|
Безопасный режим (SafeBoot)
|
|
| HTTqp | Дата: Пятница, 24.10.2014, 16:12 | Сообщение # 1 |
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| Всем привет =)
Предлагаю поднять извечную проблему вирусологии. Это отключение\запрет зайти в Безопасный режим (SafeBoot). Так как в XP было сделать легко, для этого требовалось всего лишь удалить или переименовать ветвь [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] и все, но время то идет и на смену пришла Win 7/8 и там нельзя просто так удалить ветвь. Предварительно надо сменить разрешение в реестре. Предлогаю объедениться и решить проблему, как отключить Безопасный режим (SafeBoot). Жду ваши идеи, по мере буду тоже отписываться если что то буду находить.
|
| |
| |
| xXxSh@dowxXx | Дата: Пятница, 24.10.2014, 16:56 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| А разве под правами Администратора у тебя не меняются разрешения ?
|
| |
| |
| HTTqp | Дата: Суббота, 25.10.2014, 17:40 | Сообщение # 3 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| Цитата xXxSh@dowxXx (  ) А разве под правами Администратора у тебя не меняются разрешения ?
Нет увы, запуская программу программу под именем Администратора я не могу ни чего делать с данной веткой, тем более удалить. Да и просто если зайти в реестр он и попробывать удалить\переименовать SafeBoot выдает следующее
Сообщение отредактировал HTTqp - Суббота, 25.10.2014, 17:41 |
| |
| |
| Anton93 | Дата: Воскресенье, 26.10.2014, 15:08 | Сообщение # 4 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| HTTqp, на счет первого поста. сразу что пришло в голову, без удаления ветки, это заразить любой участвующий в загрузке системный файл. определяем если загрузка идет в безопасном режиме, обрушиваем загрузку.
 ICQ: 41896
|
| |
| |
| HTTqp | Дата: Воскресенье, 26.10.2014, 16:00 | Сообщение # 5 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| Anton93, я так понял речь пойдет об инжекте кода в процесс, верно? а как тогда лучше сделать загрузить сам виру и запустить уже в безопасном режиме или можно пояснение ваше мысли. В более развернутом виде. Как именно можно обрушить?
Сообщение отредактировал HTTqp - Воскресенье, 26.10.2014, 16:01 |
| |
| |
| Anton93 | Дата: Понедельник, 27.10.2014, 19:20 | Сообщение # 6 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| HTTqp,
Цитата речь пойдет об инжекте кода в процесс, верно?
нет. имелось ввиду прямое заражение любого системного файла, участвующего в загрузке, чтобы обеспечить себе стабильный автозапуск из любого режима
Цитата Как именно можно обрушить?
да банально вызвать bsod, пример рабочий тут есть, недавно выкладывали, что даже в user-mode работает. или банально послать команду на перезагрузку. ну тут уже чисто фантазия
ICQ: 41896
|
| |
| |
| HTTqp | Дата: Пятница, 07.11.2014, 02:09 | Сообщение # 7 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| прошу прощения а что подрузумевается под заражение любого системного файла, в чем отличие от инжекта? и как лучше это тогда сделать? Моя программа и так запускается от имени администратора так что с вызовом bsod врятли проблемы будут)))
|
| |
| |
| Anton93 | Дата: Суббота, 08.11.2014, 12:18 | Сообщение # 8 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Цитата прошу прощения а что подрузумевается под заражение любого системного файла
я писал уже сверху, сформулирую по-другому, файл, без которого загрузка не возможна, который обязательно вызовется при загрузке ОС, например userinit.exe, winlogon.exe, explorer.exe
Цитата в чем отличие от инжекта?
в том, что инжект это внедрение в процесс в памяти, я же имел ввиду заражение на диске, т.е. запись кода прямо в файл, а не в память
ICQ: 41896
|
| |
| |
| HTTqp | Дата: Воскресенье, 09.11.2014, 23:32 | Сообщение # 9 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| Anton93, а примерчик не подкинете?)
|
| |
| |
| Anton93 | Дата: Понедельник, 10.11.2014, 16:22 | Сообщение # 10 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| HTTqp, на делфи очень мало открытых исходников для заражения EXE файла, даже не знаю что предложить, на си быстрее найдете, заражать лучше техникой EPO (entry point obfuscation).
если имеете представление о структуре EXE файла, то можно и на делфи свое написать 
ICQ: 41896
|
| |
| |
| vint | Дата: Вторник, 02.06.2015, 01:52 | Сообщение # 11 |
|
Новичок
Зарегистрирован: 02.06.2015
Группа: Пользователи
Сообщений: 4
Статус: Offline
| Код uses Registry;
...
var reg: TRegistry;
...
procedure BezopasOff;
begin
reg:= TRegistry.Create;
reg.RootKey := HKEY_LOCAL_MACHINE;
reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\minimal','System\CurrentControlSet\Control\SafeBoot\M',true);
reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true);
reg.free;
end;
procedure BezopasOn;
begin
reg:= TRegistry.Create;
reg.RootKey := HKEY_LOCAL_MACHINE;
reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\M','System\CurrentControlSet\Control\SafeBoot\minimal',true);
reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\N','System\CurrentControlSet\Control\SafeBoot\NetWork',true);
reg.free;
end; |
| |
| |
| HTTqp | Дата: Четверг, 04.06.2015, 19:45 | Сообщение # 12 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| Цитата vint ( ) uses Registry; ... var reg: TRegistry; ... procedure BezopasOff; begin reg:= TRegistry.Create; reg.RootKey := HKEY_LOCAL_MACHINE; reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\minimal','System\CurrentControlSet\Control\SafeBoot\M',true); reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true); reg.free; end; procedure BezopasOn; begin reg:= TRegistry.Create; reg.RootKey := HKEY_LOCAL_MACHINE; reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\M','System\CurrentControlSet\Control\SafeBoot\minimal',true); reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\N','System\CurrentControlSet\Control\SafeBoot\NetWork',true); reg.free; end;
Прежде чем постить подобное, тести у себя! это метод работает максимум на XP
|
| |
| |
