Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

таблЭтка

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279

    таблЭтка

    Цитата Сообщение от antanta Посмотреть сообщение
    Если кому-то надо, то можно сделать "универсальную" таблЭтку, для правки реестра. DLL+ ini-файл.
    Эта таблЭтка, судя по кишкам правит userinit в реестре, зауниверсалить проще на параметры командной строки, а не добавлять ини файл.
    ...причиняю добро и наношу непоправимую пользу...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Цитата Сообщение от Sэм Посмотреть сообщение
    я из архива не могу файл достать, можно перезалить без архифа?
    Linux не понимает zip?
    Эта таблЭтка, судя по кишкам правит userinit в реестре, зауниверсалить проще на параметры командной строки, а не добавлять ини файл.
    Файл запускается в "автономном" режиме, до входа пользователя. С командной строкой как-то затруднительно будет.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Тогда проще зауниверсалить с экспортом рег файла.
    ...причиняю добро и наношу непоправимую пользу...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Цитата Сообщение от Iron Monk Посмотреть сообщение
    Тогда проще зауниверсалить с экспортом рег файла.
    Linux же. Под вынем вообще проблем нет. Дело в том, что возникла мода на никсовые LCD. Я даже делал тулзу под линь, которая правит реестр (аккуратно, только DWORD меняет, праметр Start для сервисов). Каждый вендор монтирует системный диск в своё место. Если делать удобно, то у меня проблемя с С, а с гуем под ЛСД - тем паче. Смысла делать консольную тулзу нет, chntpw уже написан и работает.
    С учетом распространения линуксовых лечебных дисков, а также с проблемами, которые такое лечение порождает, хелперам пора обзавестись новым инструментом. Как вариант - программа, генерирующая "таблэтки".
    Как называть файлы, и куда их пихать - ко мне в личку. Ибо есть "побочный эффект" - способ обходить защиты от ЛК, ESET, МакКофе, включая продукты 2012. (ЛК уже в курсе). Пока сделают пил-генератор, ЛК поправят, а "кто не спрятался, я не виноват".
    Последний раз редактировалось antanta; 19.06.2011 в 18:52.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от antanta Посмотреть сообщение
    Linux же.
    Код:
    function RegCreateKey(hKey: HKEY; lpSubKey: PAnsiChar; var phkResult: HKEY): Longint; stdcall;
          external 'advapi32.dll' name 'RegCreateKeyA' index 392;
    ? А не Виндовый ли это гуй Ваш svchost?
    Код:
     SSZ00403000_SOFTWARE_Microsoft_Windows_NT_Cu:
      		db	'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',0
     SSZ00403036_Userinit:
      		db	'Userinit',0
     SSZ0040303F_userinit_exe:
      		db	'userinit.exe',0
      		Align	8
     L00403050:
     		db	00h;
     		db	00h;
     		db	00h;
     		db	00h;
    ...причиняю добро и наношу непоправимую пользу...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Iron Monk, эээээ... Лечим-то винду.
    А не Виндовый ли это гуй Ваш svchost?
    И где тут GUI?
    А лечить нужно из-под линя. Мой вариант позволяет избежать правки реестра из-под линя. Последнее имеет смысл до двум соображениям. 1) (Сомнительное) - если есть опасения по поводу предсказуемости результата. 2) Зачем это делать, если есть "нативный" способ. Достаточно поместить нужный файл в нужное место.
    Сабж подразумевает, что нам известен объект правки. Зачастую так и бывает. Думаю, что по результатам проверки живой, но сильно зараженной системы, также проще сгенерить таблетку, чем объяснять пользователю методы работы с реестром из-под ЛСД.
    Последний раз редактировалось antanta; 19.06.2011 в 19:09. Причина: очепятки

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от antanta Посмотреть сообщение
    И где тут GUI?
    Код:
    // File name: C:\Documents and Settings\Iron Monk\Рабочий стол\svchost
    // Created  : 19.06.2011 19:21
    // Type     : Headers Info
    
