Пятница, 15.12.2017, 18:55 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Безопасный режим (SafeBoot)
Безопасный режим (SafeBoot)
HTTqpДата: Пятница, 24.10.2014, 16:12 | Сообщение # 1
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
Всем привет =)
Предлагаю поднять извечную проблему вирусологии. Это отключение\запрет зайти в Безопасный режим (SafeBoot). Так как в XP было сделать легко, для этого требовалось всего лишь удалить или переименовать ветвь [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] и все, но время то идет и на смену пришла Win 7/8 и там нельзя просто так удалить ветвь. Предварительно надо сменить разрешение в реестре. Предлогаю объедениться и решить проблему, как отключить Безопасный режим (SafeBoot). Жду ваши идеи, по мере буду тоже отписываться если что то буду находить.
 
xXxSh@dowxXxДата: Пятница, 24.10.2014, 16:56 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
А разве под правами Администратора у тебя не меняются разрешения ?
 
HTTqpДата: Суббота, 25.10.2014, 17:40 | Сообщение # 3
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
Цитата xXxSh@dowxXx ()
А разве под правами Администратора у тебя не меняются разрешения ?

Нет увы, запуская программу программу под именем Администратора я не могу ни чего делать с данной веткой, тем более удалить. Да и просто если зайти в реестр он и попробывать удалить\переименовать SafeBoot выдает следующее
Прикрепления: 8155195.png(69Kb)


Сообщение отредактировал HTTqp - Суббота, 25.10.2014, 17:41
 
Anton93Дата: Воскресенье, 26.10.2014, 15:08 | Сообщение # 4
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
HTTqp, на счет первого поста. сразу что пришло в голову, без удаления ветки, это заразить любой участвующий в загрузке системный файл. определяем если загрузка идет в безопасном режиме, обрушиваем загрузку.

ICQ: 41896
 
HTTqpДата: Воскресенье, 26.10.2014, 16:00 | Сообщение # 5
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
Anton93, я так понял речь пойдет об инжекте кода в процесс, верно? а как тогда лучше сделать загрузить сам виру и запустить уже в безопасном режиме или можно пояснение ваше мысли. В более развернутом виде. Как именно можно обрушить?

Сообщение отредактировал HTTqp - Воскресенье, 26.10.2014, 16:01
 
Anton93Дата: Понедельник, 27.10.2014, 19:20 | Сообщение # 6
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
HTTqp,

Цитата
речь пойдет об инжекте кода в процесс, верно?


нет. имелось ввиду прямое заражение любого системного файла, участвующего в загрузке, чтобы обеспечить себе стабильный автозапуск из любого режима

Цитата
Как именно можно обрушить?


да банально вызвать bsod, пример рабочий тут есть, недавно выкладывали, что даже в user-mode работает. или банально послать команду на перезагрузку. ну тут уже чисто фантазия


ICQ: 41896
 
HTTqpДата: Пятница, 07.11.2014, 02:09 | Сообщение # 7
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
прошу прощения а что подрузумевается под заражение любого системного файла, в чем отличие от инжекта? и как лучше это тогда сделать? Моя программа и так запускается от имени администратора так что с вызовом bsod врятли проблемы будут)))
 
Anton93Дата: Суббота, 08.11.2014, 12:18 | Сообщение # 8
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Цитата
прошу прощения а что подрузумевается под заражение любого системного файла


я писал уже сверху, сформулирую по-другому, файл, без которого загрузка не возможна, который обязательно вызовется при загрузке ОС, например userinit.exe, winlogon.exe, explorer.exe

Цитата
в чем отличие от инжекта?


в том, что инжект это внедрение в процесс в памяти, я же имел ввиду заражение на диске, т.е. запись кода прямо в файл, а не в память


ICQ: 41896
 
HTTqpДата: Воскресенье, 09.11.2014, 23:32 | Сообщение # 9
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
Anton93, а примерчик не подкинете?)
 
Anton93Дата: Понедельник, 10.11.2014, 16:22 | Сообщение # 10
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
HTTqp, на делфи очень мало открытых исходников для заражения EXE файла, даже не знаю что предложить, на си быстрее найдете, заражать лучше техникой EPO (entry point obfuscation).
если имеете представление о структуре EXE файла, то можно и на делфи свое написать smile


ICQ: 41896
 
vintДата: Вторник, 02.06.2015, 01:52 | Сообщение # 11
Новичок
Зарегистрирован: 02.06.2015
Группа: Пользователи
Сообщений: 4
Статус: Offline
Код
uses Registry;
...
var reg: TRegistry;
...
procedure BezopasOff;
begin
   reg:= TRegistry.Create;
   reg.RootKey := HKEY_LOCAL_MACHINE;
   reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\minimal','System\CurrentControlSet\Control\SafeBoot\M',true);
   reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true);
   reg.free;
end;

procedure BezopasOn;
begin
   reg:= TRegistry.Create;
   reg.RootKey := HKEY_LOCAL_MACHINE;
   reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\M','System\CurrentControlSet\Control\SafeBoot\minimal',true);
   reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\N','System\CurrentControlSet\Control\SafeBoot\NetWork',true);
   reg.free;
end;
 
HTTqpДата: Четверг, 04.06.2015, 19:45 | Сообщение # 12
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
Цитата vint ()
uses Registry; ... var reg: TRegistry; ... procedure BezopasOff; begin reg:= TRegistry.Create; reg.RootKey := HKEY_LOCAL_MACHINE; reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\minimal','System\CurrentControlSet\Control\SafeBoot\M',true); reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true); reg.free; end; procedure BezopasOn; begin reg:= TRegistry.Create; reg.RootKey := HKEY_LOCAL_MACHINE; reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\M','System\CurrentControlSet\Control\SafeBoot\minimal',true); reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\N','System\CurrentControlSet\Control\SafeBoot\NetWork',true); reg.free; end;


Прежде чем постить подобное, тести у себя! это метод работает максимум на XP
 
delfcode » Delphi » Вирусология Delphi » Безопасный режим (SafeBoot)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz