Четверг, 20.07.2017, 21:32 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 41234»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Добавление в автозагрузку (Work on Windows 7!)
Добавление в автозагрузку
gravitasДата: Понедельник, 23.01.2012, 20:41 | Сообщение # 1
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Нашел способ добавления в авторан, работающий даже на семерке и даже если софт запущен не от имени админа.


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
jaygenДата: Понедельник, 23.01.2012, 23:46 | Сообщение # 2
Был не раз
Зарегистрирован: 19.01.2012
Группа: Пользователи
Сообщений: 11
Статус: Offline
Вот другой способ тоже работает на семерке
Code
var reg: tregistry;
begin
if chk1.Checked=True then
begin
reg := tregistry.create;
reg.rootkey := HKEY_CURRENT_USER ;
reg.lazywrite := false;
reg.openkey('software\microsoft\windows\currentversion\run', false);
reg.writestring(Application.Title, application.exename);
reg.closekey;
reg.free;
end


Сообщение отредактировал jaygen - Понедельник, 23.01.2012, 23:46
 
AndroidДата: Четверг, 26.01.2012, 14:00 | Сообщение # 3
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
а можно словесное описание того, что происходит в коде. А то мне вообще не понятно куда там копируется в итоге прога... Помогите разобраться...
 
dolphinДата: Пятница, 27.01.2012, 14:16 | Сообщение # 4
Администратор
Сообщений: 902
Статус: Offline
Кстати, забыли библиотечку освободить, чтоб уж совсем красивый код был.

Замечу что таким образом можно запустить любой файл, пробовал даже ави открывает и при входе начинает фильм проигрываться happy


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
gravitasДата: Пятница, 27.01.2012, 17:34 | Сообщение # 5
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Quote (dolphin)
Кстати, забыли библиотечку освободить, чтоб уж совсем красивый код был.

Хотел число переменных к минимуму свести)
Quote (dolphin)
Замечу что таким образом можно запустить любой файл, пробовал даже ави открывает и при входе начинает фильм проигрываться

Потому что запускается так:
explorer [filename]
Так можно и в реестре сделать)


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
AndroidДата: Суббота, 11.02.2012, 23:54 | Сообщение # 6
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Нашел вот такое описание всевозможных значений параметров


ну хоть кто-нить меня плюсаните))))
 
AndroidДата: Воскресенье, 12.02.2012, 00:55 | Сообщение # 7
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Товарищи, а что если попробовать вклиниться в какой-нить легально автозапускающийся файл и чуть его модифицировать, чтоб он запускал троя??? Можно ли вообще изменить уже запущенный экзешник??? Где-то на wasm.ru видел как читать из занятого системой файла, а вот как записать и что именно... Вот это интересней... Давайте подумаем на эту тему вместе.
 
Волк-1024Дата: Воскресенье, 12.02.2012, 11:46 | Сообщение # 8
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
Можно ли вообще изменить уже запущенный экзешник???
Изменить можно только его память. И после того, как он закроется все изменения пропадут. Проще будет пропатчить в exe шнике что-нить чтоб запускал троян.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Воскресенье, 12.02.2012, 11:47
 
AndroidДата: Воскресенье, 12.02.2012, 20:19 | Сообщение # 9
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
ну я собственно это и имел ввиду. как же это сделать?
 
sk0rpi0nДата: Вторник, 27.03.2012, 09:18 | Сообщение # 10
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
Quote
Нашел способ добавления в авторан, работающий даже на семерке и даже если софт запущен не от имени админа.

Можно узнать, куда добавляется? А то я не особо понял... wacko


C++ - попса :D
 
dolphinДата: Вторник, 27.03.2012, 09:31 | Сообщение # 11
Администратор
Сообщений: 902
Статус: Offline
sk0rpi0n, C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка
обычно этот путь такой


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
sk0rpi0nДата: Вторник, 27.03.2012, 10:40 | Сообщение # 12
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
Попробовал - способ жестоко палится антивирусами... biggrin

C++ - попса :D
 
xXxSh@dowxXxДата: Вторник, 27.03.2012, 23:17 | Сообщение # 13
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
ну например можно поискать некоторые другие способы решения тех же задач но уже с использованием каких либо функций напрямую, я же например решил проблему добавления нового юзера через API функции, теперь антивири не реагируют, попробуй поискать, те что не проверяются антивирусным софтом, думаю можно что то найти...
 
Don_DiegoДата: Понедельник, 16.04.2012, 05:14 | Сообщение # 14
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Зарегистрировался чтобы только просмотреть этот код smile
К сожалению он будет обнаруживаться многими антивирусами, т.к. исходной файл совпадает с копируемым байт в байт, антивирусы тут же это обрубают. Так что функция CopyFile тут слишком устаревшая.
На данный момент проактивная защита антивирусов очень мощная, и обойти ее крайне сложно. Но было бы очень интересно увидеть новые варианты внедрений в автозагрузку. Например если кто помнит в Windows 98/ME в файле win.ini вверху была строчка Run=
Вот что пропишешь после этой строчки - то и запустится.
 
dolphinДата: Понедельник, 16.04.2012, 12:06 | Сообщение # 15
Администратор
Сообщений: 902
Статус: Offline
Цитата (Don_Diego)
К сожалению он будет обнаруживаться многими антивирусами, т.к. исходной файл совпадает с копируемым байт в байт, антивирусы тут же это обрубают. Так что функция CopyFile тут слишком устаревшая.


Можно написать свою, когда то так и делал

Доступно только для пользователей
Можно немного модифицировать чтобы антивирусы не обращали внимания
 
XSPYДата: Понедельник, 16.04.2012, 14:42 | Сообщение # 16
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
я кодил лоадер,нашел кучу мест,куда не палят многие антвири...
З.Ы:808-й день ёпта! yahoo
 
Don_DiegoДата: Понедельник, 16.04.2012, 15:37 | Сообщение # 17
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Quote (dolphin)
Можно написать свою, когда то так и делал в червях

Способ конечно хорош, но если честно он по функциональности ничем не отличается от CopyFile. Хотя действительно, он более гибкий в настройках, но его нужно немного модифицировать, например дописать вконец файла какие-то строки, функциональность ведь не изменится, а размер - да happy

Ведь проактивная защита смотрит не по сигнатурам что у нас написано: CopyFile или C (в данном случае), а смотрит на действия нашей программы. Вообще была у меня идея замаскировать по функциональности под обычную программу, но к сожалению до конца ее так и не довел...
 
xXxSh@dowxXxДата: Воскресенье, 22.04.2012, 19:55 | Сообщение # 18
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
опять же можно попробовать воспользоваться не базовыми функциями а более обширными, которые используют в написании нового софта, ведь на них антивири не ругаются, типа API функций или ими подобных..,к сожалению я не вкуррррсе какие именно, но думаю антивири успокоются, а так да, идея хорошая wink

Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 22.04.2012, 19:56
 
Волк-1024Дата: Понедельник, 23.04.2012, 22:53 | Сообщение # 19
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Одно дело обмануть сигнатурный сканер и эвристеку, а другое дело эмулятор. Ему по барабану как заменить функцию. Факт копирование он установит. И он будет учтён...
 
xXxSh@dowxXxДата: Понедельник, 23.04.2012, 23:16 | Сообщение # 20
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Но ведь на сегодняшний день не все способы копирования палит евристика, более сложные методы они просто не берут в расчет, разве не так?
по крайней мере мне как то попадался софт который использовал (возможно даже свой собственный) методы копирования не палящиеся антивирями..,тут опять же зависит от того как намудрить с кодом, я имею ввиду не с точки зрения мусора а с точки зрения методов и функционала...

капец много слов, мало дела, пошел кодить дальше biggrin
готовый код обещаю выложить wink
 
DarkPonyДата: Понедельник, 23.04.2012, 23:51 | Сообщение # 21
Частый гость
Зарегистрирован: 05.04.2012
Группа: Пользователи
Сообщений: 25
Статус: Offline
Добавление в автозагрузку:

Доступно только для пользователей
Работает и на 7, и на XP.


Сообщение отредактировал dolphin - Воскресенье, 25.11.2012, 22:10
 
xXxSh@dowxXxДата: Вторник, 24.04.2012, 08:33 | Сообщение # 22
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Dark выше этот код уже обсуждали,опять же не все так просто...
 
DarkPonyДата: Вторник, 24.04.2012, 15:28 | Сообщение # 23
Частый гость
Зарегистрирован: 05.04.2012
Группа: Пользователи
Сообщений: 25
Статус: Offline
xXxSh@dowxXx, Ваши идеи?
 
Волк-1024Дата: Вторник, 24.04.2012, 17:27 | Сообщение # 24
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Можно кагбе еще всё это сделать на апи:

Code
function RegAdd(Root: HKEY; KeyPath: PChar; Key_Type: cardinal; KeyName, Value: PChar): Boolean;
var
     Key: HKEY;
begin
     RegAdd:=false;
     if RegOpenKeyEx(Root, KeyPath, 0, $0004 or $0002, Key)=0 then
     begin
        if RegSetValueEx(Key, KeyName, 0, Key_Type, Value,
        lstrlen(PChar(Value))+Length(Value))>0 then
        Result:=true;
        RegCloseKey(Key);
     end;
end;

function RegGetValue(RKey: HKey; Key, N: PChar; var Res: string): integer;
var
     HK: HKey;
     DT, DS: DWORD;
begin
     Result:=0;
     if RegOpenKeyEx(RKey, Key, 0, $0001, HK)<>0 then exit;
     if (RegQueryValueEx(HK, N, nil, @DT, nil, @DS)<>0)or(DT<>1) then
     begin
        RegCloseKey(HK);
        Exit;
     end;
     SetString(RES, nil, (DS-1));
     RegQueryValueEx(HK, N, nil, @DT, (PByte(@RES[1])), @DS);
     RegCloseKey(HK);
     Result:=(length(RES));
end;

function RegDel(Root: HKEY; Key: PChar): Boolean;
begin
     RegDel:=false;
       if RegDeleteKey(Root, Key)>0 then   
           Result:=true;
end;


P.S Выдрал из своего проекта.


Сообщение отредактировал Волк-1024 - Вторник, 24.04.2012, 17:28
 
Marra_KeshДата: Вторник, 24.04.2012, 20:32 | Сообщение # 25
Постоянный
Зарегистрирован: 19.12.2009
Группа: Модераторы
Сообщений: 182
Статус: Offline
Я конечно прошу прощения, что прерываю Вашу беседу, НО есть такие программы типа: Uninstall Tool, CCleaner, etc, есть в конце концов "msconfig" и во всех этих программах есть вкладки "Автозагрузка"! Ваши решения помогают скрыть эту информацию или где?
 
delfcode » Delphi » Вирусология Delphi » Добавление в автозагрузку (Work on Windows 7!)
Страница 1 из 41234»
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz