Разработчики вредителей постоянно адаптируют свою инфекцию с целью противодействовать известным в настоящее время методам удаления. Поэтому они часто выпускают новые варианты, которые не поддаются ни одному из имеющихся способов лечения.
Многие незваные программы будут пытаться повторно установить, связанные с ними элементы автозапуска сразу после их удаления. Если это случится, можно попробовать загрузиться в безопасном режиме (safe mode), чтобы удалить этих нарушителей. Тем не менее, сначала необходимо в Process Explorer завершить работу процессов-вредителей, которые отвечают за повторную установку элементов автозапуска, если эти процессы выполняются. Некоторые программы устанавливают ключи реестра, чтобы обеспечить работу данной программы в безопасном режиме. Конечно, это делает процесс удаления связанной с ними инфекции еще более трудным.
Автозапуск из реестра
Программа может использовать несколько механизмов для того, чтобы обеспечить свою работу в безопасном режиме. Если программа запускается с мощью следующих элементов автозапуска и значению предшествует звездочка (*), такая программа будет запускаться и в безопасном режиме:
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Current VersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindows Current VersionRun
rootkit и другие вредители устанавливают следующие два ключа реестра, чтобы обеспечить свой запуск в безопасном режиме:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SafeBootMinimal
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SafeBootNetwork
Microsoft также использует первый ключ, чтобы обеспечить запуск необходимых Windows сервисов в безопасном режиме.
- Управление активностью с помощью Process ExplorerProcess Explorer позволяет узнать практически.
">Возможности Process Explorer — 29/11/2012 05:49
Защита системы от уязвимостейProcess Explorer и Autoruns являются прекрасным дополнением к.
">Process Explorer и Autoruns — 29/11/2012 05:43
Сравнение снимков автозапускаВ тот момент, когда, как вам известно, ваш компьютер чист от.
- Autoruns для управления автозапускомAutoruns располагает некоторыми очень мощными возможностями.
">Управление элементами автозапуска — 28/11/2012 10:28
Меню AutorunsМеню Autoruns имеет следующие функции: File, Entry, Options, User и Help. Рассмотрим.
">Функции меню Autoruns — 28/11/2012 10:24
Опции Autoruns По умолчанию у программы Autoruns отключены следующие три опции: Include Empty.
Egolds
Суть проста, ищем уже добавленные файлы в автозагрузку, и случайный из них заменяем собой.
Код реализован на C#. И конечно же требует доработок.
Что скажете?
Changer431
Member
Суть проста, ищем уже добавленные файлы в автозагрузку, и случайный из них заменяем собой.
Код реализован на C#. И конечно же требует доработок.
Что скажете?
допустим ты подменил оригинальный хром. юзаер запускет ярлык по хрому- ниче не происходит. максимум сутки жить такой маскировке.
Egolds
допустим ты подменил оригинальный хром. юзаер запускет ярлык по хрому- ниче не происходит. максимум сутки жить такой маскировке.
Member
Egolds
Member
Egolds
Changer431
Member
Member
Egolds
Из стоящего нашел инжект dotnet’овских dll, и то сам инжект и вызов реализован на c++.
И поковырялся в коде, можно инжектить свой dotnet код уже в запущенный процесс, приложение которого также dotnet, а не нативное.
И ещё разве что редактировать с помощью класса Assembly, исходный код чужого приложения, добавляя в него свой код, но также это не сработает с нативным приложением.
Если можно более конкретную ссылку, потому что в гугл посылать с банальным запросом я тоже умею.
Member
Вот поэтому и используют С++ для таких дел. Рекомендую обратить внимание в сторону С++.
В теории можно и на С# такое сделать, принцип одинаков. Могу где-то ошибиться, но нужно делать так:
1) При запуске наш инжектор копирует наш exe’шник куда-нибудь и запоминает путь
2) Инжектор хранит в себе в виде шелл-кода код, который запустит в отдельном процессе наш exe’шник по сохранённому пути
3) Затем инжектор находит в хроме (например) место, куда можно внедрить наш шелл-код и внедряет его
4) В точке входа хрома заменяем оригинальные asm-инструкции на jump к началу нашего шелл-кода
5) Оригинальные инструкции сохраняем и дописываем после нашего шелл-кода
6) После дописываем jump на asm-инструкцию, которая идёт сразу за jump на наш шелл-код в точке входа
Это уже не инжект, а патчинг получается. Рекомендую погуглить об этом тоже.
Итого, что получается: при запуске хрома, будет выполнен переход на наш шелл-код, который запустит в отдельном процессе наш exe’шник, а затем будет выполнен переход обратно на код хрома.
Здесь следует так же учитывать пару моментов:
1) При патчинге, самое главное — не повредить файл, который патчим, не нарушить его целостность
2) АВ на такую активность может среагировать
Опытные пользователи знают, что со временем, по мере роста количества установленных приложений, операционная система Windows все дольше и дольше загружается. В первую очередь это связано с тем, что многие программы добавляются в так званую автозагрузку Windows и запускаются всякий раз, когда вы включаете компьютер и потребляют ресурсы компьютера, в частности оперативную память.
Чтобы "на глаз" оценить, сколько запущено программ автоматически, сразу после включения компьютера нажмите на значок "Отображать скрытые значки" в трее (обычно после автозапуска программы сворачиваются именно в трей).
У многих программ в настройках есть опция, позволяющая отключить ее запуск вместе с включением компьютера. Например, вот так выглядит эта опция в программе "uTorrent":
Если в настройках приложения нет подобной опции, для отключения его автозапуска можно воспользоваться встроенным в Windows средством – "Конфигурация системы". Для этого нажмите на комбинацию клавиш "Win+R", наберите команду "msconfig" и нажмите на кнопку "ОК".
На вкладке "Автозагрузка" можно увидеть список программ, запускающихся при загрузке Windows. Уберите галочки рядом с теми программами, автозапуск которых вы хотите отключить и нажмите на кнопку "ОК". Для вступления изменений в силу необходимо перезагрузить компьютер.
Внимание! Отключайте только те программы, которые вам известны!
К сожалению, не все программы с автозапуском отображаются в окне "Конфигурация системы". Если вы не нашли интересующей вас программы в списке, можно воспользоваться сторонними инструментами: "Starter" или "CCleaner".
Starter
Программа Starter пользуется популярностью очень много лет. Она была разработана специально с целью поиска и отключения автозапуска программ в системах Microsoft Windows 9x, Me, NT, 2000, XP, 2003, Vista. Опытным путем установлено, что программа успешно работает и на Windows 7. Starter может показать больше чем "Конфигурация системы", так как она умеет обнаруживать скрытые записи в реестре, элементы папок автозагрузки и некоторые из файлов инициализации. Также радует то, что доступна портативная версия, не требующая установки (именно ею я чаще всего пользуюсь). При выделении программы в списке, внизу окна появляется ее описание. Чтобы отключить автозапуск выбранной программы, просто уберите галочку возле нее.
CCleaner
Также функция управления автозапуском программ присутствует в популярной программе для очистки компьютера CCleaner. Чтобы отключить программу, зайдите в "Сервис > Автозагрузка" выделите желаемую программу в списке и нажмите на кнопку "Выключить".
Рекомендую только отключать программы, но не удалять их полностью из автозагрузки. Возможно, если вы увидите неработоспособность программы, возникнет необходимость включить ее обратно.
Загрузка...
