-
таблЭтка
Сообщение от
antanta
Если кому-то надо, то можно сделать "универсальную" таблЭтку, для правки реестра. DLL+ ini-файл.
Эта таблЭтка, судя по кишкам правит userinit в реестре, зауниверсалить проще на параметры командной строки, а не добавлять ини файл.
...причиняю добро и наношу непоправимую пользу...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Sэм
я из архива не могу файл достать, можно перезалить без архифа?
Linux не понимает zip?
Эта таблЭтка, судя по кишкам правит userinit в реестре, зауниверсалить проще на параметры командной строки, а не добавлять ини файл.
Файл запускается в "автономном" режиме, до входа пользователя. С командной строкой как-то затруднительно будет.
-
-
Тогда проще зауниверсалить с экспортом рег файла.
...причиняю добро и наношу непоправимую пользу...
-
-
Сообщение от
Iron Monk
Тогда проще зауниверсалить с экспортом рег файла.
Linux же. Под вынем вообще проблем нет. Дело в том, что возникла мода на никсовые LCD. Я даже делал тулзу под линь, которая правит реестр (аккуратно, только DWORD меняет, праметр Start для сервисов). Каждый вендор монтирует системный диск в своё место. Если делать удобно, то у меня проблемя с С, а с гуем под ЛСД - тем паче. Смысла делать консольную тулзу нет, chntpw уже написан и работает.
С учетом распространения линуксовых лечебных дисков, а также с проблемами, которые такое лечение порождает, хелперам пора обзавестись новым инструментом. Как вариант - программа, генерирующая "таблэтки".
Как называть файлы, и куда их пихать - ко мне в личку. Ибо есть "побочный эффект" - способ обходить защиты от ЛК, ESET, МакКофе, включая продукты 2012. (ЛК уже в курсе). Пока сделают пил-генератор, ЛК поправят, а "кто не спрятался, я не виноват".
Последний раз редактировалось antanta; 19.06.2011 в 18:52.
-
-
Сообщение от
antanta
Linux же.
Код:
function RegCreateKey(hKey: HKEY; lpSubKey: PAnsiChar; var phkResult: HKEY): Longint; stdcall;
external 'advapi32.dll' name 'RegCreateKeyA' index 392;
? А не Виндовый ли это гуй Ваш svchost?
Код:
SSZ00403000_SOFTWARE_Microsoft_Windows_NT_Cu:
db 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',0
SSZ00403036_Userinit:
db 'Userinit',0
SSZ0040303F_userinit_exe:
db 'userinit.exe',0
Align 8
L00403050:
db 00h;
db 00h;
db 00h;
db 00h;
...причиняю добро и наношу непоправимую пользу...
-
-
Iron Monk, эээээ... Лечим-то винду.
А не Виндовый ли это гуй Ваш svchost?
И где тут GUI?
А лечить нужно из-под линя. Мой вариант позволяет избежать правки реестра из-под линя. Последнее имеет смысл до двум соображениям. 1) (Сомнительное) - если есть опасения по поводу предсказуемости результата. 2) Зачем это делать, если есть "нативный" способ. Достаточно поместить нужный файл в нужное место.
Сабж подразумевает, что нам известен объект правки. Зачастую так и бывает. Думаю, что по результатам проверки живой, но сильно зараженной системы, также проще сгенерить таблетку, чем объяснять пользователю методы работы с реестром из-под ЛСД.
Последний раз редактировалось antanta; 19.06.2011 в 19:09.
Причина: очепятки
-
-
Сообщение от
antanta
И где тут GUI?
Код:
// File name: C:\Documents and Settings\Iron Monk\Рабочий стол\svchost
// Created : 19.06.2011 19:21
// Type : Headers Info
Имя поля Значение данных Описание
----------------------------------------------------------------------------
Machine 014Ch i386®
Number of Sections 0003h
Time Date Stamp 4DFE23C6h 19/06/2011 16:28:54
Pointer to Symbol Table 00000000h
Number of Symbols 00000000h
Size of Optional Header 00E0h
Characteristics 010Fh Relocation info stripped from file.
