|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Info - DrWeb (хочу знать все) |
|
|
Info - DrWeb (хочу знать все)
|
Старожил Сообщения: 284 |
Добавление своих данных под самозащиту DrWeb (DwProt.sys)
Мало кто из нас знает, что в DrWeb можно указать свои данные которые будут защищаться. Найти данные которые защищаються, можно по след. пути: Код:
 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters Для добавления или удаления данных, надо отключить самозащиту DrWeb. В Других Антивирусах я не нашел таких списков, где можно указать драйверу данные для защиты. Так что выбрал, вариант проще и выбрал DrWeb --- Вам надоел вирус который прописываеться в Winlogon! или постоянно блокируться Диспетчер задач, реестр и так далее.. Добавьте их в защиту, на примере файла .Reg , ниже я расскажу как! --- Для начало настройте DrWeb. Код:
"BlockCriticalObjects"=dword:00000001 "BlockHOSTSFile"=dword:00000000 "DriverDrive"="C:" "DriverPath"="\\WINDOWS\\system32\\drivers\\dwprot.sys" "RemovableDisable"=dword:00000000 "NetUserDisable"=dword:00000000 "DrWebControl"=dword:00000001 "SystemControl"=dword:00000001 "DrWebIntegrity"=dword:00000000 "ParentalControl"=dword:00000000 "ParentalFileControl"=dword:00000000 "DiskProtect"=dword:00000001 "WndSendInputControl"=dword:00000001 --- Как добавиться данные путем .reg файла Рассмотрим на примере NTDETECT.COM файла Создаем пустой текстовый док. в нем прописываем эти данные Код:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] "Drive"="C:" "Name"="\\NTDETECT.COM" "Type"=dword:00000001 Уточнение: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] (1) - это номер нашего файла, дальше будет 2,3 и так далее "Drive"="C:" диск где находиться файл "Name"="\\NTDETECT.COM" путь к файлу и его имя "Type"=dword:00000001 тип защиты На данном примере, можно указать свои файлы и папки. Отключаем самозащиту и запускаем наш файл reg, на вопрос нажимаем да, се файл должен занестись в список защиты --- Добавляем ключ реестра, на примере моего К примеру я хочу защитить от изменения под-ключи, раздела Winlogon Код:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] "Name"="Shell" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] "Name"="UIHost" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] "Name"="Userinit" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] "Name"="VmApplet" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] "Name"="System" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] "Name"="Taskman" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] "Name"="GinaDLL" Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] (2) номер, может указываться любой "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" путь раздела в котором будут защищены указ.мной ключи "Type"=dword:00000001 тип защиты [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] номер ключа "Name"="Shell" имя ключа [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] номер ключа "Name"="UIHost" имя ключа [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] и так далее "Name"="Userinit" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] "Name"="VmApplet" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] "Name"="System" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] "Name"="Taskman" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] "Name"="GinaDLL" Тут я указал, какие ключики будут защищаться отдельно, но не весь раздел --- На данном примере я покажу как защитить весь раздел. Код:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" "Type"=dword:00000001 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] (1) номер раздела "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" путь раздела, тут я его указал без под разделов , он отличаеться от примера выше. "Type"=dword:00000001 --- Мои примеры по файлам для XP: Код:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] "Drive"="C:" "Name"="\\NTDETECT.COM" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\2] "Drive"="C:" "Name"="\\ntldr" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\3] "Drive"="C:" "Name"="\\Windows\\Explorer.exe" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\4] "Drive"="C:" "Name"="\\Windows\\Win.ini" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\5] "Drive"="C:" "Name"="\\WINDOWS\\system32\\drivers\\etc" "Type"=dword:00000001 --- По реестру: Код:
Windows Registry Editor Version 5.00 ******************************************* [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] "Name"="Shell" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] "Name"="UIHost" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] "Name"="Userinit" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] "Name"="VmApplet" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] "Name"="System" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] "Name"="Taskman" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] "Name"="GinaDLL" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\3] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\4] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\exefile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\5] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\comfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\6] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\batfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\7] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cerfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\8] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cmdfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\9] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\crlfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\10] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\dllfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\11] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\folder" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\12] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inifile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\13] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inffile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\14] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\jpegfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\15] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\lnkfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\16] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regedit" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\17] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\18] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\shell" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\19] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\txtfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\20] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\vbsfile" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\21] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\GPExtensions" "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\22] "Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32" "Type"=dword:00000001 |
|
|
------- Отправлено: 11:09, 13-03-2013 |
|
Старожил Сообщения: 284
|
Профиль | Отправить PM | Цитировать Так же Драйвер может работать сам по себе, без самого DrWeb'a, кого заинтересует данный вопрос, пишите расскажу как это сделать.
|
|
------- Отправлено: 11:30, 13-03-2013 | #2 |
|
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Достаточно соблюдать самую первую и самую важную норму безопасности — не входить в систему с привилегиями Администратора, и все указанные выше "защищаемые" файлы и ключи реестра (о, чудо!) оказываются уже защищёнными разрешениями реестра и NTFS.
Это работает с 1993 года. |
|
------- Отправлено: 12:52, 13-03-2013 | #3 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Хочу все знать -прослушка телефонов- :( | vovikrus | Хочу все знать | 11 | 27-01-2022 12:50 | |
| хочу знать о Foxconn A88GM. Посоветуйте | Baiker | Материнские платы и память | 11 | 23-07-2010 15:26 | |
| Flash - Хочу всё знать о своей флешке! | Sandre | Хочу все знать | 17 | 29-04-2010 14:40 | |
| хочу знать как посмотреть набранный текст | Thio | Хочу все знать | 8 | 26-04-2007 17:38 | |
| Хочу знать! | Alex Sandr | Хочу все знать | 1 | 28-09-2004 08:33 | |
|
|
Время: 22:10. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
