| Вопрос: Рекните плиз. | Добавлено: 25.05.08 06:10 |
Автор вопроса:  Smith | Web-сайт: Не хочу ломать голову, если её уже сломал кто-то другой. | ICQ: ненавижу |
|
Речь идёт не о вирусе, сам повесил бы вирусописателя.
Прога киллер инфы нежелательного контента. Задача: замаскировать киллера в ХР так, чтоб опытнейший юзер не нашел. Моя идея: Камуфляж под монитор раскладки. Автозапуск гарантирован, но есть и недостатки. Бъанальная защита файлов, и как с настоящим монитором быть? Дописать в хвост киллера или держать где-то под другим именем? У кого какие будут рекомендации, соображения или может кто-то уже придумал метод поизощреннее, любезнейше прошу плиз вэлком коммин зи битте |
| Ответы | Всего ответов: 18 |
|
Номер ответа: 1 Автор ответа:    Администратор ICQ: 278109632 Вопросов: 42 Ответов: 3949 |
Web-сайт: Профиль | | #1 | Добавлено: 25.05.08 12:04 |
| Дописать в хвост не так просто... Надо писать адреснонезависимый код, добавлять секцию... Когда ты попытаешься дописать свою прогу в авторан, проактивка каспера тут же начне орать, учти. Тут все не так уж просто, на самом деле. Если хочешь подробнее - в аську. | ||
|
Номер ответа: 2 Автор ответа: Wolf4D Вопросов: 20 Ответов: 131 |
Web-сайт: Профиль | | #2 | Добавлено: 25.05.08 15:36 |
|
Запустить как службу; или замаскировать под какой-нибудь ctfmon (убив оригинал, возможно).
Или поставить какую-нибудь защиту на убивание процесса - типа как у Касперского; или написать резидента, который бы смотрел, запущен ли процесс - и в случае его остановки запускал опять. В последнем случае можно сделать двоих резидентов, ещё и запускающих друг друга в случае остановки одного из них... Убить обоих получится невероятно сложно 
|
||
|
Номер ответа: 3 Автор ответа: D o c a l ICQ: 408802757 Вопросов: 76 Ответов: 985 |
Web-сайт: Профиль | | #3 | Добавлено: 25.05.08 16:22 |
| Защиту файлов винды обойти очень просто в систем 32 есть папочка где сохраняютса оригиналы.В случае подмины имено отсюда берутса файлы для восТановления.Выход менять 2 файла сразу. | ||
|
Номер ответа: 4 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #4 | Добавлено: 25.05.08 19:30 |
|
>Палач
Я топором рублю код
после компилации copy /y /b %AppName% + Orig_ctfmon.exe ..\%AppName%, а программа копирует часть своего тела в новый файл. Знаю, что добавлять в реестр это битая тема, поэтому и задумался о захвате монитора. И что всё непросто тоже знаю, поэтому и создал топик.
Ну ради такого дела поставлю таки эту пАСЬКУду. >  ocal
Уже пробовал dllcache оседлать. Это у вас в ломаных осях такие трюки на ура проходят У меня замена обоих файлов как и положено вызывает сообщение системы защиты файлов "Вставьте диск ХР". Я уже и либу менял, чёт не помогает.
>Wolf4D Не плагиать
Моя идея: Камуфляж под монитор раскладки
нельзя его просто убить и забыть, иначе как раскладку переключать? Страховка процессами друг друга, об этом я ещё не подумал, спасибо! В дополнение к вопросу: Скрывать процесс и задачу я умею, пользуюсь модулем от sne, вопрос не в этом. За критику не обессудьте, истина рождается в споре. Мне нужны Ваши советы, спасибо за участие. |
||
|
Номер ответа: 5 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #5 | Добавлено: 25.05.08 20:12 |
|
>Wolf4D
Основная задача не втом как защититься, а в том как не спалиться 
|
||
|
Номер ответа: 6 Автор ответа: Wolf4DВопросов: 20 Ответов: 131 |
Web-сайт: Профиль | | #6 | Добавлено: 25.05.08 22:35 |
|
2 Smith:
Хороший плагиат - подсказываю тебе твоё же решение с объяснениями
Раскладку переключать, раз пошла такая пьянка, может тот же самый резидент, отлавливая определённые комбинации клавиш. Вообще, у среднестатистического опытного пользователя стооооолько различных процессов... Если появится ещё один, названный, к примеру, "Служба контроля распределения памяти Microsoft Framework" (четвёртый же пришедший в голову бред) - я думаю, пользователь немного испугается его удалять - вроде как и появился из ниоткуда, никто о нём не знает... А название внушает - вдруг удалишь, а вылетит всё-таки Framework
P.S. Такой способ защиты ещё придумал - убийство процесса приводит к неработоспособности какой-либо программы. Вроде как через него запускаются некоторые другие нужные вещи в автозагрузке. А нет его - и оно само не стартует... |
||
|
Номер ответа: 7 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #7 | Добавлено: 25.05.08 23:13 |
|
Не плагиать
знаеш что обозначает этот значок? Разумеется в пределах этого топика, первым эту идею описал я, в вопросе. Вернемся к вопросу. Задача: замаскировать киллера в ХР так, чтоб опытнейший юзер не нашел.
