|
Добавление в автозагрузку
|
|
Волк-1024
|
Дата: Вторник, 24.04.2012, 22:31 | Сообщение # 26
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Ну, например, при добавлении ключа в RunOnce. ССleaner его не видет  |
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Среда, 25.04.2012, 09:10 | Сообщение # 27
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Marra_Kesh ну если говорить о скрытности тогда вернемся к первому посту, но там опять же остается нерешенной задача по копированию в обход проактивки антивирусов, и даже в этом случае некоторые программы определяющие автозагрузчики находят по мимо реестра и этот файл в папке автозагрузки...
вобщем пришла мне в голову одна идея, а что если не просто копировать себя в папку актозапуска, а создать там NTFS поток и засунуть в него наш файл, кто нибудь тестил потоки на автозапуске, кто что знает?
поэкспериментировал я немножко и вот чего удалось добиться с помощью потока, в принципе бесполезно, но все же удивляет 
все делалось ради эксперимента , хотел было смайлик нарисовать :), но увы, оказалось что обязательно должен быть разделитель в виде "." либо в файле либо в потоке перед расширением, но что еще поразило, если хотя бы в потоке мы указываем расширение то в файле (к которому мы создали поток) точку перед расширением можно смело убрать и наоборот, тогда выглядеть процесс будет примерно так:
:1.exe
или в моем случае
: . или . :
поэтому я решил ограничиться неким подобием самолетика ну или треугольника как хотите
первое изображение с диспетчеза задач, второе из стороннего софта:
Сообщение отредактировал xXxSh@dowxXx - Среда, 25.04.2012, 12:18
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Среда, 02.05.2012, 11:12 | Сообщение # 28
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
К моему удивлению, после немногочисленных тестов с антивирусом, оказалось что эвристика антивируса как раз таки не обращает внимание на
Code
CopyFile(PChar(ParamStr(0))
все дело в самой папке "Автозагрузка", антивирь ругается вот на это
Code
PChar(GetSpecialPath($0007)
то есть когда копирование идет конкретно в эту папку, я и подумал, антивирь же не ругается когда мы просто копируем методом "CTRL+C", видимо это происходит потому что у нас в фокуче активное окно експлоурера в этой папке при помощи проводника, так может быть можно при помощи какого либо варианта или API функции использовать в коде оригинальный подход...
Сообщение отредактировал xXxSh@dowxXx - Среда, 02.05.2012, 11:14
|
| |
|
|
|
|
|
gravitas
|
Дата: Среда, 02.05.2012, 15:04 | Сообщение # 29
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
|
15 строк кода и 30 постов. Товарищи, вы что, ошалели?) |
| |
|
|
|
|
|
Don_Diego
|
Дата: Среда, 02.05.2012, 16:08 | Сообщение # 30
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
Quote (xXxSh@dowxXx)
все дело в самой папке "Автозагрузка", антивирь ругается вот на это
Code
PChar(GetSpecialPath($0007)
Если бы да так... Я создавал уже и новую папку в Program Files, копировал туда как обычную программу - все равно кричит. И причем кричит только KIS. NOD32, Аваст, и даже, сильно удивился, DrWeb молчат.
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Среда, 02.05.2012, 19:43 | Сообщение # 31
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Don_Diego странно, вот мой код, самокопирование в "Program Files" каспер последний обновленный не орет:
Code
function GetSpecialPath(CSIDL: word): string;
var s: string;
begin
SetLength(s, MAX_PATH);
if not SHGetSpecialFolderPath(0, PChar(s), CSIDL, true)
then s := '';
Result := PChar(s);
CopyFile(PChar(ParamStr(0)), PChar(Result + '\1.exe'), False);
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
GetSpecialPath($26);
end;
может быть я по ошибке в исключение добавлял проект, хз, вроде нет...
Don_Diego скажи что у тебя за каспер который даже папку "Program Files" контролирует ?
да все верно, в другие папки норм копируется, а вот в "Автозагрузку" каспер выдает сообщение в котором так и написано цитирую - "программа пытается создать файл, входящий в группу Операционная система/Параметры автозапуска" и потом определяет его как "Trojan.generic", но это только если в автозагрузку копироваться...
Сообщение отредактировал xXxSh@dowxXx - Среда, 02.05.2012, 19:53
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Среда, 02.05.2012, 21:59 | Сообщение # 32
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
xXxSh@dowxXx, KIS 2011, с последними обновлениями. Тут наверно весь прикол вот в этом:
Quote (xXxSh@dowxXx)
Code
procedure TForm1.Button1Click(Sender: TObject);
begin
GetSpecialPath($26);
end;
Где-то слышал что если запускать процедуры через кнопки - то он не ругается. У меня же все делалось без влияния на то пользователя
Выдает "Trojan.generic"... А если убрать автозагрузку, сделать вообще как пинч то вроде все нормально. Но такой способ меня не устраивает - пользователи иногда меняют пароли 
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Среда, 02.05.2012, 22:28 | Сообщение # 33
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Quote (Don_Diego)
Тут наверно весь прикол вот в этом:
Code
procedure TForm1.Button1Click(Sender: TObject);
begin
GetSpecialPath($26);
end;
то есть с моим кодом у тебя на Program Files больше не ругается?
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Среда, 02.05.2012, 23:09 | Сообщение # 34
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
xXxSh@dowxXx, если без кнопочки, то ругается.
http://s2.ipicture.ru/uploads/20120502/uyI6RLyR.jpg |
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Среда, 02.05.2012, 23:21 | Сообщение # 35
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
не знаю я переписал вот таким образом, и опять же каспер молчит:
Code
function GetSpecialPath(CSIDL: word): string;
var s: string;
begin
SetLength(s, MAX_PATH);
if not SHGetSpecialFolderPath(0, PChar(s), CSIDL, true)
then s := '';
Result := PChar(s);
CopyFile(PChar(ParamStr(0)), PChar(Result + '\1.exe'), False);
end;
procedure TForm1.FormCreate(Sender: TObject);
begin
GetSpecialPath($26);
end;
end.
хз почему у тебя так, может у тебя не GetSpecialPath($26); а GetSpecialPath($0007); стоит в коде, тогда да, сразу палит, автозагрузка же...
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Среда, 02.05.2012, 23:32 | Сообщение # 36
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
xXxSh@dowxXx, сильно не кричи, но я не сохранил тот переработанный проэкт. Уже и сонный, спать хочется. Вобщем вот сюда нужно вновь запхнуть твой код, а потом проверить:
PS: DecryptString - это функция расшифровки данных, в комментариях поставлены раскодированные значения
Сообщение отредактировал Don_Diego - Пятница, 04.05.2012, 14:44
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Четверг, 03.05.2012, 09:27 | Сообщение # 37
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Если я правильно понял, то ты хочешь создать .ini файл с параметрами ключа реестра,который в итоге тебе нужно скопировать в "Program Files", если у тебя ругается на твою функцию копирования антивирь,то попробуй заменить на мою,она по сути почти ни чем не отличается,просто у меня не WinPach параметр...,я сам к сожалению в данный момент проверить не могу,так как я на работе и пишу с телефона,завтра дома буду, тогда и гляну сразу твой код... |
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Четверг, 03.05.2012, 09:34 | Сообщение # 38
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Ребята,давайте еще подумаем,какими еще вариантами можно перелопатить функцию таким образом что бы не ругался антивирус во время копирования в папку автозагрузки, у кого какие еще есть варианты? |
| |
|
|
|
|
|
Don_Diego
|
Дата: Четверг, 03.05.2012, 10:33 | Сообщение # 39
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
Quote (xXxSh@dowxXx)
Если я правильно понял, то ты хочешь создать .ini файл с параметрами ключа реестра,который в итоге тебе нужно скопировать в "Program Files"
Эм... TRegIniFile также можно использовать для записи в реестр, что и делается, раньше на такой способ даже антивирус не кричал. Функция WinPath это считай аналог приведенной GetSpecialPath, тоесть как видно она принимает такие же параметры - "$26". Но в отличии от твоей она просто возвращает путь к системной папке. А у тебя интересный подход (я уже выспался ) с запутыванием кода.
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Пятница, 04.05.2012, 09:30 | Сообщение # 40
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Don_Diego все я дома, щас буду пробувать, только вот скажи, а зачем ты используешь шифрование путей?
и еще че та я не могу найти, в uses какой модуль требуется для WinPach.., капец после суток на работе вобще ниче не соображаю
Сообщение отредактировал xXxSh@dowxXx - Пятница, 04.05.2012, 09:53
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Пятница, 04.05.2012, 10:30 | Сообщение # 41
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
xXxSh@dowxXx, согласен, шифрование путей считай бессмысленно, но все же хоть маленькая защита от некоторых антивирусов. Там же шифруется и сам пароль доступа на почту. Конечно, и его то можем выловить с помощью любого снифера, но хоть в файле его хрен найдешь
Называй эту функцию как хочешь, хоть WinPath, хоть GetSpecialPath, все равно функциональность от этого не изменится:
Code
uses
ShlObj;
function WinPath(FolderID: word): string;
var
FolderPath: string;
begin
SetLength(FolderPath, MAX_PATH);
if not SHGetSpecialFolderPath(0, PChar(FolderPath), FolderID, true) then
FolderPath:= WinPath(CSIDL_APPDATA);
Result:= PChar(FolderPath);
end;
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Пятница, 04.05.2012, 11:42 | Сообщение # 42
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
а ну да, одна и та же функция просто названа по разному...
хз вроде все проверил, на эту функцию вобще антивирь не ругается, даже если без кнопки и без формы, хз почему у тебя так, неужели в KIS и KCrystal по разному устроена проактивка?, может у тебя на добавление записи в ветку Run реестра ругается?
скорее всего так и есть, потому что на функцию копирования в обычные папки проактивка не должна реагировать...
Сообщение отредактировал xXxSh@dowxXx - Пятница, 04.05.2012, 11:49
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Пятница, 04.05.2012, 12:12 | Сообщение # 43
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
Quote (xXxSh@dowxXx)
неужели в KIS и KCrystal по разному устроена проактивка?
Если это действительно так, то всем нужно скорей переходить на KIS 2011
Насколько мне известно то в KCrystal лишь улучшена защита для банковских операций. Меня вот интересует тогда, почему он не ругается когда в Run пишутся другие программы?
Хотя... Мне кажется он ругается потому что в троянце идет обращение к файлам куки и паролей MSIE, Mozilla, Opera и Google Chrome. Последний кставти вообще запрещает к ним доступ когда сам открыт. Поэтому пришлось его...закрывать
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Пятница, 04.05.2012, 14:35 | Сообщение # 44
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
Только что скомпилировал этот код:
И вот что получилось:
Значит вывод: вновь перерабатываем функцию автозапуска, и тем у кого стоит KCrystal срочно меняем его на KIS 2011!
Сообщение отредактировал Don_Diego - Пятница, 04.05.2012, 14:38
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Пятница, 04.05.2012, 18:20 | Сообщение # 45
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
ок, это уже интересно, а ты файл свой скомпиленный случаем не с рабочего стола запускаешь?
если я правильно понял, то по уведомлению каспера видно что скорее всего оно вылетает не когда ты запускаешь скомпилированный Project1.exe, а когда переходишь в папку с ним, или когда любым образом обращаешься к файлу, копируешь например, каспер у тебя сразу выдает что это троян, хотя могу и ошибаться, но если Explorer.exe то это должно быть именно так, потому что первым делом к файлу обращается проводник и процесс Explorer'a...
Сообщение отредактировал xXxSh@dowxXx - Пятница, 04.05.2012, 18:30
|
| |
|
|
|
|
|
Don_Diego
|
Дата: Пятница, 04.05.2012, 21:19 | Сообщение # 46
|
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
xXxSh@dowxXx, папка с проектом в другом месте, скопировал на рабочий стол Project1.exe, KIS молчал. Но когда я попытался его запустить, то тут же вылезло то что вылезло 
Ты этот же самый код компилировал у себя, проверял KCrystal? |
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Пятница, 04.05.2012, 22:42 | Сообщение # 47
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
в общем капец какой то, все перепробывал, даже запись в реестр через WinAPI, один хрен каспер палит все, единственный вариант это компилировать а потом править через Дизассемблер, тогда можно чуть исправить пару байт что бы каспер замолчал, только так, если только не попробывать еще какой нить вариант записи в реестр или самокопирования...
Quote (Don_Diego)
Ты этот же самый код компилировал у себя, проверял KCrystal?
да я установил новый буилд KCrystal последний самый, он так же палит сразу как только компилишь, но что меня больше поразило, теперь каспер контролирует файлы не только по средствам проводника Explorer.exe но и по всем открытым процессам, он теперь в режиме реального времени прогоняет каждый процесс на предмет обращения к новым файлам, вот только оперативы еще больше стал пожирать зараза...
Сообщение отредактировал xXxSh@dowxXx - Пятница, 04.05.2012, 22:43
|
| |
|
|
|
|
|
Волк-1024
|
Дата: Пятница, 04.05.2012, 23:53 | Сообщение # 48
|
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Код палица не сигнатурно... Так что при почти любом переписывании кода будет одна и таже фигня - палево. Копать нужно в сторону антиэмуляции. |
| |
|
|
|
|
|
Marra_Kesh
|
Дата: Суббота, 05.05.2012, 00:10 | Сообщение # 49
|
Постоянный
Зарегистрирован: 19.12.2009
Группа: Модераторы
Сообщений: 182
Статус: Offline
|
Меня мучает такой вопрос: ПоЩаму AV программы не ругаются например на Punto Switcher, Daemon tools и прочую зал*пу, которая тоже прописывается в реестре используя теже API ф-ции, что и Я использую в своих, а на мою безобидную, девственно чистую программу ругается??? |
| |
|
|
|
|
|
Волк-1024
|
Дата: Суббота, 05.05.2012, 00:55 | Сообщение # 50
|
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Причин очень много. Эти программы у АВ в вайт листах (типа калькулятора и блокнота), программы имеют собственную эл.подпись, эмулятор видит, что у программ есть работа с GUI и т.д и т.п.
Quote
девственно чистую программу ругается
Поэтому и орёт, что кроме записи в реестр больше ничего не делает.
|
| |
|
|
|
