вопросы вирусмейкерам

[ULTRA]

ось -винда, язык с++, формат ехе
1. В какую ветку реестра лучше поцепить автозагрузку ?
2. Как обойти обнаружение инжекции в другой процес со стороны винды и антивиров (файрволов ) ?
3. Какие есть способы иньекции кроме методом создания удаленного процеса и копирования туда блока кода ?
4. Почему иногда при инжекции кода в чужой процес тот аварийно завершается, код инжектится в высокие участки помяти

 

[Маринка]

что то не вижу связи с язык с++, формат ехе
1. имхо если shell - explorer.exe - то туда

 

[ULTRA]

что то не вижу связи с язык с++, формат ехе
------------------------
это чтоб не писали про асм с длл

 

[red_byte]

1. В какую ветку реестра лучше поцепить автозагрузку ?

Думаю целесообразнее будет прописаться сервисом (если речь идет об NT/XP разумеется). А так - еще лучше HKLM/Software/Microsoft/Windows/CurrentVersion/Run еще вроде бы никто не придумал. Regedit тебе в помощь.

 

[Amper]

ULTRA
Помню, в Хакер была отличная статья про способы автозагрузки.. поищи, так куча отличных способов.. номер не помню...

 

[ULTRA]

стандартные,заюзанные месте не интересуют, какой в них прок

 

[Маринка]

еще раз : имхо в шелл прописывать, если там explorer стоит , ну или довавить трою функцию запуска приложения из параметра, и туда прописывать его полностью

место конечно стандартное, но в отлиии от RUN , автозагрузки и сервисов проверить его можно только из regedit

 

[exe0n]

Поищи в реестре logonui и попробуй его заменить на свою прогу.. только потом нужно вызвать этот логонуи.. результат : запуск проги до входа юзера в систему.. опередиш другие спайваре
Точно счас не скажу.. давно баловался humbsup:

 

[Cr4sh]

>> 1. В какую ветку реестра лучше поцепить автозагрузку ?
нивкакую. лучче юзать альтернативные способы (запуск сервиса, инфект експлорера, итп.), т.к. очень много защитных программ пропаливают запись в большинство известных ключей
>> 2. Как обойти обнаружение инжекции в другой процес со стороны винды и антивиров (файрволов ) ?
снять хук с NtOpenProcess и WriteVirtualMemory
>> 4. Почему иногда при инжекции кода в чужой процес тот аварийно завершается, код инжектится в высокие участки помяти
кривая реализация
>> 3. Какие есть способы иньекции кроме методом создания удаленного процеса и копирования туда блока кода ?
через LPC (на секлабе когда-то статья была, если интиресно), правда накладываются некоторые ограничения на внедряемый код

 

[Dr0ne]

Поищи в реестре logonui и попробуй его заменить на свою прогу.. только потом нужно вызвать этот логонуи.. результат : запуск проги до входа юзера в систему.. опередиш другие спайваре
Точно счас не скажу.. давно баловался

я тоже когдато таким баловался. у меня получилось так - если надо выбирать какого-то юзера, то у меня не получалось войти в систему.
может что-то напортачил, но у меня так было

 

[Pokoinik]

ULTRA
Читай MSDN....
Там ВСЕ написано...