Понедельник, 30.11.2020, 17:11 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx  
delphicode » Delphi » Вирусология Delphi » Trojan Hosts и редактирования реестра.
Trojan Hosts и редактирования реестра.
-Drayver-Дата: Среда, 02.03.2011, 20:09 | Сообщение # 1
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
Подскажите как составить код етого трояна вместе с редактированием реестра?
Код

Доступно только для пользователей

Всмисле чтобы трой отредактировал файл hosts и сразу же изменил в реестре код для того чтобы жертва не могла самостоятельно изменить файл hosts после трояна.
Не полохо бы было и самоудаления.....

Сообщение отредактировал dolphin - Среда, 02.03.2011, 20:26
 
dolphinДата: Среда, 02.03.2011, 20:30 | Сообщение # 2
Администратор
Сообщений: 906
Статус: Offline
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters

ключ DataBasePath имеете в виду?

Quote (-Drayver-)
для того чтобы жертва не могла самостоятельно изменить файл hosts

Немного не понятно каким образом
 
-Drayver-Дата: Среда, 02.03.2011, 21:12 | Сообщение # 3
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
Quote (dolphin)
Немного не понятно каким образом
- всмисле чтобы запретить доступ редактировать етот файл вновь.Если жертва заподозрит что изменения в файле hosts, то она сразу побежит его редатировать,а ей нужно запретить доступ.


Сообщение отредактировал -Drayver- - Среда, 02.03.2011, 21:13
 
dolphinДата: Среда, 02.03.2011, 21:24 | Сообщение # 4
Администратор
Сообщений: 906
Статус: Offline
Можно поставить атрибуты скрытый, системный, архивный и только для чтения. Это повысит выживаемость думаю на 90%
 
-Drayver-Дата: Среда, 02.03.2011, 21:33 | Сообщение # 5
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
Quote (dolphin)
Можно поставить атрибуты скрытый, системный, архивный и только для чтения. Это повысит выживаемость думаю на 90%
- ето все можно сделать через реестер?
 
dolphinДата: Среда, 02.03.2011, 22:52 | Сообщение # 6
Администратор
Сообщений: 906
Статус: Offline
Quote (-Drayver-)
Quote (dolphin)Можно поставить атрибуты скрытый, системный, архивный и только для чтения. Это повысит выживаемость думаю на 90% - ето все можно сделать через реестер?

Это делается через setfileatribytes

 
-Drayver-Дата: Среда, 02.03.2011, 22:57 | Сообщение # 7
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
Quote (dolphin)
Это делается через setfileatribytes
- ето понятно!но мне не понятно как ето можно сделать через реестр?может есть какие то другие пути...
 
XSPYДата: Четверг, 03.03.2011, 00:41 | Сообщение # 8
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
можно сделать копию файла хост,а когда его юзер изменит-обратно после перезагрузки восстановить его!
При етом файл-копия должен быть хорошо спрятан!
 
gravitasДата: Четверг, 03.03.2011, 05:48 | Сообщение # 9
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Code
SetFileAttributes(WinDir+'\system32\drivers\etc\hosts, faReadOnly+FaSysFile+FaHidden+faArchive);
 
XSPYДата: Четверг, 03.03.2011, 13:08 | Сообщение # 10
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
gravitas, а что даст атрибут архивный?(просто не понял сути я)
 
gravitasДата: Четверг, 03.03.2011, 14:28 | Сообщение # 11
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
XSPY, это не ко мне, а к дельфину, ибо он сказал про архивный)) Я лишь показал как реализовать
 
dolphinДата: Четверг, 03.03.2011, 16:52 | Сообщение # 12
Администратор
Сообщений: 906
Статус: Offline
Quote (XSPY)
а что даст атрибут архивный

Больше атрибутов меньше вероятности удаления
 
XSPYДата: Четверг, 03.03.2011, 22:11 | Сообщение # 13
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
а-а,понятно)
 
cool1Дата: Пятница, 04.03.2011, 12:47 | Сообщение # 14
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
Создай файл hosts и запиши в него типа такую инфу IP DOMAIN (ну как хостс обычный естественно программно) меняй ключ реестра который те давал долфин ну ставь значение пути к твоему хосту!
 
-Drayver-Дата: Пятница, 04.03.2011, 13:16 | Сообщение # 15
Был не раз
Зарегистрирован: 01.03.2011
Группа: Пользователи
Сообщений: 10
Статус: Offline
Quote (cool1)
Создай файл hosts и запиши в него типа такую инфу IP DOMAIN (ну как хостс обычный естественно программно) меняй ключ реестра который те давал долфин ну ставь значение пути к твоему хосту!
- Ок спасыбо вам.
 
XSPYДата: Понедельник, 20.08.2012, 00:24 | Сообщение # 16
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
вопрос,а как сделать копию файла hosts,но с русской О,а не английской?мой код не пашет***
 
xXxSh@dowxXxДата: Понедельник, 20.08.2012, 10:19 | Сообщение # 17
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (XSPY)
вопрос,а как сделать копию файла hosts,но с русской О,а не английской?мой код не пашет

странный вопрос, а что обычное копирование уже не пашет?
 
XSPYДата: Понедельник, 20.08.2012, 15:38 | Сообщение # 18
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
xXxSh@dowxXx, пашет,но нужно сделать второй файл... для бэкапа... я конечно,могу и копированием сделать,но хочеться попробовать этот вариант)
 
xXxSh@dowxXxДата: Понедельник, 20.08.2012, 16:28 | Сообщение # 19
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (XSPY)
пашет,но нужно сделать второй файл... для бэкапа...

прошу прощения, может быть я не совсем понял что Вы хотите, но обычным копированием можно хоть 100 файлов для бэкапа сделать smile
не пойму в чем у вас проблема...?


Сообщение отредактировал xXxSh@dowxXx - Понедельник, 20.08.2012, 16:28
 
XSPYДата: Понедельник, 20.08.2012, 19:35 | Сообщение # 20
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
xXxSh@dowxXx, смотри:
по задумке,я удаляю файл хостс,создаю его заново и пишу в нём "127,0,0,1",а сразу за этим мне нужно создать этот же файл hоsts,но с русской буквой "о" (или любого другого языка из списка,но я выбрал русский и украинский)...
Проблема в тои,что мой код спокойно удаляет оригинальный хостс и перезаписывает в него (оригинал) содержимое второго хостса,где будут храниться данные (ну например,если малварь какая-то заменит мне хостс,то моя прога эти данные сохраняет в том втором файле и восстанавливает оригинальный).
Вот как бы так...
Если надо,код приведу чуть позже...
 
xXxSh@dowxXxДата: Вторник, 21.08.2012, 09:57 | Сообщение # 21
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (XSPY)
Если надо,код приведу чуть позже...

да конечно, если тебя не затруднит и в spoiler его...
 
delphicode » Delphi » Вирусология Delphi » Trojan Hosts и редактирования реестра.
  • Страница 1 из 1
  • 1
Поиск:

delphicode.ru © 2008 - 2020 Хостинг от uCoz