• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос новорега

Отслеживать
goingHeavenTogether

goingHeavenTogether

HDD-drive
Пользователь
Регистрация
28.11.2024
Сообщения
41
Реакции
16
После того как моя программа повысилась до административных прав ms defender распознает ее как вредоносную и не дает ей дальше выполниться. Мне интересно на что он реагирует и что нужно изменить чтобы все заработало.

Псевдокод такой.

Код: 
НАЧАТЬ
    УСТАНОВИТЬ REGISTRY_PATH в "Software\\Classes\\ms-settings\\shell\\open\\command"
    УСТАНОВИТЬ EXECUTE_VALUE_NAME в ""
    УСТАНОВИТЬ DELEGATE_EXECUTE_VALUE_NAME в "DelegateExecute"
    УСТАНОВИТЬ DELEGATE_EXECUTE_VALUE в 0
    УСТАНОВИТЬ COMMAND_TO_RUN в "cmd.exe /C computerdefaults.exe"

    ЕСЛИ пользователь админ ТОГДА
        ПОКАЗАТЬ сообщение "Ого! Ты теперь админ, добрый человек?"
    ИНАЧЕ
        ПОКАЗАТЬ сообщение "Здорова, добрый человек!"
        
        ПОЛУЧИТЬ путь к исполняемому файлу и сохранить в execPath

        СОЗДАТЬ ключ реестра с REGISTRY_PATH, EXECUTE_VALUE_NAME и execPath
        СОЗДАТЬ ключ реестра DWORD с REGISTRY_PATH, DELEGATE_EXECUTE_VALUE_NAME и DELEGATE_EXECUTE_VALUE

        ЗАПУСТИТЬ процесс с COMMAND_TO_RUN
    КОНЕЦ ЕСЛИ

    ВЕРНУТЬ успех
КОНЕЦ
 
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
goingHeavenTogether сказал(а):
После того как моя программа повысилась до административных прав ms defender распознает ее как вредоносную и не дает ей дальше выполниться. Мне интересно на что он реагирует и что нужно изменить чтобы все заработало.

Псевдокод такой.

Код: 
НАЧАТЬ
    УСТАНОВИТЬ REGISTRY_PATH в "Software\\Classes\\ms-settings\\shell\\open\\command"
    УСТАНОВИТЬ EXECUTE_VALUE_NAME в ""
    УСТАНОВИТЬ DELEGATE_EXECUTE_VALUE_NAME в "DelegateExecute"
    УСТАНОВИТЬ DELEGATE_EXECUTE_VALUE в 0
    УСТАНОВИТЬ COMMAND_TO_RUN в "cmd.exe /C computerdefaults.exe"

    ЕСЛИ пользователь админ ТОГДА
        ПОКАЗАТЬ сообщение "Ого! Ты теперь админ, добрый человек?"
    ИНАЧЕ
        ПОКАЗАТЬ сообщение "Здорова, добрый человек!"
       
        ПОЛУЧИТЬ путь к исполняемому файлу и сохранить в execPath

        СОЗДАТЬ ключ реестра с REGISTRY_PATH, EXECUTE_VALUE_NAME и execPath
        СОЗДАТЬ ключ реестра DWORD с REGISTRY_PATH, DELEGATE_EXECUTE_VALUE_NAME и DELEGATE_EXECUTE_VALUE

        ЗАПУСТИТЬ процесс с COMMAND_TO_RUN
    КОНЕЦ ЕСЛИ

    ВЕРНУТЬ успех
КОНЕЦ
это код на 1C?)
 
За 0 Против
proxy сказал(а):
Че за бред? Выложи нормальный код. Аверы могут ругаться на что угодно.

code - Pastebin.com

Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
pastebin.com pastebin.com
 
За 0 Против
proxy сказал(а):
Какая сигнатура? Через что компилишь?
Сигнатура wacatac b ml. Компилятор clang19.

Вообще зря я эту тему начал. Я же не постарался даже написать что-то нормальное. Программа заведомо говно вот и детект.
 
За 0 Против
Обычно на автоэскалацию привилегий авы ругаются что то наподобие: "Mitigation thread found" и типа того. И ничем от этого не избавишься, если не поставить подпись валидную на файл, сигнатуры тут не при чем (хотя 100500 лет этот метод в паблике) - само поведение вызывает алерт.
 
За 0 Против
goingHeavenTogether сказал(а):
После того как моя программа повысилась до административных прав ms defender распознает ее как вредоносную и не дает ей дальше выполниться. Мне интересно на что он реагирует и что нужно изменить чтобы все заработало.

Псевдокод такой.

Код: 
НАЧАТЬ
    УСТАНОВИТЬ REGISTRY_PATH в "Software\\Classes\\ms-settings\\shell\\open\\command"
    УСТАНОВИТЬ EXECUTE_VALUE_NAME в ""
    УСТАНОВИТЬ DELEGATE_EXECUTE_VALUE_NAME в "DelegateExecute"
    УСТАНОВИТЬ DELEGATE_EXECUTE_VALUE в 0
    УСТАНОВИТЬ COMMAND_TO_RUN в "cmd.exe /C computerdefaults.exe"

    ЕСЛИ пользователь админ ТОГДА
        ПОКАЗАТЬ сообщение "Ого! Ты теперь админ, добрый человек?"
    ИНАЧЕ
        ПОКАЗАТЬ сообщение "Здорова, добрый человек!"
       
        ПОЛУЧИТЬ путь к исполняемому файлу и сохранить в execPath

        СОЗДАТЬ ключ реестра с REGISTRY_PATH, EXECUTE_VALUE_NAME и execPath
        СОЗДАТЬ ключ реестра DWORD с REGISTRY_PATH, DELEGATE_EXECUTE_VALUE_NAME и DELEGATE_EXECUTE_VALUE

        ЗАПУСТИТЬ процесс с COMMAND_TO_RUN
    КОНЕЦ ЕСЛИ

    ВЕРНУТЬ успех
КОНЕЦ
DelegateEx с 0 очень подозрительное действие, лучше не использовать
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
если cloud-protection отключено, то не должно детектиться
а вообще у меня подобное было с fodhelper для эскалации, принцип идентичный
дефендер мониторит регистр судя по всему
там ещё обновления значений в регистре не моментальное, как в базе данных, есть функции flush, поэтому мб каждые новые значения дефендер перехватывает
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх