PDA

Просмотр полной версии : Автозагрузка Delphi

denjf
08.04.2010, 10:04
Подскажите метод добавление в автозагрузку, но надо что бы Касперский не палил.

Стандартные методы я знаю.

Раньше делал автозакрузку через Dll которая грузилась вместе с explorer, в Dll писал просто запуск нужной проги.

Теперь Касперский ругается на это.

Требуется неординарный метод.
slesh
08.04.2010, 11:11
есть 3 темы, но они приват :-P
Если хочешь узнать их, то посиди с отладчиком над руткитом TDSS
Byte_
08.04.2010, 11:34
я так понимаю, реестр палится?

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
"Whatever"="c:\runfolder\program.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]
"Whatever"="c:\runfolder\program.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"Whatever"="c:\runfolder\program.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]
"Whatever"="c:\runfolder\program.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx\000x]
"RunMyApp"="||notepad.exe"
slesh
08.04.2010, 11:48
каспер еще с древних времен палит ключи:
*\Software\Microsoft\Windows\CurrentVersion\Run*
тем более любая проактивка тоже палит их. а вот в TDSS новом есть метод который никто не палит ) Даже аутпост с комодом )
cheater_man
08.04.2010, 12:03
каспер еще с древних времен палит ключи:
*\Software\Microsoft\Windows\CurrentVersion\Run*
тем более любая проактивка тоже палит их. а вот в TDSS новом есть метод который никто не палит ) Даже аутпост с комодом )
Его хотябы видно в руткит процессах?
slesh
08.04.2010, 12:14
2 cheater_man а он драйвер ставит в систему для беспаливности. gmer палит его.
Хотя на его основе такие красивые вещи получаются ) что даже gmer бессилен
denjf
08.04.2010, 13:00
Если хочешь узнать их, то посиди с отладчиком над руткитом TDSS

Не настолько я силен в програмирование не понимаю толком что такое руткит TDSS, буду гуглить.

Погуглил, ситуация начинает проясняться ))
xafon
08.04.2010, 13:35
slesh, а есть ссылка на семпл TDSS?
denjf
08.04.2010, 14:09
А если прикинутся программой которая уже есть в автозагрузке??
slesh
08.04.2010, 14:23
2 xafon ищи на сайтах антивирусной тематики. В разных версиях просто разные алгоритмы
2 denjf чтобы прикрыться уже той прогой, тебе придется её заменить, а это скорее всего вызовет подозрение. Если в 6 каспере еще вроде не было подозрений то далее уже будут. Темболее что виндовые проги защищены (для XP ) WFP и там отдельные методы подмены прог должны быть
denjf
08.04.2010, 14:55
Сделал я автозагрузку, но проактивка все равно возмущается говорит что программа обладает высоким рейтингом опасности, интересно по каким параметрам она это решила?
В программе присутствует
Автозагрузка(безнее тоже срабатывает)
Работа с HTTP
Работа с Сокетами
Прокси сервер
slesh
08.04.2010, 16:47
работа с сетью и без окон - это уже даёт намеки на то, что прога не безопасна
miqo
08.04.2010, 16:53
а почему на тимвювер не орет?