Нарушаването филтрите за съдържание на стената или байпас
"Знанието е наградата за действието"
z0mbie
Приветствия към вас драги ми читателю! Днес ще разгледаме една от темите, които боли най-вероятно почти всички потребители:
системи байпас филтруване. Само пръстите ще бъдат обяснени метод за заобикаляне на филтъра популярния "Лични Client филтриране (PCF)."
Кой кой е?
Системата за филтриране може да се прилага като прокси сървър прихваща изпращат / Получ на ws2_32.dll др Филтърът обикновено се представял за непокорния и администратор, както и на родителите, че детето не е изкачен в тъмните ъгли на по-голямата Seti.Predstavim себе си съвсем обикновен картина : потребителят да сърфирате в интернет в търсене на необходимата информация за него, и да намерят необходимите средства, за да го
От само себе си към него и бам! Вместо скъпоценни информация на екрана, показва съобщението "Connection блокиран филтър". Това е положението ме сполетя, когато образователните институции масово започнаха да зададете филтри, или по-скоро "Лично за филтриране на клиенти (PCF)." Без да се замисля, анализ на програмата и установените недостатъци.
практическа магия
И така, ние приемаме програмата за разпределяне, той vogruzhaem във виртуална машина, която работи преминаване на Filemon, задаване на филтъра. Веднага става ясно, че политиката за сигурност е често срещано явление и лиценз се проверява по време на фазата на инсталиране на програмата. Добре, ние даваме реж команда и погледнете съдържанието на това, което ние трябва да се бори в момента?
Един бегъл преглед любопитен функция DllRegisterServer е поразителен. Кликнете два пъти върху него, за да отидете:
текст: 100020E0 обществен DllRegisterServer
.текст: 100020E0 DllRegisterServer Proc близо
.текст: 100020E0 Mov EAX, pProxyFileList
.текст: 100020E5 Mov EAX, [EAX + 4]
.текст: 100020E8 CMP DWORD PTR [EAX] 0
.текст: 100020EB JZ кратко loc_10002105
.текст: 100020ED Mov ЕСх, [EAX]
.текст: 100020EF Mov EAX, [ЕСх]
.текст: 100020F1 Mov EDX, hDll
.текст: 100020F7 тласък EAX; pclsid
.текст: 100020F8 тласък компенсира pProxyFileList; pProxyFileList структура
.текст: 100020FD тласък EDX; hDll
.текст: 100020FE кол DS: NdrDllRegisterProxy
.текст: 10002104 на забавяне
Добре, ние се вгледате внимателно в това, което имаме тук е: функцията се нарича NdrDllRegisterProxy, ка и сложи един куп възможности:
RPCRTAPI HRESULT RPC_ENTRY NdrDllRegisterProxy (
__in HMODULE hDll,
__in конст ProxyFileInfo ** pProxyFileList,
__in Конст CLSID * pclsid
);
Делмас първо влезе pProxyFileList структура, която има следния вид:
pProxyFileList_0 DD компенсира aIdbinit
дд компенсира aIlogs; "ILogs"
дд компенсира aIcategory; "ICategory"
дд компенсира aIpolicy; "IPolicy"
дд компенсира aIworktimes; "IWorkTimes"
дд компенсира aItray; "ITray"
дд компенсира aIgroup; "IGroup"
дд компенсира aIenumgroups; "IEnumGroups"
дд компенсира aIenumusers; "IEnumUsers"
дд компенсира aIupdatedata; "IUpdateData"
дд компенсира aIenumcategorie; "IEnumCategories"
дд компенсира aImanager; "IManager"
дд компенсира aIenumpolicy; "IEnumPolicy"
дд компенсира aIuser; "IUser"
дд компенсира aIfilter; "IFilter"
дд компенсира aIauthorize; "IAuthorize"
Както можете да видите, съдържа всички параметри на активна сесия.
Както вече сте разбрали програмата регистрира модула LSP и преминава през самото целия трафик. Съответно, за да заобиколи филтъра, ние трябва да се премахне
този модул. Не изваждайте смисъл да изтриете файл и да изтриете модул информацията в регистъра. Изтриване на запис по два начина:
1. С помощта на вградения в Netsh команда. стартиране параметър ще бъде, както следва: Netsh нулиране привлекателен
2. Употребата на програмата AVZ. Run AVZ, от своя страна Winsock SPI мениджър (LSP, НСП, ТС), наричан по-нататък в раздела
Доставчици tarnsportnyh протокол (TSP, LSP), запис три филтър набор:
Изберете и щракнете върху бутона Remove, така че да премахнете всички три записи.
Voila! филтър победен
Фирмата произвежда тези филтри ще си струва да се провери записи в системния регистър, в противен случай това може да се случи отново както се казва.
Разбира се, филтриране методи не свърши, има по-сложни филтри, базирани на прихващане на NDIS, но това е друга история.