|
Запрет удаления или изменения ветки реестра.
|
|
| Neo | Дата: Четверг, 19.04.2012, 19:58 | Сообщение # 1 |
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Пример перехвата API функций с целью запрета удаления или изменения ключей реестра.
В данном случае контролируются следующие ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Troyan
и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1.
А точнее,все те ключи,которые в названии имеют строку "1" или "Troyan" 
Доступно только для пользователей
NEO ©
|
| |
| |
| Don_Diego | Дата: Пятница, 20.04.2012, 00:02 | Сообщение # 2 |
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
| Вот никак не могу придумать где это применить в вирусе? 
Это скорей для антивируса полезно )) И есть вопрос по теме: есть ли способ обхитрить KIS в реестре? Что не пишешь туда - он сразу определяет как троян. Без записей в реестр и самокопирования - все нормально, но тогда не сработает автозагрузка.
|
| |
| |
| Волк-1024 | Дата: Пятница, 20.04.2012, 00:17 | Сообщение # 3 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Quote Вот никак не могу придумать где это применить в вирусе?
А без либы ни как не получится? Ибо таскать в теле либу - не катит...
Сообщение отредактировал Волк-1024 - Пятница, 20.04.2012, 00:45 |
| |
| |
| Don_Diego | Дата: Пятница, 20.04.2012, 14:59 | Сообщение # 4 |
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
| Quote (Волк-1024) А как же защита ключа автозапуска троя?
Это понятно, вот только как вначале записаться в реестр? Вот в чем вопрос. И вопрос именно по KIS, другие антивирусы как-то удается обхитрить, этот же контролирует половину реестра.
|
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 23.04.2012, 19:04 | Сообщение # 5 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Ура! Огромное спасибо Neo за решение проблемы, только смысл было создавать еще одну тему если вопрос уже поднимался здесь
http://delfcode.ru/forum/29-694-1
но все же огромное спасибо за вариант решения) с меня + 
|
| |
| |
| oke | Дата: Воскресенье, 13.05.2012, 17:35 | Сообщение # 6 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| а можно ли поменять ключи допустим на HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Explorer\Shell
|
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 14.05.2012, 02:42 | Сообщение # 7 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Ну конечно,а почему нет?
|
| |
| |
| oke | Дата: Четверг, 17.05.2012, 20:45 | Сообщение # 8 |
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| да я уже разобрался)
|
| |
| |
| oke | Дата: Четверг, 17.05.2012, 20:47 | Сообщение # 9 |
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| кстати отличный рукит получился)
|
| |
| |
| xXxSh@dowxXx | Дата: Четверг, 17.05.2012, 21:28 | Сообщение # 10 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| oke ты хотел сказать руткит?, а при чем тут блокировка ключа, если я не ошибаюсь в хороших руткитах используется драйвер и все его ключи реестра так же как и файлы скрываются в системе, разве нет?
Сообщение отредактировал xXxSh@dowxXx - Четверг, 17.05.2012, 21:29 |
| |
| |
| Neo | Дата: Пятница, 18.05.2012, 08:24 | Сообщение # 11 |
|
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| У кого есть соображения что надо перехватывать,чтобы скрыть ветку реестра?
|
| |
| |
| xXxSh@dowxXx | Дата: Пятница, 18.05.2012, 09:49 | Сообщение # 12 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Neo сам как раз задавался таким вопросом, только вот если я не ошибаюсь, для того что бы скрыть а не заблокировать как у тебя методом перехвата, по моему нужно драйвер писать...
|
| |
| |
| Neo | Дата: Пятница, 18.05.2012, 10:15 | Сообщение # 13 |
|
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Драйвер нужен,если организовывать перехват на ring0.На 3 кольце тоже можно,но этот перехват можно будет тогда снять.
|
| |
| |
| XSPY | Дата: Пятница, 18.05.2012, 21:04 | Сообщение # 14 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| Neo, можно контроллить через реестр сам реестр (теоретически знаю точно можно,а вот практически недокодил до конца на Сях)...
|
| |
| |
| Neo | Дата: Суббота, 26.05.2012, 16:21 | Сообщение # 15 |
|
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Доступно только для пользователей
Сообщение отредактировал Neo - Суббота, 26.05.2012, 16:24 |
| |
| |
| xXxSh@dowxXx | Дата: Суббота, 26.05.2012, 17:51 | Сообщение # 16 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Огромная благодарность Neo за помощь в перехвате различных API функций!!! 
PS: В ближайшем будущем нас ждет фатальный перевод кода на x64, постепенно уже начали переписывать множество программ когда то написанных под x86, но увы в связи с бурным ростом пользователей с новой архитектурой нужно приступать уже сейчас, по возможности хотел бы попросить многих, если выкладывается исходный код под x86, то давайте общими усилиями будем добавлять темы таким же кодом, но уже под x64, это по желанию и вашим возможностям, кто владеет навыками написания кода под x64, и даже те кто не владеют таковыми, для общего развития, думаю многим будет интересно...
Это было отступление от темы, заранее приношу свои извинения!
Сообщение отредактировал xXxSh@dowxXx - Суббота, 26.05.2012, 18:00 |
| |
| |
