|
Автозагрузка #моя идея#
|
|
link993
|
Дата: Четверг, 14.07.2011, 16:59 | Сообщение # 1
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 94
Статус: Offline
|
Появилась идея сделать добавление в реестр беспалевным. Расскажу коротко.
Наша программа создает батник и запускает его. В том батнике лежит вредоносный код, который добавляет нашу программу в автозагрузку. После злодеяний батника наша программа его удаляет и радуется новому местечку в реестре. Заодно уберем модуль. Если это на вин апи сделать то вообще хорошо.
Ваши мнения пжл... |
| |
|
|
|
|
C@T
|
Дата: Четверг, 14.07.2011, 17:14 | Сообщение # 2
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 262
Статус: Offline
|
ну во первых, не ты первый кто до этого додумался,
а во вторых, батник тоже могут спалить антивирусы 
|
| |
|
|
|
|
gravitas
|
Дата: Четверг, 14.07.2011, 17:41 | Сообщение # 3
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 360
Статус: Offline
|
Давно пробовал - палится сильно 
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
|
|
|
|
Android
|
Дата: Пятница, 03.02.2012, 12:22 | Сообщение # 4
|
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 68
Статус: Offline
|
а если попробовать от имени SYSTEM запустить батник? Тоже запалится анвирами??? |
| |
|
|
|
|
dolphin
|
Дата: Пятница, 03.02.2012, 20:01 | Сообщение # 5
|
Администратор
Сообщений: 952
Статус: Offline
|
Android, и как же ты это сделаешь?
Если честно тема под снос тянет
Система: Windows 7 x64, Windows XP
Delphi: 7, XE2, XE4
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик.
|
| |
|
|
|
|
Android
|
Дата: Пятница, 03.02.2012, 22:09 | Сообщение # 6
|
|
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 68
Статус: Offline
|
в одном из номеров описывалась методика запуска cmd от имени system. Я так понимаю, что потом можно любой процесс запустить от системы. пороюсь в архиве.. Выложу |
| |
|
|
|
|
Volf
|
Дата: Пятница, 12.04.2013, 13:55 | Сообщение # 7
|
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 31
Статус: Offline
|
запуск cmd сам по себе паливность. юзайте использовать reg файлики.А вообще я сторонник апи |
| |
|
|
|
|
Slash
|
Дата: Пятница, 12.04.2013, 17:31 | Сообщение # 8
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 119
Статус: Offline
|
Пробовал,Касперский палит. |
| |
|
|
|
|
Volf
|
Дата: Пятница, 12.04.2013, 19:42 | Сообщение # 9
|
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 31
Статус: Offline
|
что именно палит?на апи или на reg файлах |
| |
|
|
|
|
ms301
|
Дата: Пятница, 12.04.2013, 20:00 | Сообщение # 10
|
Участник
Зарегистрирован: 28.11.2012
Группа: Пользователи
Сообщений: 65
Статус: Offline
|
anvir все будет детектить 
)_DubStep_(
|
| |
|
|
|
|
xXxSh@dowxXx
|
Дата: Пятница, 12.04.2013, 20:20 | Сообщение # 11
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 606
Статус: Offline
|
Цитата (Volf)
что именно палит?на апи или на reg файлах
на чистом api, в зависимости от ситуации, я думаю можно обойти эвристику, конечно придется постараться, но все таки можно.
|
| |
|
|
|
|
Volf
|
Дата: Суббота, 13.04.2013, 12:23 | Сообщение # 12
|
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 31
Статус: Offline
|
На чистом апи покажу как снимать палево когда доросту до привата.тут не хочу палить свои разработки нескольких месяцев))
Сообщение отредактировал Volf - Воскресенье, 14.04.2013, 20:33
|
| |
|
|
|
|
VB
|
Дата: Вторник, 29.04.2014, 16:05 | Сообщение # 13
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 10
Статус: Offline
|
по-моему лучше использовать маскировку программы под системную, а автозагрузке добавлять на нее ярлык для запуска. При этом никак не касаяюсь реестра, чтобы антивирь не палил. |
| |
|
|
|
|
xXxSh@dowxXx
|
Дата: Вторник, 29.04.2014, 17:40 | Сообщение # 14
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 606
Статус: Offline
|
Цитата VB ( )
по-моему лучше использовать маскировку программы под системную, а автозагрузке добавлять на нее ярлык для запуска. При этом никак не касаяюсь реестра, чтобы антивирь не палил.
через ярлык то же палится!
|
| |
|
|
|
|
VB
|
Дата: Воскресенье, 04.05.2014, 13:01 | Сообщение # 15
|
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 10
Статус: Offline
|
Цитата xXxSh@dowxXx ()
через ярлык то же палится!
Вы имеет ввиду ярлык палится внешне или антивирус палит ярлык по принципу того, что его там не должно быть?
|
| |
|
|
|
|
xXxSh@dowxXx
|
Дата: Воскресенье, 04.05.2014, 13:49 | Сообщение # 16
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 606
Статус: Offline
|
АВ палит когда пытаешься добавить что то в автозагрузку левое, не важно будь то ярлык или новое расширение, или еще что то в области контролируемые АВ, то есть следовательно просто так в обход АВ очень сложно добавить даже путь на ярлык в автозагрузку, если у Вас есть способ как это сделать беспалевно, тогда другое дело. |
| |
|
|
|
|
VB
|
Дата: Вторник, 06.05.2014, 08:17 | Сообщение # 17
|
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 10
Статус: Offline
|
Видимо значит способ есть, пока на ярлык у меня ни разу не ругался, на сам файл да, но на ярлык нет |
| |
|
|
|
|
xXxSh@dowxXx
|
Дата: Вторник, 06.05.2014, 11:30 | Сообщение # 18
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 606
Статус: Offline
|
Цитата VB ()
пока на ярлык у меня ни разу не ругался, на сам файл да, но на ярлык нет
да нет, видимо Вы не совсем меня поняли, детект по средствам Эвристического анализа происходит в момент когда Вы запускаете код, который автоматически прописывает Ваш ярлык в реестре или в других местах автозагрузки, в папках например, в этот момент сама программа которая намерена добавить что то в автозагрузку блокируется.
В Вашем же случае может и не блокироваться потому что АВ установлен в с дефолтными настройками, в моем же случае настройки не дефолтные, а повышенные!
ну а если Вы вручную добавляете ярлык в автозагрузку то конечно ругаться никто не будет, но ведь на удаленном компе Вы не будете ручками ярлычки в автозапуск добавлять верно?!
|
| |
|
|
|
|
VB
|
Дата: Вторник, 06.05.2014, 14:53 | Сообщение # 19
|
|
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 10
Статус: Offline
|
Цитата xXxSh@dowxXx ()
да нет, видимо Вы не совсем меня поняли, детект по средствам Эвристического анализа происходит в момент когда Вы запускаете код, который автоматически прописывает Ваш ярлык в реестре или в других местах автозагрузки, в папках например, в этот момент сама программа которая намерена добавить что то в автозагрузку блокируется.
теперь понял Вас на 100%, нужно мне теперь проверить выполнение создания ярлыков, давно не проверял, теперь проверю и на повышенном уровне тоже, почему-то всегда исключал такой вариант, типа юзеры ставят настройки по умолчанию и т.п. У меня если честно сейчас другая проблема, с самим вирусом...
|
| |
|
|
|
