Среда, 26.07.2017, 01:46 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Запрет удаления или изменения ветки реестра. (Перехват RegDeleteValueW и RegSetValueExW.)
Запрет удаления или изменения ветки реестра.
NeoДата: Четверг, 19.04.2012, 19:58 | Сообщение # 1
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Пример перехвата API функций с целью запрета удаления или изменения ключей реестра.
В данном случае контролируются следующие ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Troyan
и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1.
А точнее,все те ключи,которые в названии имеют строку "1" или "Troyan" biggrin
Доступно только для пользователей
NEO ©
 
Don_DiegoДата: Пятница, 20.04.2012, 00:02 | Сообщение # 2
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Вот никак не могу придумать где это применить в вирусе? wacko
Это скорей для антивируса полезно )) И есть вопрос по теме: есть ли способ обхитрить KIS в реестре? Что не пишешь туда - он сразу определяет как троян. Без записей в реестр и самокопирования - все нормально, но тогда не сработает автозагрузка.
 
Волк-1024Дата: Пятница, 20.04.2012, 00:17 | Сообщение # 3
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
Вот никак не могу придумать где это применить в вирусе?
А как же защита ключа автозапуска троя?

А без либы ни как не получится? Ибо таскать в теле либу - не катит...


Сообщение отредактировал Волк-1024 - Пятница, 20.04.2012, 00:45
 
Don_DiegoДата: Пятница, 20.04.2012, 14:59 | Сообщение # 4
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Quote (Волк-1024)
А как же защита ключа автозапуска троя?

Это понятно, вот только как вначале записаться в реестр? Вот в чем вопрос. И вопрос именно по KIS, другие антивирусы как-то удается обхитрить, этот же контролирует половину реестра.
 
xXxSh@dowxXxДата: Понедельник, 23.04.2012, 19:04 | Сообщение # 5
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Ура! biggrin Огромное спасибо Neo за решение проблемы, только смысл было создавать еще одну тему если вопрос уже поднимался здесь
http://delfcode.ru/forum/29-694-1
но все же огромное спасибо за вариант решения) с меня + wink
 
okeДата: Воскресенье, 13.05.2012, 17:35 | Сообщение # 6
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
а можно ли поменять ключи допустим на HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Explorer\Shell
 
xXxSh@dowxXxДата: Понедельник, 14.05.2012, 02:42 | Сообщение # 7
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Ну конечно,а почему нет?
 
okeДата: Четверг, 17.05.2012, 20:45 | Сообщение # 8
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
да я уже разобрался)
 
okeДата: Четверг, 17.05.2012, 20:47 | Сообщение # 9
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
кстати отличный рукит получился)
 
xXxSh@dowxXxДата: Четверг, 17.05.2012, 21:28 | Сообщение # 10
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
oke ты хотел сказать руткит?, а при чем тут блокировка ключа, если я не ошибаюсь в хороших руткитах используется драйвер и все его ключи реестра так же как и файлы скрываются в системе, разве нет?

Сообщение отредактировал xXxSh@dowxXx - Четверг, 17.05.2012, 21:29
 
NeoДата: Пятница, 18.05.2012, 08:24 | Сообщение # 11
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
У кого есть соображения что надо перехватывать,чтобы скрыть ветку реестра?
 
xXxSh@dowxXxДата: Пятница, 18.05.2012, 09:49 | Сообщение # 12
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Neo сам как раз задавался таким вопросом, только вот если я не ошибаюсь, для того что бы скрыть а не заблокировать как у тебя методом перехвата, по моему нужно драйвер писать...
 
NeoДата: Пятница, 18.05.2012, 10:15 | Сообщение # 13
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Драйвер нужен,если организовывать перехват на ring0.На 3 кольце тоже можно,но этот перехват можно будет тогда снять.
 
XSPYДата: Пятница, 18.05.2012, 21:04 | Сообщение # 14
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Neo, можно контроллить через реестр сам реестр (теоретически знаю точно можно,а вот практически недокодил до конца на Сях)...
 
NeoДата: Суббота, 26.05.2012, 16:21 | Сообщение # 15
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Доступно только для пользователей

Сообщение отредактировал Neo - Суббота, 26.05.2012, 16:24
 
xXxSh@dowxXxДата: Суббота, 26.05.2012, 17:51 | Сообщение # 16
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Огромная благодарность Neo за помощь в перехвате различных API функций!!! smile

PS: В ближайшем будущем нас ждет фатальный перевод кода на x64, постепенно уже начали переписывать множество программ когда то написанных под x86, но увы в связи с бурным ростом пользователей с новой архитектурой нужно приступать уже сейчас, по возможности хотел бы попросить многих, если выкладывается исходный код под x86, то давайте общими усилиями будем добавлять темы таким же кодом, но уже под x64, это по желанию и вашим возможностям, кто владеет навыками написания кода под x64, и даже те кто не владеют таковыми, для общего развития, думаю многим будет интересно...

Это было отступление от темы, заранее приношу свои извинения! smile


Сообщение отредактировал xXxSh@dowxXx - Суббота, 26.05.2012, 18:00
 
delfcode » Delphi » Вирусология Delphi » Запрет удаления или изменения ветки реестра. (Перехват RegDeleteValueW и RegSetValueExW.)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz