Понедельник, 23.10.2017, 22:08 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Автозагрузка #моя идея# (Автозагрузка)
Автозагрузка #моя идея#
link993Дата: Четверг, 14.07.2011, 16:59 | Сообщение # 1
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Появилась идея сделать добавление в реестр беспалевным. Расскажу коротко.

Наша программа создает батник и запускает его. В том батнике лежит вредоносный код, который добавляет нашу программу в автозагрузку. После злодеяний батника наша программа его удаляет и радуется новому местечку в реестре. Заодно уберем модуль. Если это на вин апи сделать то вообще хорошо.

Ваши мнения пжл...
 
C@TДата: Четверг, 14.07.2011, 17:14 | Сообщение # 2
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
ну во первых, не ты первый кто до этого додумался,
а во вторых, батник тоже могут спалить антивирусы smile


 
gravitasДата: Четверг, 14.07.2011, 17:41 | Сообщение # 3
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Давно пробовал - палится сильно sad

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
AndroidДата: Пятница, 03.02.2012, 12:22 | Сообщение # 4
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
а если попробовать от имени SYSTEM запустить батник? Тоже запалится анвирами???
 
dolphinДата: Пятница, 03.02.2012, 20:01 | Сообщение # 5
Администратор
Сообщений: 902
Статус: Offline
Android, и как же ты это сделаешь?

Если честно тема под снос тянет


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
AndroidДата: Пятница, 03.02.2012, 22:09 | Сообщение # 6
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
в одном из номеров описывалась методика запуска cmd от имени system. Я так понимаю, что потом можно любой процесс запустить от системы. пороюсь в архиве.. Выложу
 
VolfДата: Пятница, 12.04.2013, 13:55 | Сообщение # 7
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
запуск cmd сам по себе паливность. юзайте использовать reg файлики.А вообще я сторонник апи
 
SlashДата: Пятница, 12.04.2013, 17:31 | Сообщение # 8
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Пробовал,Касперский палит.
 
VolfДата: Пятница, 12.04.2013, 19:42 | Сообщение # 9
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
что именно палит?на апи или на reg файлах
 
ms301Дата: Пятница, 12.04.2013, 20:00 | Сообщение # 10
Участник
Зарегистрирован: 28.11.2012
Группа: Пользователи
Сообщений: 98
Статус: Offline
anvir все будет детектить biggrin
 
xXxSh@dowxXxДата: Пятница, 12.04.2013, 20:20 | Сообщение # 11
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата (Volf)
что именно палит?на апи или на reg файлах

на чистом api, в зависимости от ситуации, я думаю можно обойти эвристику, конечно придется постараться, но все таки можно.
 
VolfДата: Суббота, 13.04.2013, 12:23 | Сообщение # 12
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
На чистом апи покажу как снимать палево когда доросту до привата.тут не хочу палить свои разработки нескольких месяцев))

Сообщение отредактировал Volf - Воскресенье, 14.04.2013, 20:33
 
VBДата: Вторник, 29.04.2014, 16:05 | Сообщение # 13
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
по-моему лучше использовать маскировку программы под системную, а автозагрузке добавлять на нее ярлык для запуска. При этом никак не касаяюсь реестра, чтобы антивирь не палил.
 
xXxSh@dowxXxДата: Вторник, 29.04.2014, 17:40 | Сообщение # 14
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата VB ()
по-моему лучше использовать маскировку программы под системную, а автозагрузке добавлять на нее ярлык для запуска. При этом никак не касаяюсь реестра, чтобы антивирь не палил.

через ярлык то же палится!
 
VBДата: Воскресенье, 04.05.2014, 13:01 | Сообщение # 15
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
Цитата xXxSh@dowxXx ()
через ярлык то же палится!

Вы имеет ввиду ярлык палится внешне или антивирус палит ярлык по принципу того, что его там не должно быть?
 
xXxSh@dowxXxДата: Воскресенье, 04.05.2014, 13:49 | Сообщение # 16
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
АВ палит когда пытаешься добавить что то в автозагрузку левое, не важно будь то ярлык или новое расширение, или еще что то в области контролируемые АВ, то есть следовательно просто так в обход АВ очень сложно добавить даже путь на ярлык в автозагрузку, если у Вас есть способ как это сделать беспалевно, тогда другое дело.
 
VBДата: Вторник, 06.05.2014, 08:17 | Сообщение # 17
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
Видимо значит способ есть, пока на ярлык у меня ни разу не ругался, на сам файл да, но на ярлык нет
 
xXxSh@dowxXxДата: Вторник, 06.05.2014, 11:30 | Сообщение # 18
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата VB ()
пока на ярлык у меня ни разу не ругался, на сам файл да, но на ярлык нет

да нет, видимо Вы не совсем меня поняли, детект по средствам Эвристического анализа происходит в момент когда Вы запускаете код, который автоматически прописывает Ваш ярлык в реестре или в других местах автозагрузки, в папках например, в этот момент сама программа которая намерена добавить что то в автозагрузку блокируется.

В Вашем же случае может и не блокироваться потому что АВ установлен в с дефолтными настройками, в моем же случае настройки не дефолтные, а повышенные!

ну а если Вы вручную добавляете ярлык в автозагрузку то конечно ругаться никто не будет, но ведь на удаленном компе Вы не будете ручками ярлычки в автозапуск добавлять верно?!
 
VBДата: Вторник, 06.05.2014, 14:53 | Сообщение # 19
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
Цитата xXxSh@dowxXx ()
да нет, видимо Вы не совсем меня поняли, детект по средствам Эвристического анализа происходит в момент когда Вы запускаете код, который автоматически прописывает Ваш ярлык в реестре или в других местах автозагрузки, в папках например, в этот момент сама программа которая намерена добавить что то в автозагрузку блокируется.

теперь понял Вас на 100%, нужно мне теперь проверить выполнение создания ярлыков, давно не проверял, теперь проверю и на повышенном уровне тоже, почему-то всегда исключал такой вариант, типа юзеры ставят настройки по умолчанию и т.п. У меня если честно сейчас другая проблема, с самим вирусом...
 
delfcode » Delphi » Вирусология Delphi » Автозагрузка #моя идея# (Автозагрузка)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz