Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Автозапуск клиента 22.12.07 10:35 Число просмотров: 3124
Автор: Алекс <Алексей aka cosmo_vk> Статус: Member
Отредактировано 22.12.07 10:38 Количество правок: 1
|
Еще один способ маскировки заключается в прописывании клиента в автозапуск через реестр.
Суть такова:
Берется блокнот в нем пишутся такие строки:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Svchost"="C:\\Program Files\\Windows NT\\dnet\\svchost.exe"
, где самый первый "Svchost" - это название параметра в реестре, а второй - его значение, указывающие где стоит наш клиент и
соотвественно название самого клиента.
Сохраняем сие творение с расширением .reg
Затем создаем новый документ с таким содержанием:
C:\WINDOWS\system32\reg import startup.reg
copy "C:\Program Files\Windows NT\dnet\svchost.ini" "C:\Program Files\Windows NT\"
del C:\WINDOWS\system32\startup.reg
del firstrun.cmd
и сохраняем его как firstrun.cmd
Поясню, что делается в нем:
1 строка импортирует настройки из нашего скопированного файла startup.reg в реестр
2 строка копирует любой файл из папки где стоит клиент(можно что угодно копировать) в другую, чтоб удостовериться что cmd-к,
отработал, а не просто его удалили.
3 строкой удаляем файл с параметрами реестра
ну и 4-й соответсвенно файл, из которого все это выполнялось.
файл firstrun.cmd соответсвенно помещаем в автозагруз пользователю(лучше всего это в AllUsers, чтоб наверняка),
а файл startup.reg в C:\WINDOWS\system32\
Ждем загрузки компа с клиентом, командный файл отрабатывает и на следующий день наш клиент загружается
без всяких проблем вне зависимости от хотения юзеров на этой машине.
Отличие от команды -install в клиенте в том, что в реестр многие боятся лазить(даже анализируя через msconfig),
а вот в службы могут спокойно залезть и увидеть нашего клиента, т.к. он так и называется там.
Плюс выбор маскировки пал на svchost.exe так как под ним запускается все что угодно,
а вот под другими всего 1, максимум два процесса(winlogon.exe, lsass.exe). Но есть один минус у svchost -
его можно рубануть через TaskManager, т.к. он не входит в список критических процессов.
Не забываем про конфиг "невидимости" клиента. :)
|
|
<dnet>
|
[RC5] сори за повтор, но дайте ссылку! 02.12.07 14:00
Автор: maestro_sochi <maestro> Статус: Member
|
нужна програмка автоинсталятор (коров) а то некоторые знакомые мои готовы поставить е на комп но не могут даже в автозагрузку запихнуть корову:))) (не блондинка))))
и чтоб работало и в висте!
|
|
насчет ссылки хз... можно SFX в винраре сделать с запуском... 02.12.07 18:41
Автор: i1 Статус: Незарегистрированный пользователь
|
> нужна програмка автоинсталятор (коров) а то некоторые
> знакомые мои готовы поставить е на комп но не могут даже в
> автозагрузку запихнуть корову:))) (не блондинка))))
> и чтоб работало и в висте!
насчет ссылки хз... можно SFX в винраре сделать с запуском после распаковки dnetc -install...
|
| |
Автозапуск клиента 22.12.07 10:35
Автор: Алекс <Алексей aka cosmo_vk> Статус: Member
Отредактировано 22.12.07 10:38 Количество правок: 1
|
Еще один способ маскировки заключается в прописывании клиента в автозапуск через реестр.
Суть такова:
Берется блокнот в нем пишутся такие строки:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Svchost"="C:\\Program Files\\Windows NT\\dnet\\svchost.exe"
, где самый первый "Svchost" - это название параметра в реестре, а второй - его значение, указывающие где стоит наш клиент и
соотвественно название самого клиента.
Сохраняем сие творение с расширением .reg
Затем создаем новый документ с таким содержанием:
C:\WINDOWS\system32\reg import startup.reg
copy "C:\Program Files\Windows NT\dnet\svchost.ini" "C:\Program Files\Windows NT\"
del C:\WINDOWS\system32\startup.reg
del firstrun.cmd
и сохраняем его как firstrun.cmd
Поясню, что делается в нем:
1 строка импортирует настройки из нашего скопированного файла startup.reg в реестр
2 строка копирует любой файл из папки где стоит клиент(можно что угодно копировать) в другую, чтоб удостовериться что cmd-к,
отработал, а не просто его удалили.
3 строкой удаляем файл с параметрами реестра
ну и 4-й соответсвенно файл, из которого все это выполнялось.
файл firstrun.cmd соответсвенно помещаем в автозагруз пользователю(лучше всего это в AllUsers, чтоб наверняка),
а файл startup.reg в C:\WINDOWS\system32\
Ждем загрузки компа с клиентом, командный файл отрабатывает и на следующий день наш клиент загружается
без всяких проблем вне зависимости от хотения юзеров на этой машине.
Отличие от команды -install в клиенте в том, что в реестр многие боятся лазить(даже анализируя через msconfig),
а вот в службы могут спокойно залезть и увидеть нашего клиента, т.к. он так и называется там.
Плюс выбор маскировки пал на svchost.exe так как под ним запускается все что угодно,
а вот под другими всего 1, максимум два процесса(winlogon.exe, lsass.exe). Но есть один минус у svchost -
его можно рубануть через TaskManager, т.к. он не входит в список критических процессов.
Не забываем про конфиг "невидимости" клиента. :)
|
| | |
[RC5] Автозапуск клиента 24.12.07 19:50
Автор: maestro_sochi <maestro> Статус: Member
|
у меня все намного проще! не обязательно прятать!
с архивом сфх чето не получилось... была раньше програмка автоинсталяции. так вот что то она щас не работет на висте и кажетсья ХР. у меня некоторые люди просто не шарят как ставить вообще в автозагрузку итд. а живут в разных городах!
я сам тоже не хакер чтоб создавать слижком сложные схемы установки:)
|
| | | |
А что именно не получилось? 25.12.07 09:30
Автор: Алекс <Алексей aka cosmo_vk> Статус: Member
Отредактировано 25.12.07 09:46 Количество правок: 3
|
> у меня все намного проще! не обязательно прятать!
> с архивом сфх чето не получилось... была раньше програмка
> автоинсталяции. так вот что то она щас не работет на висте
> и кажетсья ХР. у меня некоторые люди просто не шарят как
> ставить вообще в автозагрузку итд. а живут в разных
> городах!
> я сам тоже не хакер чтоб создавать слижком сложные схемы
> установки:)
А что именно не получилось?
Если как прописать клиента, то делается так:
само собой создаем SFX-архив, после это заходим в параметры SFX на вкладке дополнительно, в поле "Путь для распаковки", указываем, например, C:\Program Files\DNet\. Затем в поле "Выполнить после распаковки" указываем это dnetc.exe -install. Перезагружаемся и зрим нашего запущенного клиента.
Главное настроить файл ini предварительно и добавить его в архив.
|
| | | | |
еще чтоб не перезагружаться можно батник написать и после... 28.12.07 17:10
Автор: i1 Статус: Незарегистрированный пользователь
|
> > у меня все намного проще! не обязательно прятать!
> > с архивом сфх чето не получилось... была раньше
> програмка
> > автоинсталяции. так вот что то она щас не работет на
> висте
> > и кажетсья ХР. у меня некоторые люди просто не шарят
> как
> > ставить вообще в автозагрузку итд. а живут в разных
> > городах!
> > я сам тоже не хакер чтоб создавать слижком сложные
> схемы
> > установки:)
> А что именно не получилось?
> Если как прописать клиента, то делается так:
> само собой создаем SFX-архив, после это заходим в параметры
> SFX на вкладке дополнительно, в поле "Путь для распаковки",
> указываем, например, C:\Program Files\DNet\. Затем в поле
> "Выполнить после распаковки" указываем это dnetc.exe
> -install. Перезагружаемся и зрим нашего запущенного
> клиента.
> Главное настроить файл ini предварительно и добавить его в
> архив.
еще чтоб не перезагружаться можно батник написать и после распаковки запускать его
dnetc -install
net start dnetc (ну или dnetc -svcstart)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
