Старый 30.03.2014, 23:35   #1
antikrya
 
Аватар для antikrya
 
Регистрация: 30.03.2014
Сообщений: 4
Репутация: 0
По умолчанию скрытый автозапуск/переименование процессов

Здравствуйте, есть софт (скрытый рмс), хотелось бы узнать как засунуть его в автозагрузку, но чтобы его там небыло видно, а так-же хотелось бы узнать как скрыть/переименовать процессы в диспетчере?
antikrya вне форума   Ответить с цитированием
Старый 04.04.2014, 16:07   #2
Nu11ers3t
 
Аватар для Nu11ers3t
 
Регистрация: 06.01.2014
Сообщений: 1
Репутация: 0
По умолчанию

*facepalm*

Ты как сюда попал, извини меня?

Ладно, так и быть:

1) Имя процесса = имени файла, в котором исполняется код, т.е нужно либо делать инжект в нужный процесс, либо просто тупо переименовать *.exe файл
2) Для сокрытия нужно перехватывать WinApi функцию NtQuerySystemInformation, чтобы сделать процесс не убиваемым нужно перехватить OpenProcess и TerminateProcess

Вот перехват: _ttp://habrahabr.ru/post/90377/
3) В автозагрузку проще всего кинуть через реестр HKCU\Software\Microsoft\Windows\CurrentVersion\Run и там создать новый параметр со значением до запускаемой программы. Можно тупо кинуть ярлык в папку автозапуска ( но это смешно, да? ). Есть еще много ключей авторана, все не перечислишь - гугли;
4) Чтобы не было видно ключ в реестре, не поверишь, нужно перехватить опять же Win Api функцию, только уже RegQueryInfoKey
Nu11ers3t вне форума   Ответить с цитированием
Старый 18.04.2014, 16:22   #3
antikrya
 
Аватар для antikrya
 
Регистрация: 30.03.2014
Сообщений: 4
Репутация: 0
По умолчанию

Как как, знал о рдоте давно, но небыло необходимости регаться, а сейчас стал интересен вышеизложенный вопрос, вот и зарегистрировался. Спасибо за ответы!
antikrya вне форума   Ответить с цитированием
Старый 20.04.2014, 15:33   #4
Fox Mulder
 
Аватар для Fox Mulder
 
Регистрация: 20.04.2014
Сообщений: 2
Репутация: 0
По умолчанию

You should to know that all of the actions described by Nu11ers3t as a red rag to antivirus.
__________________
the Truth is out there.
Fox Mulder вне форума   Ответить с цитированием
Старый 21.04.2014, 19:12   #5
antikrya
 
Аватар для antikrya
 
Регистрация: 30.03.2014
Сообщений: 4
Репутация: 0
По умолчанию

Already noticed, we need other ways.
antikrya вне форума   Ответить с цитированием
Старый 22.04.2014, 16:20   #6
lefty
 
Аватар для lefty
 
Регистрация: 01.09.2011
Сообщений: 50
Репутация: 13
По умолчанию

antikrya,

как не самые худшие варианты:
- файловый инфектор (заинфектить что-то из того, что уже в автозапуске)
- dll hijack (много вариантов, как один из - http://greatis.com/security/explorer_redirection_dll_startup_hole.htm)
- автозапуск через shell extensions

ну и возьми AutoRuns от г-н Руссиновича "autorunsc.exe -a" и посмотри чего там "File not found" и подложи свое.

а все эти хуки-хуюки и примитивные юзерлэнд руткиты, что тебе Nu11ers3t насоветовал - только аверов тригерить.
lefty вне форума   Ответить с цитированием
Старый 22.04.2014, 19:34   #7
antikrya
 
Аватар для antikrya
 
Регистрация: 30.03.2014
Сообщений: 4
Репутация: 0
По умолчанию

lefty, спасибо, надо будет разобраться и попробовать.
antikrya вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot