- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Всем привет!
Как я понял, что эта тема интересна здесь...
В общем под закреплением в систему я понимаю повторный запуск зверька, после например перезапуска системы.
Способов на самом деле много, да и возможно такая тема тут уже была, но перечислю что знаю, с возможными плюсами/минусами каждого способа:
1)Копирование в папку "Автозагрузка", простой способ, но минус что "жертва" может это всё дело увидеть, просто просмотрев папку автозагрузки.
Также из плюса данного способа, что не нужно теребить UAC.
Из минусов ещё, то-что часто такое копирование в рантайме не нравятся антивирусам.)
Поэтому тут нужно что-то придумывать, из очевидных способов, не нужно делать ваших зверьков монолитными (Одна программа, где весь функционал), я-бы предлагал разделить функционал зверька при проектировании, например функционал инсталяции можно делать скриптом, тем-же батником как вариант, для антивируса это уже может-быть вполне легальная программа, также батник относительно легко поддается чистки, например обфускации кода.
Также и про обход файервола, вполне-себе можно вынести отсылку чего-то в сеть, в рамки какой-то "белой" программы, которая в белом списке у ав.)
Белые списки программ, это ахилесова пята любой защиты, но без них никак.)
2)Отошёл я что-то от темы, второй способ, ну очевидно реестр.
Тут можно добавлять как для одной учетки системы, в котором был запущен зверёк, тут из плюсов что также не нужно дёргать UAC, можно ещё добавить в автозагрузку для всех пользователей системы, но тут уже нужно повышать права в UAC.
3)Планировщик, честно не видел зверьков, которые использовали-бы планировщик, легальные программы активно используют отложенный запуск после старта системы.
С чем это связанно ?
Возможно проще добавить в реестр, UAC нужно повышать.
4)Использовать ярлыки популярных программ, например можно инфицировать ярлыки браузеров и при запуске браузера, запустится и ваш зверек.
Из популярных вредоносов, кто так делал, это вот webalta-вирус
5)Есть ветка в реесте:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows
А конкретно интересны следующие параметры:
AppInit_DLLs — определяет библиотеки, необходимые для совместимости с каким_нибудь оборудованием или программой.
Все описанные в данном параметре библиотеки будут запускаться перед запуском любой программы.
Как это использовать и минусы данного способа тут:User-mode rootkit for windows: Скрытие файлов и процессов от пользователя
6)Ну можно использовать сервисы, но тут это имеет смысл если вы имеете повышенные права в системе, хотя я думаю смысла сервис создавать нет, проще использовать метод реееста из пункта 2.
7)Заражение исполняемых файлов, смысл в том что после запуска исполняемого файла, запускается зверёк, раньше очень-очень давно этот метод для закрепления в системе и распространении имел популярность, но сейчас перестал существовать в силу того-что, антивирусы научились с этим бороться.
Ну вроде всё что знал, можете дополнять...)
Как я понял, что эта тема интересна здесь...
В общем под закреплением в систему я понимаю повторный запуск зверька, после например перезапуска системы.
Способов на самом деле много, да и возможно такая тема тут уже была, но перечислю что знаю, с возможными плюсами/минусами каждого способа:
1)Копирование в папку "Автозагрузка", простой способ, но минус что "жертва" может это всё дело увидеть, просто просмотрев папку автозагрузки.
Также из плюса данного способа, что не нужно теребить UAC.
Из минусов ещё, то-что часто такое копирование в рантайме не нравятся антивирусам.)
Поэтому тут нужно что-то придумывать, из очевидных способов, не нужно делать ваших зверьков монолитными (Одна программа, где весь функционал), я-бы предлагал разделить функционал зверька при проектировании, например функционал инсталяции можно делать скриптом, тем-же батником как вариант, для антивируса это уже может-быть вполне легальная программа, также батник относительно легко поддается чистки, например обфускации кода.
Также и про обход файервола, вполне-себе можно вынести отсылку чего-то в сеть, в рамки какой-то "белой" программы, которая в белом списке у ав.)
Белые списки программ, это ахилесова пята любой защиты, но без них никак.)
2)Отошёл я что-то от темы, второй способ, ну очевидно реестр.
Тут можно добавлять как для одной учетки системы, в котором был запущен зверёк, тут из плюсов что также не нужно дёргать UAC, можно ещё добавить в автозагрузку для всех пользователей системы, но тут уже нужно повышать права в UAC.
3)Планировщик, честно не видел зверьков, которые использовали-бы планировщик, легальные программы активно используют отложенный запуск после старта системы.
С чем это связанно ?
Возможно проще добавить в реестр, UAC нужно повышать.
4)Использовать ярлыки популярных программ, например можно инфицировать ярлыки браузеров и при запуске браузера, запустится и ваш зверек.
Из популярных вредоносов, кто так делал, это вот webalta-вирус
5)Есть ветка в реесте:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows
А конкретно интересны следующие параметры:
AppInit_DLLs — определяет библиотеки, необходимые для совместимости с каким_нибудь оборудованием или программой.
Все описанные в данном параметре библиотеки будут запускаться перед запуском любой программы.
Как это использовать и минусы данного способа тут:User-mode rootkit for windows: Скрытие файлов и процессов от пользователя
6)Ну можно использовать сервисы, но тут это имеет смысл если вы имеете повышенные права в системе, хотя я думаю смысла сервис создавать нет, проще использовать метод реееста из пункта 2.
7)Заражение исполняемых файлов, смысл в том что после запуска исполняемого файла, запускается зверёк, раньше очень-очень давно этот метод для закрепления в системе и распространении имел популярность, но сейчас перестал существовать в силу того-что, антивирусы научились с этим бороться.
Ну вроде всё что знал, можете дополнять...)
