|
Автозагрузка #моя идея#
|
|
| link993 | Дата: Четверг, 14.07.2011, 16:59 | Сообщение # 1 |
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Появилась идея сделать добавление в реестр беспалевным. Расскажу коротко.
Наша программа создает батник и запускает его. В том батнике лежит вредоносный код, который добавляет нашу программу в автозагрузку. После злодеяний батника наша программа его удаляет и радуется новому местечку в реестре. Заодно уберем модуль. Если это на вин апи сделать то вообще хорошо.
Ваши мнения пжл...
|
| |
| |
| C@T | Дата: Четверг, 14.07.2011, 17:14 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| ну во первых, не ты первый кто до этого додумался,
а во вторых, батник тоже могут спалить антивирусы 
|
| |
| |
| gravitas | Дата: Четверг, 14.07.2011, 17:41 | Сообщение # 3 |
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Давно пробовал - палится сильно 
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| Android | Дата: Пятница, 03.02.2012, 12:22 | Сообщение # 4 |
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
| а если попробовать от имени SYSTEM запустить батник? Тоже запалится анвирами???
|
| |
| |
| dolphin | Дата: Пятница, 03.02.2012, 20:01 | Сообщение # 5 |
Администратор
Сообщений: 906
Статус: Offline
| Android, и как же ты это сделаешь?
Если честно тема под снос тянет
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Android | Дата: Пятница, 03.02.2012, 22:09 | Сообщение # 6 |
|
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
| в одном из номеров описывалась методика запуска cmd от имени system. Я так понимаю, что потом можно любой процесс запустить от системы. пороюсь в архиве.. Выложу
|
| |
| |
| Volf | Дата: Пятница, 12.04.2013, 13:55 | Сообщение # 7 |
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| запуск cmd сам по себе паливность. юзайте использовать reg файлики.А вообще я сторонник апи
|
| |
| |
| Slash | Дата: Пятница, 12.04.2013, 17:31 | Сообщение # 8 |
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Пробовал,Касперский палит.
|
| |
| |
| Volf | Дата: Пятница, 12.04.2013, 19:42 | Сообщение # 9 |
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| что именно палит?на апи или на reg файлах
|
| |
| |
| ms301 | Дата: Пятница, 12.04.2013, 20:00 | Сообщение # 10 |
Постоянный
Зарегистрирован: 28.11.2012
Группа: Пользователи
Сообщений: 101
Статус: Offline
| anvir все будет детектить 
|
| |
| |
| xXxSh@dowxXx | Дата: Пятница, 12.04.2013, 20:20 | Сообщение # 11 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата (Volf) что именно палит?на апи или на reg файлах
на чистом api, в зависимости от ситуации, я думаю можно обойти эвристику, конечно придется постараться, но все таки можно.
|
| |
| |
| Volf | Дата: Суббота, 13.04.2013, 12:23 | Сообщение # 12 |
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| На чистом апи покажу как снимать палево когда доросту до привата.тут не хочу палить свои разработки нескольких месяцев))
Сообщение отредактировал Volf - Воскресенье, 14.04.2013, 20:33 |
| |
| |
| VB | Дата: Вторник, 29.04.2014, 16:05 | Сообщение # 13 |
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
| по-моему лучше использовать маскировку программы под системную, а автозагрузке добавлять на нее ярлык для запуска. При этом никак не касаяюсь реестра, чтобы антивирь не палил.
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 29.04.2014, 17:40 | Сообщение # 14 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата VB (  ) по-моему лучше использовать маскировку программы под системную, а автозагрузке добавлять на нее ярлык для запуска. При этом никак не касаяюсь реестра, чтобы антивирь не палил.
через ярлык то же палится!
|
| |
| |
| VB | Дата: Воскресенье, 04.05.2014, 13:01 | Сообщение # 15 |
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Цитата xXxSh@dowxXx ( ) через ярлык то же палится!
Вы имеет ввиду ярлык палится внешне или антивирус палит ярлык по принципу того, что его там не должно быть?
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 04.05.2014, 13:49 | Сообщение # 16 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| АВ палит когда пытаешься добавить что то в автозагрузку левое, не важно будь то ярлык или новое расширение, или еще что то в области контролируемые АВ, то есть следовательно просто так в обход АВ очень сложно добавить даже путь на ярлык в автозагрузку, если у Вас есть способ как это сделать беспалевно, тогда другое дело.
|
| |
| |
| VB | Дата: Вторник, 06.05.2014, 08:17 | Сообщение # 17 |
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Видимо значит способ есть, пока на ярлык у меня ни разу не ругался, на сам файл да, но на ярлык нет
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 06.05.2014, 11:30 | Сообщение # 18 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата VB ( ) пока на ярлык у меня ни разу не ругался, на сам файл да, но на ярлык нет
да нет, видимо Вы не совсем меня поняли, детект по средствам Эвристического анализа происходит в момент когда Вы запускаете код, который автоматически прописывает Ваш ярлык в реестре или в других местах автозагрузки, в папках например, в этот момент сама программа которая намерена добавить что то в автозагрузку блокируется.
В Вашем же случае может и не блокироваться потому что АВ установлен в с дефолтными настройками, в моем же случае настройки не дефолтные, а повышенные!
ну а если Вы вручную добавляете ярлык в автозагрузку то конечно ругаться никто не будет, но ведь на удаленном компе Вы не будете ручками ярлычки в автозапуск добавлять верно?!
|
| |
| |
| VB | Дата: Вторник, 06.05.2014, 14:53 | Сообщение # 19 |
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Цитата xXxSh@dowxXx ( ) да нет, видимо Вы не совсем меня поняли, детект по средствам Эвристического анализа происходит в момент когда Вы запускаете код, который автоматически прописывает Ваш ярлык в реестре или в других местах автозагрузки, в папках например, в этот момент сама программа которая намерена добавить что то в автозагрузку блокируется.
теперь понял Вас на 100%, нужно мне теперь проверить выполнение создания ярлыков, давно не проверял, теперь проверю и на повышенном уровне тоже, почему-то всегда исключал такой вариант, типа юзеры ставят настройки по умолчанию и т.п. У меня если честно сейчас другая проблема, с самим вирусом...
|
| |
| |