File is executable (i.e. no unresolved external references).
Line numbers stripped from file.
Local symbols stripped from file.
32 bit word machine.
Magic 010Bh PE32
Linker Version 0C05h 5.12
Size of Code 00000200h
Size of Initialized Data 00000400h
Size of Uninitialized Data 00000000h
Address of Entry Point 00401000h
Base of Code 00001000h
Base of Data 00002000h
Image Base 00400000h
Section Alignment 00001000h
File Alignment 00000200h
Operating System Version 00000004h 4.0
Image Version 00000000h 0.0
Subsystem Version 00000004h 4.0
Win32 Version Value 00000000h Reserved
Size of Image 00004000h 16384 bytes
Size of Headers 00000400h
Checksum 00000000h Реальная контрольная сумма образа: 000016EAh
Subsystem 0002h Win32 GUI
Dll Characteristics 0000h
Size of Stack Reserve 00100000h
Size of Stack Commit 00001000h
Size of Heap Reserve 00100000h
Size of Heap Commit 00001000h
Loader Flags 00000000h Obsolete
Number of Data Directories 00000010h
...причиняю добро и наношу непоправимую пользу...
-
-
Iron Monk, Ыыы
Код:
include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib
Забейте. Взял шаблонную заготовку, убрал лишнее. Но, не все. Иногда использую мессаджбоксы при отладке, чтобы ольку без нужды не запускать )
-
-
Господа antanta и Iron Monk, вы напугали пользователя своими техническими выкладками. Не забывайте, что у всех разный уровень компьютерной грамотности.
-
-
Nephilim, уже обсуждается нами в ПМ. Не в смысле заумности, а в смысле офтопа. Перенести бы (если кому-то кроме нас интересно) или удолить.
-
-
Сообщение от
antanta
Перенести бы (если кому-то кроме нас интересно) или удолить.
Пожалуйста, обсуждайте.
-
-
Сообщение от
antanta
Сабж подразумевает, что нам известен объект правки. Зачастую так и бывает. Думаю, что по результатам проверки живой, но сильно зараженной системы, также проще сгенерить таблетку, чем объяснять пользователю методы работы с реестром из-под ЛСД.
Да, проще. Для собственных надобностей я пользуюсь самописными утилитами. Загрузочная флешка - на ней программа - подгружает реестр стоячей системы и пробегается по основным ключам используемым вирусами. При необходимости восстанавливает SafeBoot. Если сильно поганое заражение - дропаю дллку и через нулевую строку Notify подгружаю AVZ AG=Y. В 99% случаев хватает. Если заражен mbr - использую загрузочный диск - fixmbr, а далее полный чек диска - таблица разделов восстанавливалась всегда. А юзера всему этому научить - себе мозг калечить, поэтому, я однозначно за "программу с одной кнопкой". А еще лучше, совсем без кнопок.
Если есть интерес -
Сообщение от
Iron Monk
USB_BOOT Rebuild... 100 Мб.
REGloader.rar 290 Кб.
{*******************************}
Добавил логирование постоянных сетевых маршрутов:
{*******************************}
Пару месяцев назад обсуждалась прога в "Студенческом разделе", я оттуда сквотил ссылки. 100м - это флешка целиком.
З.Ы. Несколько АнтиВирей ругаются на прогу - кто на пакер, кто на кривые сигнатуры. Вебу написал - детект убрали. Остальным писать желания нету.
...причиняю добро и наношу непоправимую пользу...
-
-
Iron Monk,
Для собственных надобностей я пользуюсь самописными утилитами.
Та же печенюшеа
подгружает реестр стоячей системы и пробегается по основным ключам используемым вирусами
У меня только /Systems + немного (совсем немного) авторанов.
При необходимости восстанавливает SafeBoot
Это делаю рег-файлами. Кстати (вдруг упустили), я давно нагуглил способ избегать синевы в XP после смены материнской платы. Тоже регфайлы + замена дров.
А
юзера всему этому научить
Помилуйте... Даже братья-айтишники не всегда понимают, на кой черт это надо, когда можно "передыхать винду". Лично у меня только один чел именно учится.