    
     Имя поля                     Значение данных Описание
    ----------------------------------------------------------------------------
     Machine                      014Ch       i386®
     Number of Sections           0003h       
     Time Date Stamp              4DFE23C6h   19/06/2011  16:28:54
     Pointer to Symbol Table      00000000h   
     Number of Symbols            00000000h   
     Size of Optional Header      00E0h       
     Characteristics              010Fh       Relocation info stripped from file.
                                              File is executable  (i.e. no unresolved external references).
                                              Line numbers stripped from file.
                                              Local symbols stripped from file.
                                              32 bit word machine.
     Magic                        010Bh       PE32
     Linker Version               0C05h       5.12
     Size of Code                 00000200h   
     Size of Initialized Data     00000400h   
     Size of Uninitialized Data   00000000h   
     Address of Entry Point       00401000h   
     Base of Code                 00001000h   
     Base of Data                 00002000h   
     Image Base                   00400000h   
     Section Alignment            00001000h   
     File Alignment               00000200h   
     Operating System Version     00000004h   4.0
     Image Version                00000000h   0.0
     Subsystem Version            00000004h   4.0
     Win32 Version Value          00000000h   Reserved
     Size of Image                00004000h   16384 bytes
     Size of Headers              00000400h   
     Checksum                     00000000h   Реальная контрольная сумма образа: 000016EAh
     Subsystem                    0002h       Win32 GUI
     Dll Characteristics          0000h       
     Size of Stack Reserve        00100000h   
     Size of Stack Commit         00001000h   
     Size of Heap Reserve         00100000h   
     Size of Heap Commit          00001000h   
     Loader Flags                 00000000h   Obsolete
     Number of Data Directories   00000010h
    ...причиняю добро и наношу непоправимую пользу...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Iron Monk, Ыыы
    Код:
        include \masm32\include\user32.inc
                 includelib \masm32\lib\user32.lib
    Забейте. Взял шаблонную заготовку, убрал лишнее. Но, не все. Иногда использую мессаджбоксы при отладке, чтобы ольку без нужды не запускать )

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Господа antanta и Iron Monk, вы напугали пользователя своими техническими выкладками. Не забывайте, что у всех разный уровень компьютерной грамотности.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Nephilim, уже обсуждается нами в ПМ. Не в смысле заумности, а в смысле офтопа. Перенести бы (если кому-то кроме нас интересно) или удолить.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от antanta Посмотреть сообщение
    Перенести бы (если кому-то кроме нас интересно) или удолить.
    Пожалуйста, обсуждайте.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от antanta Посмотреть сообщение
    Сабж подразумевает, что нам известен объект правки. Зачастую так и бывает. Думаю, что по результатам проверки живой, но сильно зараженной системы, также проще сгенерить таблетку, чем объяснять пользователю методы работы с реестром из-под ЛСД.
    Да, проще. Для собственных надобностей я пользуюсь самописными утилитами. Загрузочная флешка - на ней программа - подгружает реестр стоячей системы и пробегается по основным ключам используемым вирусами. При необходимости восстанавливает SafeBoot. Если сильно поганое заражение - дропаю дллку и через нулевую строку Notify подгружаю AVZ AG=Y. В 99% случаев хватает. Если заражен mbr - использую загрузочный диск - fixmbr, а далее полный чек диска - таблица разделов восстанавливалась всегда. А юзера всему этому научить - себе мозг калечить, поэтому, я однозначно за "программу с одной кнопкой". А еще лучше, совсем без кнопок.
    Если есть интерес -
    Цитата Сообщение от Iron Monk
    USB_BOOT Rebuild... 100 Мб.
    REGloader.rar 290 Кб.
    {*******************************}
    Добавил логирование постоянных сетевых маршрутов:

