Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Автозапуск клиента 22.12.07 10:35 Число просмотров: 2985
Автор: Алекс <Алексей aka cosmo_vk> Статус: Member
Отредактировано 22.12.07 10:38 Количество правок: 1
|
Еще один способ маскировки заключается в прописывании клиента в автозапуск через реестр.
Суть такова:
Берется блокнот в нем пишутся такие строки:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Svchost"="C:\\Program Files\\Windows NT\\dnet\\svchost.exe"
, где самый первый "Svchost" - это название параметра в реестре, а второй - его значение, указывающие где стоит наш клиент и
соотвественно название самого клиента.
Сохраняем сие творение с расширением .reg
Затем создаем новый документ с таким содержанием:
C:\WINDOWS\system32\reg import startup.reg
copy "C:\Program Files\Windows NT\dnet\svchost.ini" "C:\Program Files\Windows NT\"
del C:\WINDOWS\system32\startup.reg
del firstrun.cmd
и сохраняем его как firstrun.cmd
Поясню, что делается в нем:
1 строка импортирует настройки из нашего скопированного файла startup.reg в реестр
2 строка копирует любой файл из папки где стоит клиент(можно что угодно копировать) в другую, чтоб удостовериться что cmd-к,
отработал, а не просто его удалили.
3 строкой удаляем файл с параметрами реестра
ну и 4-й соответсвенно файл, из которого все это выполнялось.
файл firstrun.cmd соответсвенно помещаем в автозагруз пользователю(лучше всего это в AllUsers, чтоб наверняка),
а файл startup.reg в C:\WINDOWS\system32\
Ждем загрузки компа с клиентом, командный файл отрабатывает и на следующий день наш клиент загружается
без всяких проблем вне зависимости от хотения юзеров на этой машине.
Отличие от команды -install в клиенте в том, что в реестр многие боятся лазить(даже анализируя через msconfig),
а вот в службы могут спокойно залезть и увидеть нашего клиента, т.к. он так и называется там.
Плюс выбор маскировки пал на svchost.exe так как под ним запускается все что угодно,
а вот под другими всего 1, максимум два процесса(winlogon.exe, lsass.exe). Но есть один минус у svchost -
его можно рубануть через TaskManager, т.к. он не входит в список критических процессов.
Не забываем про конфиг "невидимости" клиента. :)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