Имею желание скооперироваться, кстати.
-
-
Сообщение от
antanta
Это делаю рег-файлами.
Придется для каждой машины перетачивать Рег файлики - на стоячей системе нет ветки - CurrentControlSet. Нужно лезть в System\Select | Current и далее править указаный в нем ControlSet00X. Моя прога это автоматом делает - на всех виндах. Да и ветку бЭкапит старую. На случай.
Сообщение от
antanta
Кстати (вдруг упустили), я давно нагуглил способ избегать синевы в XP после смены материнской платы. Тоже регфайлы + замена дров.
Где-то в заначке описание лежит - но не пришлось.
Сообщение от
antanta
Имею желание скооперироваться, кстати.
Всегда - за.
Если вдруг стало интересно...
{*******************************}
short help
Грузимся с флешки.
На рабочем столе – ярлык REGloader.
Подгружает реестр выбранной системы автоматом, если система при загрузке не выбиралась, запускается диалог выбора системной директории. Проверяет ключи Winlogon - "Shell" и "UserInit", если ключи изменены - выводит сообщение. Восстановление SafeBoot - систему определяет автоматом. Поддержка - XP - Vista - Vistax64 - Win7 - Win7x64 - W2K - W2K3. Реализована автоматическая загрузка веток реестра локальных пользователей. При выходе из программы загруженные ветки реестра локальной системы выгружаются автоматически. При использовании восстановления SafeBoot, автоматически создаются резервные копии изменяемых веток в: System32\BOOT_Save\ в формате: Save_dd.mm.yyyy_hh.mm.ss_nnn.reg
Кнопки:
- Winlogon – проверяет ”Shell” и ”UserInit” и переходит к ветке Winlogon.
- SafeBootRestore – восстанавливает загрузку в безопасном режиме.
- Regedit – запуск редактора реестра.
- CreateLog - даже не знаю, что написать...
- CmdLine - нажимаем, вводим путь к программе, например:
Код:
C:\AVZ4\AVZ.exe AG=Y
после перезагрузки поизойдет запуск АВЗ. Запуск происходит от пользователя System. Аккуратнее, если запустить от System тот же regedit, в реестре можно получить доступ к защищенным веткам реестра. Чтобы отменить запуск, нужно в реестре удалить ключ:
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\0_zero_0
или после нажатия <CmdLine> оставить строку пустой.
ЗЫ: 1. Программа работает только с флешки.
2. Ось выбирается при загрузке флешки:
если система при загрузке не выбиралась, запускается диалог выбора системной директории.
3. SOFTWARE_LOCAL и SYSTEM_LOCAL – реестр компьютера!
4. Загрузка кустов реестра локальных пользователей, грузится в ветку HKEY_USERS
в формате: HKCU_LOCAL_<UserName>.
5.При запуске, если обнаружены отладчики процессов, разворачивается список этих процессов. При клике по строке, переходит на выбранный ключ реестра.
6. На кнопочке <CmdLine> прицеплен CheckBox:
Почекано по умолчанию - программа запустится один раз при загрузке, галочку снять - будет запускаться постоянно при перезагрузке.
Прописать программу на запуск можно и с запущенной системы:
7. Формируемый лог в сообщении выше.
{*******************************}
Последний раз редактировалось Iron Monk; 22.06.2011 в 01:16.
Причина: Добавлено
...причиняю добро и наношу непоправимую пользу...
-
-
Имею мысль по локерам в XP.
Идея состоит в следующем(95% проверено на натуре) -
- Что имеем при локере(не бут): отсутствие доступа к ОС.
- Наши действия:
с ЛСД забросить файл svchost в System32. - Последствия:
1. При загрузке ОС, svchost дропает DLL из тела, прописывает загрузку DLL в реестр и самоудаляется (DLL нужна, чтобы запускать программы в контексте пользователя SYSTEM).
2. Нужна перезагрузка. Программно перезагрузить ОС локер может не позволить - не забиваем голову - жмем кнопку ресет.
