УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > ПРОГРАММИРОВАНИЕ > С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby
Блочим Диспетчер Задач в Windows NT[Ваши предложения]

Страница 4 из 5

Опции темы

Поиск в этой теме

Опции просмотра

#31

05.04.2010, 10:35

slesh

Reservists Of Antichat - Level 6

Регистрация: 05.03.2007

Сообщений: 1,985

Провел на форуме:
3288241

Репутация: 3349

Отправить сообщение для slesh с помощью ICQ

2 iGlass
1) Если у меня не русская винда то пахать не будет. А делать поддержку для каждого языка - это тяжко
2) нужно постоянно в таймере гонять это
3) и главное - при юзанье любого альтернативного диспетчера задач, этот способ не будет работать

#32

05.04.2010, 12:25

cheater_man

Постоянный

Регистрация: 13.11.2009

Сообщений: 437

Провел на форуме:
709575

Репутация: 17

Цитата:

Сообщение от slesh

Упс. А чтото вы все забыли один хороший способ. Связанный с приложениями отладчиками. В ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
прописать параметр Debugger указывающий на пусть в несуществующей проге или к проге которая ничего не делает или к своей.
т.е. смысл в том, что при старте taskmgr.exe автоматически запустится прога указанная в параметре Debugger. таким образом наша прога получит управленяи первой. А настоящий диспечер задач незапустится

И главное - это будет работать всегда почти. именно такой метод юзает ProcessExplorerNT чтобы запускаться вместо стандартного диспечера задач

Интересно...
И как же прописать ключ?

Код:

system("reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe А дальше как?"

Да кстати slesh предложи вариант для скрывания процесса от taskmng

Последний раз редактировалось cheater_man; 05.04.2010 в 12:27..

#33

05.04.2010, 12:31

sn0w

Статус пользователя:

Регистрация: 26.07.2005

Сообщений: 568

Провел на форуме:
1290766

Репутация: 1236

ищите процесс на который зарегана хоткей CtrlAltDel (вроде это кстати винлогон) хукайте обработчик и вот пожалуйста. еще кстати в реестре отрубается таскманагер, как в прочем и регедит и тд

__________________

snow white world wide

#34

05.04.2010, 13:23

slesh

Reservists Of Antichat - Level 6

Регистрация: 05.03.2007

Сообщений: 1,985

Провел на форуме:
3288241

Репутация: 3349

2 cheater_man а ты попробуй снчало открыть этот ключ, а потом сам поймешь

Вот reg файл для примера:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="\"C:\\WINDOWS\\MYPROG.EXE\""

#35

05.04.2010, 13:24

_antony

Познающий

Регистрация: 16.07.2008

Сообщений: 82

Провел на форуме:
424387

Репутация: 142

Цитата:

Сообщение от sn0w

не все так просто)))
http://wasm.ru/article.php?article=gui_subsystem

Цитата:

вроде это кстати винлогон

Да при запуске он регистрирует эту комбинацию. И перехватить ее нельзя( обычными способами там защита стоит см. Руссиновича).

Последний раз редактировалось _antony; 05.04.2010 в 13:26..

#36

05.04.2010, 14:29

~~Life7~~

Banned

Регистрация: 14.06.2009

Сообщений: 256

Провел на форуме:
260151

Репутация: 105

а как включи, а то заблочили?

#37

05.04.2010, 14:54

cheater_man

Постоянный

Регистрация: 13.11.2009

Сообщений: 437

Провел на форуме:
709575

Репутация: 17

Цитата:

а как включи, а то заблочили?

Удали эту ветку из реестра.

