Guide: passo per passo

Condividi:        

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
4. BackStealth

Backstealth e' diverso dalle utility presentate finora, poiche' si basa su alcuni assunti non cosi' scontati come potrebbero apparire.
Mi sono basato sul come i Personal Firewall a run-time (ovvero nel momento dell'esecuzione) gestiscano i permessi per far accedere le varie applicazioni sulla rete.

Il Firewall cerca, attraverso le API di Windows, il processo che tenta di accedere alla rete ed associa al suo Process-id il percorso completo dell'eseguibile per verificare se si trovi o meno nel database e quali permessi abbia.

Ogni programma in modalita' utente e' quindi sottoposto a tale controllo e per poter accedere alla rete deve per forza trovarsi nel database dei programmi oppure l'utente, una volta avvertito, deve dare il consenso per tale applicativo.

Ecco che entra in gioco Backstealth, che sfrutta una tecnica di programmazione nota come "code injection".
La parte eseguibile di codice che provvede alla connessione ed al download di un file remoto non e' contenuta in un modulo eseguibile, ma in un file di libreria (backdll.dll) che verra' iniettato nel processo del personal firewall.

In questa maniera l'esecuzione di tale codice e' nello stesso spazio d'indirizzamento del firewall (ha cioe' lo stesso pid) e dunque gli stessi diritti di accedere alla rete dello stesso firewall!

BackStealth non ha bisogno di nessun browser che abbia accesso in rete, e' indipendente, ma le sue funzionalita' "stealth" non si limitano a questo.
I diversi firewall non indicano all'utente le operazioni che stanno compiendo in rete e quindi ,mentre con gli altri sistemi in precedenza citati potevamo almeno verificare delle connessioni attive, con questo metodo il firewall non segnala nulla.

Per ulteriori informazioni: http://piorio.supereva.it/backstealth.htm


Generale: Dylan666 [44 visite dal 20 Dicembre 04 @ 00:01 am]