3. При загрузке ОС DLL загружает(из ресурсов DLL) и выполняет программу в памяти ОС (под SYSTEM).
Т.к. локер никуда не делся, при помощи HotKey нашей программы инициализируем переход на виртуальный рабочий стол и запускаем, например, OpenDialog и т.д.
Единственный вопрос: можно ли обойти групповые политики при работе под пользователем SYSTEM? Например, - "Запуск редактора реестра запрещен Администратором..."?
...причиняю добро и наношу непоправимую пользу...
-
-
Iron Monk,
1) Проще поместить необходимый код в svchost.
3) Политики можно сбросить же? Да и запрет ставят обычно для одного пользователя.
Если авторы локеров читают VI, то трюк с svchost они могут легко сделать нерабочим. Для этого нужно только подправить пути запуска нескольких служб, дописав расширение.
Но, ничто не мешает нам подменить (временно) audiosrv.dll . Идея в том, что в винде много служб, запускающихся от LocalSystem, и с большой вероятностью стартующих (тип запуска - "авто"). Без некоторых из них можно обойтись на время лечения.
-
-
Сообщение от
antanta
1) Проще поместить необходимый код в svchost.
Мысль была использовать svchost как инсталлятор, не удаляя затем то, что устанавливается - для "длительного юза".
Сообщение от
antanta
Политики можно сбросить же?
Все работы должна смочь выполнять "блондинко" с овердрафтным интеллектом.
Ладно, мысль я все равно воплощу - будет интерес - потестим.
Сообщение от
antanta
Но, ничто не мешает нам подменить (временно) audiosrv.dll . Идея в том, что в винде много служб, запускающихся от LocalSystem, и с большой вероятностью стартующих (тип запуска - "авто"). Без некоторых из них можно обойтись на время лечения.
Так же ничего не мешает нам пропатчить(так же временно) любой файл, который мы хотим. Хочется - бескровно, в крайнем случае - малой кровью.
{******************}
Таки на паблик выставлять релиз(с загрузкой от System) не буду - на тест версия лайт(HKLM\Run).
Introduction
В вин. XP копируем файл svchost в System32(если есть локер - из под ЛСД), перезагружаем компьютер. При закрузке ОС из ресурсов файла svchost в System32 извлекается файл VirtDSK.exe, svchost самоудаляется.
В реестр прописывается ключ:
Код:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | VirtDSK=VirtDSK.exe
В лайте два ХотКея -
- Alt+W - переключение на другой рабочий стол и обратно.
- Alt+R - запуск диалога для выбора файлов(OpenDialog).
В режиме ожидания использует 300Кб. Пару дней повисит в автозагрузке - потестирую.
Есть мысли - к столу.
Последний раз редактировалось Iron Monk; 06.07.2011 в 09:56.
...причиняю добро и наношу непоправимую пользу...
-
-
Iron Monk,
Все работы должна смочь выполнять "блондинко" с овердрафтным интеллектом.
Я имел в виду сбросить политики "инсталлятором".
А малой кровью, при наименьших трудо-кодо-затратах - как раз подмена DLL, с последующим автоматическим восстановлением. Способ годится и для Win7, в отличие от.
-
-
Сообщение от
antanta
А малой кровью, ...- как раз подмена DLL,... Способ годится и для Win7, в отличие от...
Мне сейчас интересен не способ инсталляции - коих мильард, если есть доступ к телу, а использование "Виртуального Рабочего Стола" против локера.
...причиняю добро и наношу непоправимую пользу...
-
-
Iron Monk,
Если есть доступ к телу, то можно создать юзера с паролем, разрешить удаленный реестр, и заюзать pstools. Не для блондинок. Еще RDP можно использовать.
Что до "блондинок", то с ними проще работать по старой схеме "вышлите логи - получите таблетку". Логи собирает "инсталлятор". Я задачу до конца не пойму.
Сам я с виртуальными столами не работал. Единственное, с чем эсперементировал - "суровый" захват дисплея через InbvAcquireDisplayOwnership и прочие Inbv* из драйвера. Вполне можно написать подобие шелла. Только вот обратного пути нет, кроме рестарта.
-