообще? перехват и заворот обращений через апи?
тогда что мешает перехватывать апи для работы с сетью и соединениями, например?

DNSAPI.dll
HostsFile_Open
HostsFile_ReadLine
HostsFile_ReadClose

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 15 мая 2014 21:39 New!
Цитата · Личное сообщение · #22

-=AkaBOSS=-
Мысль верная, но получается невероятное количество дллок, которые придется дублировать в виртуал, чтобы вся эта лабуда вообще заработала. Тупиковый путь, буду мыслить дальше.
 eXeL@B —› Вопросы новичков —› Как обойти проверку файла hosts?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS