Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
обновлено (INFO) 26.10.01 23:48 Число просмотров: 1712
Автор: + <Mikhail> Статус: Elderman
|
HKEY_CLASSES_ROOT\*\shellex
HKEY_CLASSES_ROOT\file\shell
HKEY_CLASSES_ROOT\Folder\shellex
HKEY_CLASSES_ROOT\Folder\shell
HKEY_CLASSES_ROOT\Drive\shell
HKEY_CLASSES_ROOT\Drive\shellex
examples:
HKCR\Folder\Shellex\PropertySheetHandlers\{CLSID}
HKCR\Folder\Shellex\ContextMenuHandlers\{CLSID}
---
eche HKEY_CLASSES_ROOT\.<tumozhet byt luboii extention> i togda vse chto associirovano s etim extention (menu handler , property page handler i drugie shell primochki budut zagruzhatsia)
takzhe:
---------------------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
"{CLSID}" = REG_SZ Description
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace\{CLSID}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Namespace\{CLSID}
path dlia inrpoc server (by CLSID) found zdes`
HKCR\CLSID\{CLSID}
KHCR\CLSID\{CLSID}\InprocServer32
---------------------------------------------
---
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\APPINIT_DLLS
Eche koekakie keys est` ne pomni seichas
Eche mozhno napisat` com object loader i zamenit com server (for example inproc server dll REGISTRY_KEY= InprocServer32 dlia lubogo com object est etot key ukazyvauchii na path), itak pishem zagruzchik kotoryii v export foo DllGetClassObject budet sozdavat` object is nastoiachego dll i vozvrachat` pointer na nego, i vse fashivyi dll zagruzhen. To zhe samoe mozhno sdelat` dlia outproc server.
Derzaite...
|
<miscellaneous>
|
вот такая ситуевина... нид хэлп 21.10.01 20:31
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
вобщем есть комп, я не имею к некму доступа, за компом барышня, ничего в компах не понимающая.... есть подозрение что на компе стоит кейлоггер... вот, в общих чертах так
список кейлоггеров где надыбать, хоть по процессу чтоль вычислю
|
|
вот такая ситуевина... нид хэлп 26.10.01 12:21
Автор: z0 <z0> Статус: Member
|
> вобщем есть комп, я не имею к некму доступа, за компом > барышня, ничего в компах не понимающая.... есть подозрение > что на компе стоит кейлоггер... вот, в общих чертах так > список кейлоггеров где надыбать, хоть по процессу чтоль > вычислю
а неплохо бы такую прожку наваять чтобы она разницу во времени обработки нажатия клавиш считала и при ее увеличении пищала - "возможен логгер на машине!"
здесь наверное будет проблема точности замеров интервала... особенно с этими новыми проциками...
попробуй скажи барышне - пусть запустит нотепад и придавит каку-нить кнопку - если винчестер заморгает - ну возможно
хотя там кеши-буфера конечно
|
|
Tак пускай в регистри посмотрит, этож элементарно. 22.10.01 06:04
Автор: grok Статус: Незарегистрированный пользователь
|
А списки всё там-же, - astalavista.
|
| |
Tак пускай в регистри посмотрит, этож элементарно. 26.10.01 14:50
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> А списки всё там-же, - astalavista. я же сказал - БАРЫШНЯ - я ей буду час объяснять, что такое реджистри
|
| | |
bat файл (обновлено №5) 26.10.01 16:40
Автор: paganoid Статус: Member Отредактировано 22.11.01 11:25 Количество правок: 12
|
пусть запустит батник какойнить вроде
@echo off
echo (c) paganoid 2001
echo порядка 20-40 методов запуска приложений Windows при загрузке системы
echo некоторые "параноидальные" методы запуска закомментарены
echo Отдельное спасибо Imm0rtal, grok, +Mikhail
echo два ключа найдены в 'xakep'
mkdir c:\stinfo
rem стандартные ключи запуска из HKEY_LOCAL_MACHINE
regedit /e c:\stinfo\HKLM_Run.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\stinfo\HKLM_RunOnce.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\stinfo\HKLM_RunServices.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\stinfo\HKLM_RunServicesOnce.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
rem похожий ключ, но с другим форматом параметра "DllFileName|FunctionName|CommandLineArguements"
rem "RunMyApp"="||notepad.exe"
regedit /e c:\stinfo\HKLM_RunOnceEx.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
rem стандартные ключи запуска из HKEY_CURRENT_USER
regedit /e c:\stinfo\HKCU_Run.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\stinfo\HKCU_RunOnce.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\stinfo\HKCU_RunServices.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
rem обработчики страниц свойств файла и контекстного меню explorer
rem там будут списки GUIDов, по которым надо искать соответствующие COM-объекты
rem в HKEY_CLASSES_ROOT .
rem средствами bat файла это сделать сложновато..
regedit /e c:\stinfo\HKCR_anyfile.reg HKEY_CLASSES_ROOT\*\shellex
regedit /e c:\stinfo\HKCR_file.reg HKEY_CLASSES_ROOT\file\shell
regedit /e c:\stinfo\HKCR_folderEx.reg HKEY_CLASSES_ROOT\Folder\shellex
regedit /e c:\stinfo\HKCR_folder.reg HKEY_CLASSES_ROOT\Folder\shell
regedit /e c:\stinfo\HKCR_driveEx.reg HKEY_CLASSES_ROOT\Drive\shellex
regedit /e c:\stinfo\HKCR_drive.reg HKEY_CLASSES_ROOT\Drive\shell
rem ключи запуска исполняемых файлов из HKEY_CLASSES_ROOT
rem естественно, есть и файлы с другими расширениями... :/
regedit /e c:\stinfo\HKCR_ShellExe.reg HKEY_CLASSES_ROOT\exefile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellCom.reg HKEY_CLASSES_ROOT\comfile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellBat.reg HKEY_CLASSES_ROOT\batfile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellHta.reg HKEY_CLASSES_ROOT\htafile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellPif.reg HKEY_CLASSES_ROOT\piffile\shell\open\command
rem кстати, о других расширениях. Есть весьма недурсный способ создания чёрного хода -
rem создать в реестре новое расширение tхt (Hint! Буква Х посередине -
rem - РУССКАЯ), чтобы оно выглядело точно так же, как txt (иконка...), но запускало vbscript с нужными командами
rem (также vbs при запуске должен затирать себя текстовым файлом нужного содержания). Если поставить
rem к этому расширению параметр IsShortCut (вроде так), то и свойства файла через Explorer просмотреть
rem не удастся. Также можно выставить параметр "Спрашивать при загрузке" так, чтоб не спрашивал :)
rem Тогда управление компом становится очень простым - присылаешь жертве письмо с таким аттачем или посылаешь
rem его на нужную страницу, где в IFRAME стоит ссылка на этот файл. Можно еще усугУбить ситуацию, и использовать
rem не VBScript, а JScript. В силу того, что можно выставлять комментарии /* */ на несколько строк,
rem можно сделать такой файл, в котором очень трудно найти исполняемый код даже при просмотре из DOS.
rem Вотщем, не зная, вычислить такой backdoor весьма сложно.
rem ключи запуска исполняемых файлов из HKEY_LOCAL_MACHINE
regedit /e c:\stinfo\HKLM_ShellExe.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellCom.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellBat.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellHta.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellPif.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
rem папка автозагрузки как она есть
regedit /e c:\stinfo\HKUS_AutoRus.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\Автозагрузка
regedit /e c:\stinfo\HKUS_AutoEng.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\StartUp
rem ключ подгрузки explorer'ом сторонних dll. Там может лежать Webcheck... Самый хитрый способ imho
regedit /e c:\stinfo\HKLM_DelayLoad.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
rem ключ автозапуска приложений ICQ
regedit /e c:\stinfo\HKCU_ICQ.reg HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps
rem стандартные директории, в т.ч. и пути к директориям автозапуска
rem директории для всех пользователей NT
regedit /e c:\stinfo\HKCU_StartUp.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
rem директории для текущего пользователя (NT в бинарном формате :( )
regedit /e c:\stinfo\HKCU_StartUpUser.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
rem в вышеупомянутых директориях (StartUp) надо отыскать все файлы
rem пути к запускаемым файлам NT
regedit /e c:\stinfo\HKLM_WinLogon.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit /e c:\stinfo\HKLM_AppInitDll.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
rem Обработчики элементов меню Explorer "Сервис > Поиск "
regedit /e c:\stinfo\HKLM_Find.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions
rem абсолютно неизвестный мне ключ, что-то IEшное. Там столько дряни набито, что страшно становится.
rem Формат записи непонятен. Мне автозапустить оттуда ничего не удалось. Но очень хочется.
rem regedit /e c:\stinfo\HKLM_ActiveSetup.reg "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components"
rem облазив сайты по тематике автостарта, узнал, что везде парятся насчёт ключа CLASSES\ShellScrap
rem и рекомендуют глядеть на его параметр NeverShowExt.
rem Его наличие говорит о том, что файлы с расширением SHS никогда не показывают своего реального
rem расширения (кто-нибудь умеет эти SHS-файлы ДЕЛАТЬ хехе ?..). Парится нечего, поскольку если уже проникли в комп, то могут поставить
rem такой параметр к любому расширению. И иконка у таких файлов подозрительная....
rem regedit /e c:\stinfo\HKLM_SHS.reg HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap
rem Excel 97 - пути к запускаемым надстройкам. Все, что начинается с OPEN, запускается (*.xla). Также содержит пути к подключаемым lib'ам
regedit /e c:\stinfo\HKCU_Excel97.reg "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Excel\Microsoft Excel"
rem Excel 2000 - пути к запускаемым надстройкам. Все, что начинается с OPEN, запускается (*.xla)
regedit /e c:\stinfo\HKCU_Excel2000.reg "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Excel\Options"
rem файлы из автозагрузки Win9x и NT. Путь может быть другой..
rem кстати, следует обратить внимание на содержимое ярлыков. Они могут указывать не на то, что предполагается
copy "%windir%\Profiles\All Users\Главное меню\Программы\Автозагрузка\*.*" c:\stinfo\*.*
copy "%windir%\Главное меню\Программы\Автозагрузка\*.*" c:\stinfo\*.*
rem английское
copy "%windir%\Profiles\All users\start menu\programs\startup\*.*" c:\stinfo\*.*
copy "%windir%\start menu\programs\startup\*.*" c:\stinfo\*.*
rem французское главное меню..
copy "%windir%\Profiles\All Users\Menu Dйmarrer\Programmes\Dйmarrage\*.*" c:\stinfo\*.*
copy "%windir%\Menu Dйmarrer\Programmes\Dйmarrage\*.*" c:\stinfo\*.*
rem до кучи и португальскогого, там же лежало
copy "%windir%\Profiles\All Users\Menu Iniciar\Programas\Iniciar\*.*" c:\stinfo\*.*
copy "%windir%\Menu Iniciar\Programas\Iniciar\*.*" c:\stinfo\*.*
rem итальянский
copy "%windir%\Profiles\All Users\Menu Avvio\Programmi\Esecuzione automatica\*.*" c:\stinfo\*.*
copy "%windir%\Menu Avvio\Programmi\Esecuzione automatica\*.*" c:\stinfo\*.*
rem немецкий
copy "%windir%\Profiles\All Users\Startmenu\Programme\Autostart\*.*" c:\stinfo\*.*
copy "%windir%\Startmenu\Programme\Autostart\*.*" c:\stinfo\*.*
rem испанский, я в нем не силён, а разных источниках разногласия в написании Menu...
copy "%windir%\Profiles\All Users\Menu Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Profiles\All users\Menъ Inicio\programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Menu Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Menъ Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
rem автозапуск "Setup Updating Your System"
copy %windir%\wininit.ini c:\stinfo\wininit.ini
rem батник запуска Win9x
copy %windir%\winstart.bat c:\stinfo\winstart.bat
rem win.ini. Ключи load= и run=
copy %windir%\win.ini c:\stinfo\win.ini
rem system.ini. Ключ Shell= на запуск оболочки
copy %windir%\system.ini c:\stinfo\system.ini
rem autoexec.bat
copy c:\autoexec.bat c:\stinfo\autoexec.bat
rem подставной автозапускаемый explorer из корня
copy c:\explorer.exe c:\stinfo\explorer.exe
rem autorun.inf с жесткого диска тоже добру не служит
copy c:\autorun.inf c:\stinfo\C_autorun.inf
rem если есть второй/третий/цатый диск, строку надо разкомментить
rem copy D:\autorun.inf c:\stinfo\D_autorun.inf
rem красная дрянь с часами в таскбаре, Sheduler win98
copy %windir%\TASKS\*.* c:\stinfo\*.*
rem MSDOS.SYS, туда можно подставить директории винды неправильно
attrib -s -h -r c:\msdos.sys
copy c:\msdos.sys c:\stinfo\msdos.sys
attrib +s +h +r c:\msdos.sys
rem еще может быть запущен сервис sheduler на NT. Если надо стопануть, убрать rem из начала текущей строки
rem net stop schedule
rem директория автозапуска Word
rem copy "C:\Program Files\Microsoft Office\Office\STARTUP\*.*" c:\stinfo\*.*
rem директория автозапуска Excel
rem copy "C:\Program Files\Microsoft Office\Office\XLStart\*.*" c:\stinfo\*.*
rem если параноя, то можно скопировать подключаемые либы Excel97
rem mkdir c:\stinfo\office
rem copy "C:\Program Files\Microsoft Office\Office\Library\*.*" c:\stinfo\office\*.*
rem mkdir c:\stinfo\office\Analysis\
rem copy "C:\Program Files\Microsoft Office\Office\Library\Analysis\*.*" c:\stinfo\office\Analysis\*.*
rem основной шаблон Word
rem copy "C:\Program Files\Microsoft Office\Templates\Normal.dot" c:\stinfo\office\Normal.dot
rem copy "C:\Program Files\Microsoft Office\Шаблоны\Normal.dot" c:\stinfo\office\Normal.dot
rem copy "C:\Program Files\Microsoft Office\D69B~1\Normal.dot" c:\stinfo\office\Normal.dot
rem еще есть подгруженные Vxd в 9х.
rem regedit /e c:\stinfo\HKLM_vxd.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Vxd
rem загрузчик драйвера (DonaldDick). См. параметр BootExecute
regedit /e c:\stinfo\HKLM_BootExec.reg "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager"
rem подгрузчик сторонник DLL c помощью MPRexe
regedit /e c:\stinfo\HKLM_mprexe.reg "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices"
rem также можно подменить загрузчик произвольного COM-объекта...
rem опять же, можно составить список гуидов самых шоколадных COM-объектов
rem и выгрузить их In- Out- ProcServer'ы в reg-файлы, но это тоже нехилый труд..
rem файлы элементов панели управления. Грузятся автоматом, могут содержать вредоносный код
rem %windir%\*.cpl c:\stinfo\*.cpl
rem склеиваем рег-файлы в один
copy c:\stinfo\*.reg c:\stinfo\registry.txt
del c:\stinfo\*.reg
---
и вс,, что в c:\stinfo окажется, тебе вышлет
|
| | | |
2 paranoid 01.11.01 23:36
Автор: !mm <Ivan Ch.> Статус: Elderman
|
думается мне, это надо отдельной статьей выложить к примеру на uinc.ru, а оттуда народ расхватает.. я щас кину ссылу doc666, он на nnm.ru положит ссылу на месагу в форуме.
Полезнейшая штука :)
|
| | | |
2 paranoid 27.10.01 01:31
Автор: !mm <Ivan Ch.> Статус: Elderman
|
добавлено
rem MSDOS.SYS, туда можно подставить директории винды неправильно
rem снятие и установкa атрибутов msdos.sys (у меня по другому не копируется)
attrib -s -h -r c:\msdos.sys
copy c:\msdos.sys c:\stinfo\msdos.sys
attrib +s +h +r c:\msdos.sys
rem автозагрузка как она есть
regedit /e c:\stinfo\HKUS_Auto.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\Автозагрузка
Да, еще по непонятной мне причине:
rem файлы из автозагрузки Win9x. Путь может быть другой..
copy "%windir%\Главное меню\Автозагрузка\*" c:\stinfo\
copy "%windir%\Главное меню\Программы\Автозагрузка\*" c:\stinfo\
copy "%windir%\start menu\programs\startup\*" c:\stinfo\
нармально не работает, хотя должно бы.. Пишет типа "папка задана неправильно"
Может я уже спать хочу, а может мозги недостаточно извилистые или руки недостаточно прямые..
Cразу извиняюсь за глупый вопрос, а что за Webcheck?
К слову, у меня он стоял.. :(
|
| | | | |
2 paranoid 29.10.01 10:16
Автор: paganoid Статус: Member
|
> attrib +s +h +r c:\msdos.sys
угу, поменял
> rem автозагрузка как она есть > regedit /e c:\stinfo\HKUS_Auto.reg > HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion > \Explorer\MenuOrder\Start Menu\&Programs\Автозагрузка
тоже добавил + для английской версии
>
> copy "%windir%\start menu\programs\startup\*" c:\stinfo\ > > нармально не работает, хотя должно бы.. Пишет типа "папка > задана неправильно" > Может я уже спать хочу, а может мозги недостаточно > извилистые или руки недостаточно прямые..
это у меня кривые :) надо было copу.*.* . Тоже пофиксил
> Cразу извиняюсь за глупый вопрос, а что за Webcheck? > К слову, у меня он стоял.. :(
микрософтовская дрянь "для проверки доступности веб-узла". Я уже в этом форуме об этом спрашивал, можешь поискать. Можешь удалить этот вебчек из данного ключа, хуже не будет.
|
| | | |
обновлено (INFO) 26.10.01 23:48
Автор: + <Mikhail> Статус: Elderman
|
HKEY_CLASSES_ROOT\*\shellex
HKEY_CLASSES_ROOT\file\shell
HKEY_CLASSES_ROOT\Folder\shellex
HKEY_CLASSES_ROOT\Folder\shell
HKEY_CLASSES_ROOT\Drive\shell
HKEY_CLASSES_ROOT\Drive\shellex
examples:
HKCR\Folder\Shellex\PropertySheetHandlers\{CLSID}
HKCR\Folder\Shellex\ContextMenuHandlers\{CLSID}
---
eche HKEY_CLASSES_ROOT\.<tumozhet byt luboii extention> i togda vse chto associirovano s etim extention (menu handler , property page handler i drugie shell primochki budut zagruzhatsia)
takzhe:
---------------------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
"{CLSID}" = REG_SZ Description
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace\{CLSID}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Namespace\{CLSID}
path dlia inrpoc server (by CLSID) found zdes`
HKCR\CLSID\{CLSID}
KHCR\CLSID\{CLSID}\InprocServer32
---------------------------------------------
---
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\APPINIT_DLLS
Eche koekakie keys est` ne pomni seichas
Eche mozhno napisat` com object loader i zamenit com server (for example inproc server dll REGISTRY_KEY= InprocServer32 dlia lubogo com object est etot key ukazyvauchii na path), itak pishem zagruzchik kotoryii v export foo DllGetClassObject budet sozdavat` object is nastoiachego dll i vozvrachat` pointer na nego, i vse fashivyi dll zagruzhen. To zhe samoe mozhno sdelat` dlia outproc server.
Derzaite...
|
| | | | |
ещё ключик 27.10.01 05:46
Автор: grok Статус: Незарегистрированный пользователь Отредактировано 27.10.01 05:47 Количество правок: 1
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName Вроде не называли...
Ссылка по теме - http://www.tlsecurity.net/auto.html - Known Autostarts Methods used by Trojans/Backdoors.
|
| | | | | |
ещё ключик 29.10.01 10:18
Автор: paganoid Статус: Member
|
> HKEY_LOCAL_MACHINE\Software\Microsoft\Active > Setup\Installed Components\KeyName Вроде не называли...
мне не удалось его использовать :(
но добавил в файл всё-таки.
про Shell штуки - добавил..
про COM-объекты тоже частично добавил ..
|
| | | |
классный батник... если не секрет - ты сам его для чего ипользовал? 26.10.01 17:49
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
| | | | |
да просто так 26.10.01 17:55
Автор: paganoid Статус: Member
|
Вообще-то я его только что написал :))
(щас, кстати, дополню автозапуском Office и комментариями)
так, собрал в единую кучу опыт по вычищению троянов/дряни в автостарте...
|
| | | | | |
Закинь мне как допишешь :) или в форум.. 26.10.01 21:37
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
| | | | | |
ну ты руль :)) ася есть? 26.10.01 18:02
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
| | | | | | |
я сруль хехе:) аська есть, но там не бываю 26.10.01 18:24
Автор: paganoid Статус: Member
|
|
| | | |
Классный батник :) спасибо, буду юзать, а то иногда такая проблема возникает. 26.10.01 17:20
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
вот такая ситуевина... нид хэлп 21.10.01 22:24
Автор: ggg <ggg> Статус: Elderman
|
если кейлоггер реализован через SetWindowsHookEx() то напиши маленькую прогу, которая просмотрит список модулей в самой себе после запуска (Module32First/Next()) и запишет его в текстовый файл
пусть эта барышня запустит прогу и пришлёт тебе результат
как вариант - пусть прога сама тебе по TCP пошлёт результат :)
или пусть барышня поставит себе сервер трояна :)
только если она на dialup, то могут быть проблемы долго находиться в онлайне :)
|
|
|