    {*******************************}
    Пару месяцев назад обсуждалась прога в "Студенческом разделе", я оттуда сквотил ссылки. 100м - это флешка целиком.
    З.Ы. Несколько АнтиВирей ругаются на прогу - кто на пакер, кто на кривые сигнатуры. Вебу написал - детект убрали. Остальным писать желания нету.
    ...причиняю добро и наношу непоправимую пользу...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Iron Monk,
    Для собственных надобностей я пользуюсь самописными утилитами.
    Та же печенюшеа
    подгружает реестр стоячей системы и пробегается по основным ключам используемым вирусами
    У меня только /Systems + немного (совсем немного) авторанов.
    При необходимости восстанавливает SafeBoot
    Это делаю рег-файлами. Кстати (вдруг упустили), я давно нагуглил способ избегать синевы в XP после смены материнской платы. Тоже регфайлы + замена дров.
    А юзера всему этому научить
    Помилуйте... Даже братья-айтишники не всегда понимают, на кой черт это надо, когда можно "передыхать винду". Лично у меня только один чел именно учится.
    Имею желание скооперироваться, кстати.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от antanta Посмотреть сообщение
    Это делаю рег-файлами.
    Придется для каждой машины перетачивать Рег файлики - на стоячей системе нет ветки - CurrentControlSet. Нужно лезть в System\Select | Current и далее править указаный в нем ControlSet00X. Моя прога это автоматом делает - на всех виндах. Да и ветку бЭкапит старую. На случай.
    Цитата Сообщение от antanta Посмотреть сообщение
    Кстати (вдруг упустили), я давно нагуглил способ избегать синевы в XP после смены материнской платы. Тоже регфайлы + замена дров.
    Где-то в заначке описание лежит - но не пришлось.
    Цитата Сообщение от antanta Посмотреть сообщение
    Имею желание скооперироваться, кстати.
    Всегда - за.

    Если вдруг стало интересно...
    {*******************************}
    short help

    Грузимся с флешки.

    На рабочем столе – ярлык REGloader.

    Подгружает реестр выбранной системы автоматом, если система при загрузке не выбиралась, запускается диалог выбора системной директории. Проверяет ключи Winlogon - "Shell" и "UserInit", если ключи изменены - выводит сообщение. Восстановление SafeBoot - систему определяет автоматом. Поддержка - XP - Vista - Vistax64 - Win7 - Win7x64 - W2K - W2K3. Реализована автоматическая загрузка веток реестра локальных пользователей. При выходе из программы загруженные ветки реестра локальной системы выгружаются автоматически. При использовании восстановления SafeBoot, автоматически создаются резервные копии изменяемых веток в: System32\BOOT_Save\ в формате: Save_dd.mm.yyyy_hh.mm.ss_nnn.reg
    Кнопки:
    - Winlogon – проверяет ”Shell” и ”UserInit” и переходит к ветке Winlogon.
    - SafeBootRestore – восстанавливает загрузку в безопасном режиме.
    - Regedit – запуск редактора реестра.
    - CreateLog - даже не знаю, что написать...
    - CmdLine - нажимаем, вводим путь к программе, например:
    Код:
    C:\AVZ4\AVZ.exe AG=Y
    после перезагрузки поизойдет запуск АВЗ. Запуск происходит от пользователя System. Аккуратнее, если запустить от System тот же regedit, в реестре можно получить доступ к защищенным веткам реестра. Чтобы отменить запуск, нужно в реестре удалить ключ:
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\0_zero_0
    или после нажатия <CmdLine> оставить строку пустой.

    ЗЫ: 1. Программа работает только с флешки.
    2. Ось выбирается при загрузке флешки:

    если система при загрузке не выбиралась, запускается диалог выбора системной директории.
    3. SOFTWARE_LOCAL и SYSTEM_LOCAL – реестр компьютера!

    4. Загрузка кустов реестра локальных пользователей, грузится в ветку HKEY_USERS
    в формате: HKCU_LOCAL_<UserName>.
    5.При запуске, если обнаружены отладчики процессов, разворачивается список этих процессов. При клике по строке, переходит на выбранный ключ реестра.

    6. На кнопочке <CmdLine> прицеплен CheckBox:

    Почекано по умолчанию - программа запустится один раз при загрузке, галочку снять - будет запускаться постоянно при перезагрузке.
    Прописать программу на запуск можно и с запущенной системы:

    7. Формируемый лог в сообщении выше.
    {*******************************}
    Последний раз редактировалось Iron Monk; 22.06.2011 в 01:16. Причина: Добавлено
    ...причиняю добро и наношу непоправимую пользу...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279

    Имею мысль по локерам в XP.

    Идея состоит в следующем(95% проверено на натуре) -
    • Что имеем при локере(не бут): отсутствие доступа к ОС.
    • Наши действия:
      с ЛСД забросить файл svchost в System32.
    • Последствия:

    1. При загрузке ОС, svchost дропает DLL из тела, прописывает загрузку DLL в реестр и самоудаляется (DLL нужна, чтобы запускать программы в контексте пользователя SYSTEM).
    2. Нужна перезагрузка. Программно перезагрузить ОС локер может не позволить - не забиваем голову - жмем кнопку ресет.
    3. При загрузке ОС DLL загружает(из ресурсов DLL) и выполняет программу в памяти ОС (под SYSTEM).
    Т.к. локер никуда не делся, при помощи HotKey нашей программы инициализируем переход на виртуальный рабочий стол и запускаем, например, OpenDialog и т.д.

