ANTICHAT - Анти-Винлок

ANTICHAT (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Анти-Винлок (https://forum.antichat.xyz/showthread.php?t=8064897)

С недавних пор на многих форумах оживились школьники с написаниям своих версиях winlock(да я и сам баловался). Но в тоже время мне захотелось написать программу для отслеживания подозрительных данных на компе во избежании заражению ПК winlock'ом.

Так вот какие действия выполняет винлок чтобы перекрыть пути закрытия его? Прошу писать ниже.

P.S. Некоторые действия я уже сумел предатвратить например блокировку диспетчера и некоторых клавиш. После учета ваших ваших замечаний выложу софт.

Полное удаление всех записей автозапуска и правка реестра в ветках winlogon И shell

Тут пожалуй стоит взглянуть на работу аверов(как вариант).Видел как работает проактивка?
Хукаются наиболее часто используемые функи,ну а далее уже кубатурим - либо запрет на запись либо нет(выводим мессадж и.т.д).
Что делает винлок?Запись в реестр-тут к бабке не ходи,она будет.Хукаем все записи на низком уровне (в ntdll например).
По мимо реестра винлок еще много где следит.Создает окна на весь эран.А это тоже вызов определенной API с определенным параметром и это всё тоже можно хукнуть и проанализировать.

Цитата:

Сообщение от BlackH

Тут пожалуй стоит взглянуть на работу аверов(как вариант).Видел как работает проактивка?
Хукаются наиболее часто используемые функи,ну а далее уже кубатурим - либо запрет на запись либо нет(выводим мессадж и.т.д).
Что делает винлок?Запись в реестр-тут к бабке не ходи,она будет.Хукаем все записи на низком уровне (в ntdll например).
По мимо реестра винлок еще много где следит.Создает окна на весь эран.А это тоже вызов определенной API с определенным параметром и это всё тоже можно хукнуть и проанализировать.

Тут с вами полностью согласен но все записи реестра хукать не стоить нужно только отладочные .... да и вин апи не стоит сильно цеплять так как многие локеры тупо гробят сами dll В которых эти записи внедряя свой код в доверенные проццесы тут стоит писать свой модуль но не на вин апи а юзая низкоуровневые языки клонируя даже функции
И ещё как правило юзать винлок не кто в постоянном авторане не будет ... а соотвественно стоит задуматься над файлом который будешь тупо из под лайв сиди вписывать в авторан и тот будет приводить реестр в порядок и чистить папки которые зарутованные .... по суте тут стоит замыслить чтение из реестра внесение информации в него на на низком уровне вообщем надо писать сеервис а не простое приложение

Не сидеть под админом - лучший антивинлокер

Цитата:

Сообщение от sergeyv89

Не сидеть под админом - лучший антивинлокер

Это не лучший винлокер а самый настоящий винЛамер Без прав рут мне в винде делать не чего я играю и то в командной строке

А у меня Linux и мне все равно)

Твои понт(или что это?) тут нахер никому не нужен.Линух у него...

Автор,а где собственно твой обещанный софт?

не один винлокер которых я знаю не может блокировать безопастный режим в 7 , так что винлокеры думаю неоч нужны