[zeroua]

Цитата jameszero:

Замысел хороший, реализацию только нужно проработать »

, думаю если вы так выразились у вас появились по этому поводу хорошие идеи. Мне и другим участникам было бы интересно увидеть ваши совете по реализации данной задумки, а может и саму реализацию, если вас это конечно заинтересовало.

[Dmitry_K]

Цитата zeroua:

Мне и другим участникам было бы интересно увидеть ваши совете по реализации »

да что там реализовывать-то, клади файлы в любое место, отличное от system32 и dllcache и запускай оттуда

[S.T.R.E.L.O.K.]

Цитата Dmitry_K:

да что там реализовывать-то, клади файлы в любое место, отличное от system32 и dllcache и запускай оттуда »

а если требуется жёсткий запуск диспетчера через "CTRL+ALT+DEL".

Интересно, можно ли это сочетание переписать на запуск патченного диспетчера.

Цитата jameszero:

Замысел хороший, реализацию только нужно проработать

Как думаете Mr dUSHA согласится подписать, или вы уже сами научились .

[XXXler]

имхо, указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами

[simplix]

Какой смысл патчить файлы ради отключения проверки? И как потом ограничивать пользователям доступ в корпоративной среде?
Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости:

Код:

[Version]
Signature="$Chicago$"

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0

Но запускать нужно не двойным щелчком, а правой кнопкой мыши и выбрать в меню пункт "Установить".

[Amigos]

2 all
upd от 07.07.10 - аддоны заменены, теперь пропатченные REGEDIT.EXE и taskmgr.exe не выводятся из списка защиты и подписаны.

за подписанные файлы спасибо jameszero, за реализацию аддонов "с подписью" - Habetdin

Цитата truvo:

а SVCPACK для установки "на живую" возможен или нет? »

теоритически - да (если действительно есть нужда, сделаю).
Практически есть сложности с цифровой подписью на живой системе, да и смысла особого нет - если у вас есть возможность принести на систему носитель со своими файлами (а как иначе в комп попадёт SVCPACK экзешник?) то можно просто принести пропатченные REGEDIT.EXE и taskmgr.exe , запустить их ну и делать с их помощью черное дело то, что нужно.

Цитата GreyAngel:

.Принцип действия патча? »

Цитата Amigos:

перед своим запуском они лезут в реестр в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] и смотрят там хитрые ключики (RegEdit — "DisableRegistryTools", а Taskmgr — "DisableTaskMgr") и если находят - отказываются работать. »

строчки которые ищут программы при запуске, лежат внутри EXE'шника, и в патченых файлах они искажены.
То есть теперь при запуске REGEDIT.EXE и taskmgr.exe прверяют на наличие другую строчку в реестре.
Коректнее было бы совсем убрать проверку в исполняемом коде, но мне это не по зубам, я ограничился искажением строчек.

Цитата GreyAngel:

.Для семёрки подобное возможно организовать? »

конечно. нужно найти в EXE при помощи HEX редактора строчки DisableRegistryTools или DisableTaskMgr (в Unicode) и каким либо образом их закосячить.
Правда придётся поборотся с семерочной защитой системных файлов, но тут я совсем не копенгаген.

Цитата jameszero:

выводить из списка защиты, но последнее чревато тем, что вирус, помимо блокировки файлов в реестре, может попробовать их удалить и ему легко это удастся. »

это в начале нулевых, когда WFP только появилась, удалить/заменить подписанный файл было сложнее чем неподписанный, сейчас - нет

и вообще расматривать WFP как "средство от зловредов" сильно неправильно, она не для этого создавалась и никогда не мешала реальным вирусам/вирусописателям.
Т.е. в реальной жизни система с включеной WFP ничуть не сильнее противостоит зловредам, чем с отключенной

Цитата XXXler:

указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами »

шалости зависят от рук и от головы, а не от утилит.

"борьба с вирусами" в планы и не входила.

простой пример для чего требуются такие утилиты - я пришёл к пользователю "починить" неработающую программу. способ "починки" - удаление ветки с настройками программы в реестре.
А реестр заблокирован вирусом/трояном. Заниматся бесплатным лечением неизвестно насколько запущенной системы не хочется. Хочется быстренько "починить" нужную программу (которой вирусы не мешают) и бежать дальше. Тут то и помогают патченные утилиты.

Цитата simplix:

Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости: »

этот файл нужно иметь с собой (таскать на флешке), а по закону подлости иммено тогда, когда нужно флешки со всем нужным под рукой не оказывается

к тому же есть зловреды которые блокирующие ключи реестра устанвливают не только при своём запуске, но и постоянно в процессе своей работы. т.е. inf ключи сбросит, но после этого зловред как правило успевает их поставить до запуска утилит.

хотя есть способ и в такой ситуации обойтись без патчинга файлов.
пишем CMD

Цитата:

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f regedit.exe

он сразу после удаления ключей запускает regedit.

Цитата simplix:

И как потом ограничивать пользователям доступ в корпоративной среде? »

а разве пользователям в корпоративной среде разрешается ставить на компы свои сборки виндос с произвольным набором аддонов?

В корпоративной среде винду ставит админ, и если он считает, что ему нужен функционал "самоограничения" в regedit и Taskmgr он просто не будет использовать этот аддон.

[truvo]

Amigos, правильно я понял, что ваши regedit и taskmgr отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы, в остальном функционал полнейший?

И ещё вопрос: у меня в системе используется аддон Утилиты от SysInternals и вместо диспетчера задач - Process Explorer. Я запустил ваш taskmgr из аддона и увидел (см. вложение). Вопрос "чайника" - что дальше? Да, я знаю, что в самом окне Process Explorer можно вернуть виндоусовский диспетчер задач, но не может ли быть в таком случае каких-то других сложностей с блокировкой зловредами, связанных уже с самим Process Explorer? Я задаю вопрос теоретически, так как у меня пока, слава богу, ничего не заблокировано.

[Amigos]

Цитата truvo:

отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы, в остальном функционал полнейший? »

функционал полнейший - сравните побайтово с оригинальным - отличаются 3 байтами - 1 байт меняется имя ключа + 2 байта коррекция контрольной суммы в заголовке.

Цитата truvo:

ваши regedit и taskmgr отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы »

нет "мои regedit и taskmgr" полностью повторяют функционал, и их тоже можно заблокировать. Просто ключи реестра для этого будут нестандартные.

[truvo]

Amigos, я там ещё вопросик добавил в пред. посте только что.

[Amigos]

Цитата truvo:

SysInternals и вместо диспетчера задач - Process Explorer. Я запустил ваш taskmgr из аддона и увидел (см. вложение). Вопрос "чайника" - что дальше? Да, я знаю, что в самом окне Process Explorer можно вернуть виндоусовский диспетчер задач, но не может ли быть в таком случае каких-то других сложностей с блокировкой зловредами, связанных уже с самим Process Explorer? »

попробуйте запустить оригинальный taskmgr.exe с "чистого" дистрибутива - получите то же самое.

Цитата Amigos:

"мои regedit и taskmgr" полностью повторяют функционал »

скорее всего у вас сделано по рецепту http://www.cyberforum.ru/windows-admin/thread14598.html

Цитата:

Ответ: замена taskmgr Как вариант: можно создать в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger типа REG_SZ и написать в нём путь к проге. Она будет запускаться вместо taskmgr.exe.

т.е. на вашей системе вместо любого taskmgr будет запускаться Process Explorer
если вирус запишет в эту ветку реестра calc.exe то будет вам при вызове диспечера задачь вызываться калькулятор.
и никакими манипуляциями с самим taskmgr.exe это не исправить