    Единственный вопрос: можно ли обойти групповые политики при работе под пользователем SYSTEM? Например, - "Запуск редактора реестра запрещен Администратором..."?
    ...причиняю добро и наношу непоправимую пользу...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Iron Monk,
    1) Проще поместить необходимый код в svchost.
    3) Политики можно сбросить же? Да и запрет ставят обычно для одного пользователя.
    Если авторы локеров читают VI, то трюк с svchost они могут легко сделать нерабочим. Для этого нужно только подправить пути запуска нескольких служб, дописав расширение.
    Но, ничто не мешает нам подменить (временно) audiosrv.dll . Идея в том, что в винде много служб, запускающихся от LocalSystem, и с большой вероятностью стартующих (тип запуска - "авто"). Без некоторых из них можно обойтись на время лечения.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от antanta Посмотреть сообщение
    1) Проще поместить необходимый код в svchost.
    Мысль была использовать svchost как инсталлятор, не удаляя затем то, что устанавливается - для "длительного юза".
    Цитата Сообщение от antanta Посмотреть сообщение
    Политики можно сбросить же?
    Все работы должна смочь выполнять "блондинко" с овердрафтным интеллектом.
    Ладно, мысль я все равно воплощу - будет интерес - потестим.
    Цитата Сообщение от antanta Посмотреть сообщение
    Но, ничто не мешает нам подменить (временно) audiosrv.dll . Идея в том, что в винде много служб, запускающихся от LocalSystem, и с большой вероятностью стартующих (тип запуска - "авто"). Без некоторых из них можно обойтись на время лечения.
    Так же ничего не мешает нам пропатчить(так же временно) любой файл, который мы хотим. Хочется - бескровно, в крайнем случае - малой кровью.

    {******************}
    Таки на паблик выставлять релиз(с загрузкой от System) не буду - на тест версия лайт(HKLM\Run).

    Introduction
    В вин. XP копируем файл svchost в System32(если есть локер - из под ЛСД), перезагружаем компьютер. При закрузке ОС из ресурсов файла svchost в System32 извлекается файл VirtDSK.exe, svchost самоудаляется.
    В реестр прописывается ключ:
    Код:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | VirtDSK=VirtDSK.exe
    В лайте два ХотКея -
    1. Alt+W - переключение на другой рабочий стол и обратно.
    2. Alt+R - запуск диалога для выбора файлов(OpenDialog).

    В режиме ожидания использует 300Кб. Пару дней повисит в автозагрузке - потестирую.
    Есть мысли - к столу.
    Последний раз редактировалось Iron Monk; 06.07.2011 в 09:56.
    ...причиняю добро и наношу непоправимую пользу...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Iron Monk,
    Все работы должна смочь выполнять "блондинко" с овердрафтным интеллектом.
    Я имел в виду сбросить политики "инсталлятором".
    А малой кровью, при наименьших трудо-кодо-затратах - как раз подмена DLL, с последующим автоматическим восстановлением. Способ годится и для Win7, в отличие от.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от antanta Посмотреть сообщение
    А малой кровью, ...- как раз подмена DLL,... Способ годится и для Win7, в отличие от...
    Мне сейчас интересен не способ инсталляции - коих мильард, если есть доступ к телу, а использование "Виртуального Рабочего Стола" против локера.
    ...причиняю добро и наношу непоправимую пользу...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Iron Monk,
    Если есть доступ к телу, то можно создать юзера с паролем, разрешить удаленный реестр, и заюзать pstools. Не для блондинок. Еще RDP можно использовать.
    Что до "блондинок", то с ними проще работать по старой схеме "вышлите логи - получите таблетку". Логи собирает "инсталлятор". Я задачу до конца не пойму.
    Сам я с виртуальными столами не работал. Единственное, с чем эсперементировал - "суровый" захват дисплея через InbvAcquireDisplayOwnership и прочие Inbv* из драйвера. Вполне можно написать подобие шелла. Только вот обратного пути нет, кроме рестарта.

Страница 1 из 2 12 Последняя

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00903 seconds with 18 queries