Здравствуйте.
Собственно идея родилась после прочтения топика по определению прокси-сервера, ну для легальной программы проще можно и юзверя спросить ;-) А вот для вируса там или трояна... Суть такова, ставим хуки на connect, send и recv
делаем копии данных передаваемых от приложения этим функциям (ну и получаемые тоже). Ну и собственно проводим разбор на соответствие требуемым нам протоколам и частоту запросов, допустим на порт 8080 конкретного сервака поступила 100 HTTP-запросов можно сделать вывод что он и есть искомый прокси. Это конечно грубое пока приближение к реальности но смысл в общем такой. Реальность конечно внесет свои коррективы, тот же файрвол следит за тем какие приложения, что и куда шлют.
Так-что вопрос прилагаемый к идее таков: имея данные о приложении которое работает с прокси можем ли мы закосить под него и отправить от его имени запрос так чтоб он (файрвол) нифига не заметил?

R>Так-что вопрос прилагаемый к идее таков: имея данные о
R>приложении которое работает с прокси можем ли мы
R>закосить под него и отправить от его имени запрос так
R>чтоб он (файрвол) нифига не заметил?
Маловероятно, разве-что надуть юзера. Список допушенных к инету процессов, определяет пользователь, а например ZA, проверяет эти файлы, перед тем как выпустить в сеть, контрольной суммой(в случее не совподения об этом сообщается пользователю).

Погоди какие файлы? Приложение создало конект с прокси сервером и шлет ему запрос на получение каких-то данных от какого-то сайту в контексте этого конекта мы допустим пихаем свой сенд с этим же сокетом но со своими данными, и при получении данных от сервака мы их просто не отдаим назад приложению, а пропустим только те которые запрашивло приложене. Какие контрольные суммы? По идее конект-то создает допущеное к работе в сети приложение.

imho можно, только стоит ли овчинка выделки ? может быть посмотреть на эту проблему с другого бока? :)

кстати, есть вполне легальная прога на ту же тему:
Atelier Web Firewall Tester
http://atelierweb.com/awft/index.htm

занимается как раз тем, что вы описали.

что касается проверки файрволом контрольных сумм, то хочу заметить, что файрвол считает контрольную сумму исполняемого файла на диске, а не в памяти ;)
а когда ты "присоединился" (тем или иным способом) к процессу, файрвол этого не заметит... ну если только антивирь... и то не всегда

To kyprizel
насчет передачи данных может я и загнул, но овчинка выделки стоит, во первых многие компы закрыты от внешней сети файрволом, и сия выходка позволит обойти его эт раз. Во вторых такой троян сможет управляться коммандным файлом допустим отправленным ему по мылу или выложенным по фтп. А во вторых довольно сложно будет обнаружить такого наглеца.