Как можно сделать автозапуск, который будет чист в рантайме?

[Alexey18]

Интересует пока идея по виндовс дефендеру
Решил попробовать сделать авторан на C++. Все функции скрываю.
Методом тестов понял, что методика ярлыков детектится.
Установка значений реесра в пути HKEY_CURRENT_USER детектится,
Установка значений реестра HKEY_LOCAL_MACHINE можно сказать тоже детектится,(не кричит, всё гуд как кажется) только винда тупо не даёт поставить значения в реестре- и после перезапуска нон ворк. (И права админа не помогают)

Может ли кто подсказать идеи, куда копать?

 

[Ladger]

Интересует пока идея по виндовс дефендеру
Решил попробовать сделать авторан на C++. Все функции скрываю.
Методом тестов понял, что методика ярлыков детектится.
Установка значений реесра в пути HKEY_CURRENT_USER детектится,
Установка значений реестра HKEY_LOCAL_MACHINE можно сказать тоже детектится,(не кричит, всё гуд как кажется) только винда тупо не даёт поставить значения в реестре- и после перезапуска нон ворк. (И права админа не помогают)

Может ли кто подсказать идеи, куда копать?

Могу посоветовать только так:
1) Брать все пути с автозагрузки
2) Проверять на доступ замены файлов
3) Заменять один файл по пути с AutoRun
Идею дал, дальше сам

 

[DoomSlayer2002]

Интересует пока идея по виндовс дефендеру
Решил попробовать сделать авторан на C++. Все функции скрываю.
Методом тестов понял, что методика ярлыков детектится.
Установка значений реесра в пути HKEY_CURRENT_USER детектится,
Установка значений реестра HKEY_LOCAL_MACHINE можно сказать тоже детектится,(не кричит, всё гуд как кажется) только винда тупо не даёт поставить значения в реестре- и после перезапуска нон ворк. (И права админа не помогают)

Может ли кто подсказать идеи, куда копать?

Шедулер пробовал? Только не так что типо ShellExecute("schtasks /create /tn" blabla
а как положено через COM https://learn.microsoft.com/ru-ru/windows/win32/api/taskschd/nn-taskschd-itaskservice

 

[MekkeyBug]

Установить свой бинарь, как службу

 

[r3xq1]

Пример на Шарпе.

 

[Dart]

Установить свой бинарь, как службу

для этого нужно апнуть nt authority system с помощью psexec или тащить какие-то планировщики сторонние с подписью

 

[MekkeyBug]

для этого нужно апнуть nt authority system с помощью psexec или тащить какие-то планировщики сторонние с подписью

Для чего? sc create и хватит админских прав. Единственное, только, сам бинарь должен быть сделан как служба виндовс

The Complete Service Sample - Win32 apps

Learn more about: The Complete Service Sample

learn.microsoft.com

 

[Dart]

Для чего? sc create и хватит админских прав. Единственное, только, сам бинарь должен быть сделан как служба виндовс

The Complete Service Sample - Win32 apps

Learn more about: The Complete Service Sample

learn.microsoft.com

и подписи не нужны даже? что-то перепутал значит. спасибо

 

[MekkeyBug]

и подписи не нужны даже?

Подписи для драйвера нужны

 

[Dart]

Подписи для драйвера нужны

а, вот память не подвела, получается

 

[ZXSCoder]

Пример на Шарпе.

Я на гите у тебя видел COM-Startup он сильно палится?

 

[Dart]

есть ли способ добавить программу в автозапук имея только доступ к fs с правами юзера? извините, что влезаю

 

[r3xq1]

Я на гите у тебя видел COM-Startup он сильно палится?

Возьми да проверь

 

[InCrease]

Лучшее решение это автозапуск через планировщик заданий, а не через реестр и ярлыки тем-более.
Не нужно ничего делать с правами, работает как под админом, так и под юзером, не детектируется, не заметен диспетчеру задач и программам контроля автозагрузки.

 

[belogwardeets]

Можно с помощью двух утилит: at и schtasks. Вторая запустит задачу от имени пользователя, добавившего задание, первая — от имени системы.
Ещё можно через добавление сервиса, но это маленько палевно

 

[InCrease]

Можно с помощью двух утилит: at и schtasks. Вторая запустит задачу от имени пользователя, добавившего задание, первая — от имени системы.
Ещё можно через добавление сервиса, но это маленько палевно

schtasks это ни есть правильно.
Правильно через COM объекты.
Последнее - сложная задача, т.к. информации мало, она спутана, часто куски нерабочего кода попадаются.
Но все-же решаемо.
Если хорошенько напрячься то можно получить код, который работает и под юзером и под админом, а так же создает задачи с разными параметрами, срабатывающие по времени, при запуске ОС и так далее.

 

[reqwest]

Последнее - сложная задача

Не сказать что сложная - на том же мсдн много примеров с созданием задач с разными триггерами, здесь на форуме где-то видел топик с готовой реализацией. Так же не стоит забывать что у некоторых ав может быть стояк на создание задачи с запуском левого файла.

 

[Alexey18]

schtasks это ни есть правильно.
Правильно через COM объекты.
Последнее - сложная задача, т.к. информации мало, она спутана, часто куски нерабочего кода попадаются.
Но все-же решаемо.
Если хорошенько напрячься то можно получить код, который работает и под юзером и под админом, а так же создает задачи с разными параметрами, срабатывающие по времени, при запуске ОС и так далее.

мужики, а что тупо запуская schtasks даже дефендер палит в рантайме? и в любом случае лучший вар через COM?

 

[InCrease]

мужики, а что тупо запуская schtasks даже дефендер палит в рантайме?

Странная логика.
Зачем вообще тогда schtasks если каждый его запуск будет ловить Деф?

и в любом случае лучший вар через COM?

Да, напрямую всегда лучше, чем через посредниика.

 

[qGodless]

https://xss.pro/threads/72626/

this might help