SF>Ох уж мне эти горе хакеры 
Точно! Задолбали уже, не будь хакирей — не пришлось бы придумывать всевозможные защиты..... А так вот сидишь и думаешь, сидишь и думаешь каждый день...
SF>То что любой существующий фаервол кроме аппаратно вшитого в сетевую карту и изолированного от любого управления со стороны локальной OS можно обойти из ядра по-моему и так не требует доказательств.
Да? А по-моему требует. Вот когда я докажу самому себе, что это невозможно, тогда наверно придёться придумывать нечто принципиально новое. Или уйти на пенсию
SF>Самый универсальный метод — перехватить регистрацию NDIS минипортов (на этом уровне насколько мне известно ни один существующий фаервол не работает) и включить в драайвер трояна собственную реализацию TCP/IP (облегченных open source вариантов можно наловить в инете). 
Да, пожалуй, для троянописателей это было бы наилучшим решением. Почему до сих пор никто не предусмотрел защиту от этого, — не понимаю.
Можете посоветовать какие-нибудь ссылки, доки по защите (перехвату) на уровне минипортов? Я с ними не работал, хочу понять как там это делается.
А>>Достаточно перехватить NdisRegisterProtocol() через EAT ndis.sys и запретить регистрацию протокола ZA — VSDATANT.
SF>Я бы предположил что ZA в этом случае запищит что-нить о неправильной инициализации.
Вы удивитесь, но ничего подобного. Я сам ожидал увидеть какой-нибудь
MessageBox(), но
ZA промолчал.
SF>Если уж делать что-то такое то нужно не фейлить вызов NdisRegisterProtocol а сэмулировать успешный вызов и подсунуть пустой список протоколов (как будто ни одного протокола и не установлено).
Над этим вариантом я думал, однако геморно — ведь придёться аллоцировать такую же структуру только с пустым полем
NextProtocol. Гемор в том, что придёться запоминать соответствие адресов оригинального блока и нового соданного и потом подставлять в других
Ndis* функциях оригинальную.
SF>Хотя можно даже обойтись без таких сложностей как перехват NdisRegisterProtocol, а просто снести все упооминания о ZA из реестра (и драйвер и управляющее приложение) и принудительно перегрузить систему.Пользователь может заметит, а может и не заметит. 
Ни один троянописатель в здравом уме не станет так делать.