Не уточнил, моя ошибка, исправляю. В моём понятии опытнейший пользователь тот, кто знает какие процессы в его винде за что отвечают. |
||
|
Номер ответа: 8 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #8 | Добавлено: 25.05.08 23:19 |
|
Я понял что ты предложил описание моей же мысли и пошутил на счет плагиата.
Самозащита не главная цель. Вопрос как замаскироваться на практике оборачивается решением нескольких задач. Ты описал решения для задачи самозащиты процесса. |
||
|
Номер ответа: 9 Автор ответа: Wolf4DВопросов: 20 Ответов: 131 |
Web-сайт: Профиль | | #9 | Добавлено: 25.05.08 23:23 |
|
В моём понятии опытнейший пользователь тот, кто знает какие процессы в его винде за что отвечают.
Ну, со справочником, Starter'ом и какой-то там матерью опытный пользователь способен различить нужные процессы. Вопрос как замаскироваться на практике оборачивается решением нескольких задач.
Но - вспомните о социальной инженерии - опытнейший пользователь поостережётся убивать процесс с внушительным и пугающим именем (особенно если имя это совершенно неизвестно - типа "Контроллер структуры исполнения приложений Visual C++" - я считаю себя достаточно опытным пользователем, так как могу админить небольшой такой парк машин - но этот процесс я убивать поостерегусь - больно серьёзно назван!
|
||
|
Номер ответа: 10 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #10 | Добавлено: 25.05.08 23:58 |
|
Вульф я тоже знаком с психологией, немного с философией и лучше всех знаком с местным менталитетом. И работаем мы в самых разных местах.
Мы опять спорим о разном. Мой процесс вообще не виден в диспетчере задач, ни в списке задач, ни в списке процессов. Маскировка под монитор мне нужна больше для автозапуска. Теперь начнем с начала. 1. Киллер впервые запускается (с админкой) 2. Килит процесс монитора. 3. Удаляет его копию из dllcache (чтоб не восстановился автоматом). 4. Переименовывает его. 5. Копирует себя в сис32 и в dllcache под именем монитора, одновременно прикрепляя к своей копии переименованное тело (чтоб потом запускать его на радость юзеру). В этот момент в игру вступает система защиты файлов “sfc”. Это и есть палево. Неужели отлов окна sfc это единственный путь? Это фактически самая суть вопроса. |
||
|
Номер ответа: 11 Автор ответа: БоцманICQ: 295725312 Вопросов: 53 Ответов: 830 |
Web-сайт: Профиль | | #11 | Добавлено: 25.05.08 23:59 |
|
Ну, со справочником, Starter'ом и какой-то там матерью опытный пользователь способен различить нужные процессы. К опытным себя не отношу, но 17 процесов ХР помню остальнык при подоздрении убаваю без страха, по принцыпу я порадил я и убъю(из старого анекдота, чем я тебя породил тем и убъю) Вылезет косяк тогда и разберусь. Тут кто то на форуме посоветовал PROWiSe Manager лично мне понравилось, и стартер не надо. Что напрягает разное количество svchost_ов, может под этим имени и расположить, я бы лично грохать не стал бы.
|
||
|
Номер ответа: 12 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #12 | Добавлено: 26.05.08 00:01 |
|
Если взглянуть на главный вопрос с другой стороны, то он звучит иначе.
Как винда отличает СВОИ файлы от НЕСВОИХ? и следовательно Как оперативно замаскироваться под СВОЙ файл. |
||
|
Номер ответа: 13 Автор ответа: БоцманICQ: 295725312 Вопросов: 53 Ответов: 830 |
Web-сайт: Профиль | | #13 | Добавлено: 26.05.08 00:02 |
| Вау писали вместе, если не виден, то тогда ответ снимается. | ||
|
Номер ответа: 14 Автор ответа: SmithICQ: ненавижу Вопросов: 28 Ответов: 317 |
Web-сайт: Профиль | | #14 | Добавлено: 26.05.08 00:05 |
|
Отчегоже? Ответ в тему, как яркий пример действий опытнейшего пользователя винды
|
||
|
Номер ответа: 15 Автор ответа: D o c a l ICQ: 408802757 Вопросов: 76 Ответов: 985 |
Web-сайт: Профиль | | #15 | Добавлено: 26.05.08 00:33 |
| А зачем вообще что то менять если твой процес не виден? | ||