|
запуск файла от имени администратора
|
|
| decide | Дата: Четверг, 29.05.2014, 22:26 | Сообщение # 1 |
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
| собственно сабж!можно пару примеров?
|
| |
| |
| Anton93 | Дата: Пятница, 30.05.2014, 11:43 | Сообщение # 2 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| уточните, что именно имеете в виду, ручной запуск от админа, или автоматический.
 ICQ: 41896
|
| |
| |
| decide | Дата: Пятница, 30.05.2014, 12:23 | Сообщение # 3 |
|
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
| автомотический
|
| |
| |
| Anton93 | Дата: Пятница, 30.05.2014, 12:34 | Сообщение # 4 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| добавить себя в службы или планировщик - они лишены ограничений и стартуют с правами системы и администратора соответственно.
так же можно заразить любой системный файл, стартующий с правами админа.
первые более просты в реализации, но могут быть вычищены вручную. второй же - обеспечит более долгое пребывание в системе и практически сведет на ноль возможность чистки файла для пользователей
ICQ: 41896
|
| |
| |
| decide | Дата: Пятница, 30.05.2014, 12:45 | Сообщение # 5 |
|
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
| заразить любой системный файл есть примеры на delphi?
|
| |
| |
| Anton93 | Дата: Пятница, 30.05.2014, 17:25 | Сообщение # 6 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| decide, есть. вот например http://delfcode.ru/forum/10-324-1
но он определяется ав.
в принципе в нете полно методов заражения. и на делфи примеров тоже. однако большинство из них уже не актуальны, в виду того что эмуляторы сейчас продвинутые стали и эвристика видит левые переходы в зараженном файле, поэтому чтобы написать нормальный инфектор - придется подумать.
все реально. отталкиваемся от примеров и пишем свой. усложняем итд. технология что и 20 лет назад. поставить переход на свое тело, выполнить его, вернуть управление оригинальной программе.
ICQ: 41896
|
| |
| |
| xXxSh@dowxXx | Дата: Суббота, 31.05.2014, 15:04 | Сообщение # 7 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата Anton93 (  ) все реально. отталкиваемся от примеров и пишем свой. усложняем итд. технология что и 20 лет назад. поставить переход на свое тело, выполнить его, вернуть управление оригинальной программе.
нужно думать на счет безпалевности, есть какие идеи у кого?
|
| |
| |
| Anton93 | Дата: Суббота, 31.05.2014, 16:02 | Сообщение # 8 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| xXxSh@dowxXx, безпавленость внедерния в чужой exe или безпалевноть перенаправления выполнения на себя? 
ICQ: 41896
|
| |
| |
| xXxSh@dowxXx | Дата: Суббота, 31.05.2014, 17:02 | Сообщение # 9 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата Anton93 ( ) безпавленость внедерния в чужой exe или безпалевноть перенаправления выполнения на себя?
в идеале и то и другое, но если честно, то в моих прошлых тестах АВ палил только внедрение, а если еще точнее то установку хука, ну собственно ты и сам помнишь, и я так и не смог обойти этот момент, а все остальное в моем тесте АВ просто физически спалить не в силах и это + 
|
| |
| |
| Anton93 | Дата: Воскресенье, 01.06.2014, 15:16 | Сообщение # 10 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| xXxSh@dowxXx, я имел ввиду здесь не в памяти внедрение, которые мы обсуждали, а внедрение на диске в файл)) просто каспер орет что файл изменился
ICQ: 41896
|
| |
| |
| MAS | Дата: Понедельник, 09.06.2014, 15:59 | Сообщение # 11 |
Участник
Зарегистрирован: 16.08.2013
Группа: Пользователи
Сообщений: 67
Статус: Offline
| под или над {$R *.dfm} пиши {$R 'Resources\UAC_Manifest.RES'}
манифест тут
Код http://rghost.ru/download/56267033/505ecb114438de76deb9428f0d848b684e40c44e/Resources.rar
папку эту кидай возле dpr фаила, если помог +, если нет, серавно + за старание
За одну ночь нельзя изменить свою жизнь, но за одну ночь можно изменить мысли которые изменят твою жизнь. (MAS)
|
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 09.06.2014, 20:09 | Сообщение # 12 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| MAS и что дает данный манифест, обход окна UAC?
PS: еще не проверял.
|
| |
| |
| MAS | Дата: Среда, 11.06.2014, 21:28 | Сообщение # 13 |
|
Участник
Зарегистрирован: 16.08.2013
Группа: Пользователи
Сообщений: 67
Статус: Offline
| Цитата xXxSh@dowxXx ( ) дает данный манифест, обход окна UAC?
Ему вроде не обход окна нужен, он хочет осуществить UAC
За одну ночь нельзя изменить свою жизнь, но за одну ночь можно изменить мысли которые изменят твою жизнь. (MAS)
|
| |
| |
| decide | Дата: Среда, 18.06.2014, 17:14 | Сообщение # 14 |
|
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
| Цитата MAS ( ) Ему вроде не обход окна нужен, он хочет осуществить UAC
Мне обхот окна нужен
|
| |
| |
| Volf | Дата: Четверг, 19.06.2014, 09:36 | Сообщение # 15 |
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| Обходом уака врятле кто поделится.Сам давно ищу,универсальный так и не смог найти
|
| |
| |
| dolphin | Дата: Четверг, 19.06.2014, 13:30 | Сообщение # 16 |
Администратор
Сообщений: 906
Статус: Offline
| Код <?xml version="1.0" encoding="UTF-8" standalone="yes" ?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <assemblyIdentity version="1.0.0.0" processorArchitecture="*" name="UAC_Elevation_Prompt" type="win32" /> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="requireAdministrator" /> </requestedPrivileges> </security> </trustInfo> <dependency> <dependentAssembly> <assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" language="*" processorArchitecture="*" /> </dependentAssembly> </dependency> </assembly>
Собственно манифест. имхо зачем обход, обычно все тыкают разрешить на автомате уже.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| xXxSh@dowxXx | Дата: Четверг, 19.06.2014, 22:22 | Сообщение # 17 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата dolphin ( ) Собственно манифест. имхо зачем обход, обычно все тыкают разрешить на автомате уже.
я не из их числа, и я думаю таких как я то же хватает)
да и мы ведь не ищем легких путей, не так ли?
|
| |
| |
| Volf | Дата: Пятница, 20.06.2014, 10:59 | Сообщение # 18 |
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| +1
Ведь очень приятно когда твой трой запускается тихо тихо)
p.s Как давно меня тут не было)))
|
| |
| |
| xXxSh@dowxXx | Дата: Пятница, 20.06.2014, 23:03 | Сообщение # 19 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата d4rkzy ( ) Как вариант можно .exe инжектить в доверенный процесс - итог: админ права без окна.
а разве на это не требуются изначально права администратора?
да и к тому же любой нормальный АВ с адекватной эвристикой спалит инжект в процесс!
|
| |
| |
| d4rkzy | Дата: Воскресенье, 22.06.2014, 21:44 | Сообщение # 20 |
|
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
| Цитата xXxSh@dowxXx ( ) разве на это не требуются изначально права администратора?
Не нужны.
Цитата xXxSh@dowxXx ( ) да и к тому же любой нормальный АВ с адекватной эвристикой спалит инжект в процесс!
Криптование вызова + анти эмулятор = фул фуд
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 22.06.2014, 22:05 | Сообщение # 21 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата d4rkzy ( ) Криптование вызова + анти эмулятор = фул фуд
есть простые примеры, я покажу что на моем АВ это не сработает 
|
| |
| |