Цитата:

Сообщение от slesh

2 cheater_man а ты попробуй снчало открыть этот ключ, а потом сам поймешь

Вот reg файл для примера:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="\"C:\\WINDOWS\\MYPROG.EXE\""

Ага примерчик так ниче

Прописал

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="\"C:\\WINDOWS\\SYSTEM32\\cmd.exe\""

[/QUOTE]
Запускается cmd, но с именем taskmng.exe

По идее если заблочить диспетчер, то уже от него необязательно скрывать процесс?
И приведи нормальный пример скрытия екзешника от диспетчера, только не тот пример который из DelphiWorld

#38

05.04.2010, 15:45

stepashka_

Познавший АНТИЧАТ

Регистрация: 09.11.2009

Сообщений: 1,077

Провел на форуме:
7879791

Репутация: 265

Отправить сообщение для stepashka_ с помощью ICQ

cheater_man блокиратор пишеш?
не забудь отключить остальные клавиши закрытия программы.

#39

05.04.2010, 16:25

cheater_man

Постоянный

Регистрация: 13.11.2009

Сообщений: 437

Провел на форуме:
709575

Репутация: 17

Цитата:

Сообщение от stepashka_

cheater_man блокиратор пишеш?
не забудь отключить остальные клавиши закрытия программы.

Я хз че пишу

Что в голову приходит

Банер + блокератор + кейлогер + еще что нибудь пока незнаю

За одно вспомнить бейсиковский синтаксис, то наверное уже лет десять его невидел (пишу на PureBasic)

Если надо потом когда допишу могу сорс выложить

Последний раз редактировалось cheater_man; 05.04.2010 в 16:29..

#40

05.04.2010, 17:15

sn0w

Статус пользователя:

Регистрация: 26.07.2005

Сообщений: 568

Провел на форуме:
1290766

Репутация: 1236

Код:

Немного теории

Процесс Winlogon при загрузке создает окно "SAS window", которое регистрирует HOTKEY для Ctrl+Alt+Del (CAD) и Ctrl+Shift+Esc (CSE). Вот собственно и все.

Перехват

Для перехвата CAD (CSE) нам необходимо внедрить DLL в процесс Winlogon, сабклассить указанное окно, и обрабатывать сообщение WM_HOTKEY:


// Новая оконная функция
LRESULT WINAPI NewSASProc( HWND hSAS, UINT msg, WPARAM wParam, LPARAM lParam )
{
    if( WM_HOTKEY == msg ){
         // Поймали HOTKEY CAD (CSE) - выводим сообщение на десктоп "Default" и затем выходим
         if( MAKELONG( MOD_CONTROL | MOD_ALT, VK_DELETE ) == lParam ){
              MessageBoxEx( GetActiveWindow(), TEXT("Ctrl + Alt + Del"), 
                                               TEXT("SAS Hook"), MB_DEFAULT_DESKTOP_ONLY, 0 );
              return 0;
             }

         if( MAKELONG( MOD_CONTROL | MOD_SHIFT, VK_ESCAPE ) == lParam ){
              MessageBoxEx( GetActiveWindow(), TEXT("Ctrl + Shift + Esc"), 
                                               TEXT("SAS Hook"), MB_DEFAULT_DESKTOP_ONLY, 0 );
              return 0;
             }
        }

    // Вызываем стандартный обработчик
    return CallWindowProc( g_OldSASProc, hSAS, msg, wParam, lParam );
}
Функция DllMain:

BOOL WINAPI DllMain( HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad )
{
    if( DLL_PROCESS_ATTACH == fdwReason ){
         // Находим окно
         g_hSASwnd = FindWindow( TEXT("SAS Window class"), TEXT("SAS window") );

         // Заменяем обработчик
         if( g_hSASwnd != NULL )
              g_OldSASProc = (WNDPROC) SetWindowLong( g_hSASwnd, GWL_WNDPROC, (LONG) NewSASProc );
        }

    if( DLL_PROCESS_DETACH == fdwReason ){
         // Возвращаем обработчик
         if( g_hSASwnd != NULL )
              SetWindowLong( g_hSASwnd, GWL_WNDPROC, (LONG) g_OldSASProc );
        }

    return TRUE;
}

=) мб уже не актуально - не проверял

__________________

snow white world wide

Страница 4 из 5

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
История Windows (с картинками)	GrinGoO	Статьи	31	06.09.2010 03:19
Секреты Windows 7	Campery	Статьи	17	19.11.2009 02:33

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход