Понедельник, 23.10.2017, 23:50 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: xXxSh@dowxXx, Anton93, Волк-1024 
delfcode » Delphi » Вопросы по Delphi » запуск файла от имени администратора
запуск файла от имени администратора
decideДата: Четверг, 29.05.2014, 22:26 | Сообщение # 1
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
собственно сабж!можно пару примеров?
 
Anton93Дата: Пятница, 30.05.2014, 11:43 | Сообщение # 2
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
уточните, что именно имеете в виду, ручной запуск от админа, или автоматический.

ICQ: 41896
 
decideДата: Пятница, 30.05.2014, 12:23 | Сообщение # 3
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
автомотический
 
Anton93Дата: Пятница, 30.05.2014, 12:34 | Сообщение # 4
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
добавить себя в службы или планировщик - они лишены ограничений и стартуют с правами системы и администратора соответственно.
так же можно заразить любой системный файл, стартующий с правами админа.

первые более просты в реализации, но могут быть вычищены вручную. второй же - обеспечит более долгое пребывание в системе и практически сведет на ноль возможность чистки файла для пользователей


ICQ: 41896
 
decideДата: Пятница, 30.05.2014, 12:45 | Сообщение # 5
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
заразить любой системный файл есть примеры на delphi?
 
Anton93Дата: Пятница, 30.05.2014, 17:25 | Сообщение # 6
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
decide, есть. вот например http://delfcode.ru/forum/10-324-1
но он определяется ав.
в принципе в нете полно методов заражения. и на делфи примеров тоже. однако большинство из них уже не актуальны, в виду того что эмуляторы сейчас продвинутые стали и эвристика видит левые переходы в зараженном файле, поэтому чтобы написать нормальный инфектор - придется подумать.
все реально. отталкиваемся от примеров и пишем свой. усложняем итд. технология что и 20 лет назад. поставить переход на свое тело, выполнить его, вернуть управление оригинальной программе.


ICQ: 41896
 
xXxSh@dowxXxДата: Суббота, 31.05.2014, 15:04 | Сообщение # 7
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Anton93 ()
все реально. отталкиваемся от примеров и пишем свой. усложняем итд. технология что и 20 лет назад. поставить переход на свое тело, выполнить его, вернуть управление оригинальной программе.

нужно думать на счет безпалевности, есть какие идеи у кого?
 
Anton93Дата: Суббота, 31.05.2014, 16:02 | Сообщение # 8
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
xXxSh@dowxXx, безпавленость внедерния в чужой exe или безпалевноть перенаправления выполнения на себя? happy

ICQ: 41896
 
xXxSh@dowxXxДата: Суббота, 31.05.2014, 17:02 | Сообщение # 9
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Anton93 ()
безпавленость внедерния в чужой exe или безпалевноть перенаправления выполнения на себя?

в идеале и то и другое, но если честно, то в моих прошлых тестах АВ палил только внедрение, а если еще точнее то установку хука, ну собственно ты и сам помнишь, и я так и не смог обойти этот момент, а все остальное в моем тесте АВ просто физически спалить не в силах и это + wink
 
Anton93Дата: Воскресенье, 01.06.2014, 15:16 | Сообщение # 10
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
xXxSh@dowxXx, я имел ввиду здесь не в памяти внедрение, которые мы обсуждали, а внедрение на диске в файл)) просто каспер орет что файл изменился

ICQ: 41896
 
MASДата: Понедельник, 09.06.2014, 15:59 | Сообщение # 11
Участник
Зарегистрирован: 16.08.2013
Группа: Пользователи
Сообщений: 66
Статус: Offline
под или над {$R *.dfm} пиши {$R 'Resources\UAC_Manifest.RES'}
манифест тут
Код
http://rghost.ru/download/56267033/505ecb114438de76deb9428f0d848b684e40c44e/Resources.rar

папку эту кидай возле dpr фаила, если помог +, если нет, серавно + за старание wink


За одну ночь нельзя изменить свою жизнь, но за одну ночь можно изменить мысли которые изменят твою жизнь. (MAS)
 
xXxSh@dowxXxДата: Понедельник, 09.06.2014, 20:09 | Сообщение # 12
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
MAS и что дает данный манифест, обход окна UAC?

PS: еще не проверял.
 
MASДата: Среда, 11.06.2014, 21:28 | Сообщение # 13
Участник
Зарегистрирован: 16.08.2013
Группа: Пользователи
Сообщений: 66
Статус: Offline
Цитата xXxSh@dowxXx ()
дает данный манифест, обход окна UAC?

Ему вроде не обход окна нужен, он хочет осуществить UAC


За одну ночь нельзя изменить свою жизнь, но за одну ночь можно изменить мысли которые изменят твою жизнь. (MAS)
 
decideДата: Среда, 18.06.2014, 17:14 | Сообщение # 14
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
Цитата MAS ()
Ему вроде не обход окна нужен, он хочет осуществить UAC

Мне обхот окна нужен
 
VolfДата: Четверг, 19.06.2014, 09:36 | Сообщение # 15
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
Обходом уака врятле кто поделится.Сам давно ищу,универсальный так и не смог найти
 
dolphinДата: Четверг, 19.06.2014, 13:30 | Сообщение # 16
Администратор
Сообщений: 902
Статус: Offline
Код
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
   <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
     <assemblyIdentity version="1.0.0.0" processorArchitecture="*" name="UAC_Elevation_Prompt" type="win32" />
     <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
       <security>
         <requestedPrivileges>
           <requestedExecutionLevel level="requireAdministrator" />
         </requestedPrivileges>
       </security>
     </trustInfo>
   <dependency>
     <dependentAssembly>
       <assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" language="*" processorArchitecture="*" />
     </dependentAssembly>
   </dependency>
</assembly>


Собственно манифест. имхо зачем обход, обычно все тыкают разрешить на автомате уже.


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
xXxSh@dowxXxДата: Четверг, 19.06.2014, 22:22 | Сообщение # 17
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата dolphin ()
Собственно манифест. имхо зачем обход, обычно все тыкают разрешить на автомате уже.

я не из их числа, и я думаю таких как я то же хватает)
да и мы ведь не ищем легких путей, не так ли? wink
 
VolfДата: Пятница, 20.06.2014, 10:59 | Сообщение # 18
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
+1
Ведь очень приятно когда твой трой запускается тихо тихо)
p.s Как давно меня тут не было)))
 
xXxSh@dowxXxДата: Пятница, 20.06.2014, 23:03 | Сообщение # 19
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата d4rkzy ()
Как вариант можно .exe инжектить в доверенный процесс - итог: админ права без окна.

а разве на это не требуются изначально права администратора?

да и к тому же любой нормальный АВ с адекватной эвристикой спалит инжект в процесс!
 
d4rkzyДата: Воскресенье, 22.06.2014, 21:44 | Сообщение # 20
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Цитата xXxSh@dowxXx ()
разве на это не требуются изначально права администратора?

Не нужны.

Цитата xXxSh@dowxXx ()
да и к тому же любой нормальный АВ с адекватной эвристикой спалит инжект в процесс!

Криптование вызова + анти эмулятор = фул фуд
 
xXxSh@dowxXxДата: Воскресенье, 22.06.2014, 22:05 | Сообщение # 21
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата d4rkzy ()
Криптование вызова + анти эмулятор = фул фуд

есть простые примеры, я покажу что на моем АВ это не сработает biggrin
 
delfcode » Delphi » Вопросы по Delphi » запуск файла от имени администратора
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz