Windows Startup

← →
Smok_er (2003-04-24 17:28) [0]

Наткнулся тут недавно на прогу.
Умудряется себя грузить при старте виндузы, при этом в реестре никаких записей не нашел.
Как такое можно сделать? Кто-нибудь пытался?

Можно ли сделать так: пишем dll, прописываем в виде какого-то плагина к эксплореру, а в ней делать вызов программы? Извиняюсь, если сказал чепуху, просто очень любопытно, как можно сделать невидимый автостартап.

← →
default (2003-04-24 17:33) [1]

я как-то писал...
висит прога постоянно в памяти при выходе из винды пишет себя в автозагрузку при загрузке винды стирает...
и ещё - проверь файл win.ini - там тоже можно прописаться на автозагрузку

← →
Smok_er (2003-04-24 19:12) [2]

Спасибо за совет, но он не подходит... Я пробовал закрыть прогу, а потом перегружать винду - прога загрузилась.

← →
Scorp (2003-04-24 19:51) [3]

а в "c:\Documents and Settings\ <your username> \Start Menu\Programs\Startup\" пробовал поискать ?

← →
Anatoly Podgorestky (2003-04-24 21:50) [4]

Есть много мест, кроме реестра где можно прописать запуск.

← →
Style (2003-04-24 23:23) [5]

А вот знаете такую чтукенцию, как Нортон Антивирус.
Дык он умудряется запускаться еще перед формой ввода сетевого пароля в Windows NT!

Классная штука. Надо было мне как то пароль начальника узнать.
Заменил EXEльник Антивируса на свой, с хуком клавиш, прога кнопки в файлик пишет потом Антивирус запускает :)

← →
Ihor Osov'yak (2003-04-24 23:26) [6]

Причем некоторые из этих мест зависят от того NT or W9X ...

2 Smok_er (24.04.03 17:28)

об експлоере - и так можно. Но информация о плагинах все же в рееести записывается.. Немного в укромые места, но все же..

← →
Ihor Osov'yak (2003-04-24 23:28) [7]

2 Style © (24.04.03 23:23)

Обычное поведение сервисов..

← →
nikkie (2003-04-25 00:09) [8]

>Style
>Заменил EXEльник Антивируса на свой, с хуком клавиш, прога кнопки в файлик пишет потом Антивирус запускает :)

Народ, я не понял - неужели настолько просто читается пароль? А к чему тогда микрософтовские пальцы-растопырки на тему того, что Ctrl+Alt+Del перехватить нельзя в целях безопасности?

← →
Smok_er (2003-04-25 00:34) [9]

Scorp (24.04.03 19:51)
а в "c:\Documents and Settings\<your username>\Start Menu\Programs\Startup\" пробовал поискать ?

Ну ты меня вообще за ламака принимаешь :) В вин.ини тоже смотрел. Нигде нет.

Ihor Osov"yak © (24.04.03 23:26)
об експлоере - и так можно. Но информация о плагинах все же в рееести записывается.. Немного в укромые места, но все же..

А подробнее можно? Очень интересно!

← →
Style (2003-04-25 09:10) [10]

nikkie ©>> Да достаточно посмотреть стоит ли NAV на компе. Я сам оболдел :) Просто NAV при установке меняет какую то Библиотеку Видовую, а оттуды EXEшник запускается.

← →
AlexKniga (2003-04-25 09:21) [11]

Вот одно из мест, где можно прописать плагин к проводнику:
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

← →
Anatoly Podgorestky (2003-04-25 09:22) [12]

Style © (25.04.03 09:10)
То что они сволочи, давно известно, никаких дел с Петей, за последнии 6 лет, плачевно кончается.

nikkie © (25.04.03 00:09)
А причем тут Ctrl+Alt+Del и установка шпиона в виде сервиса? Против шпиона нет защиты ни в одной системе. И установить шпиона не просто, нужны админовские права. Если админ плохо настроил систему, то есть поделился часть своих прав с пользователем, то конечно в этои Билл виноват.

← →
Style (2003-04-25 10:01) [13]

Anatoly Podgorestky -> Ну непонятно как мелкософт такое позволил.

Кстати походу Norton мой тезка или наооборот 8)

← →
Smok_er (2003-04-25 10:07) [14]

AlexKniga © (25.04.03 09:21)

А есть какой-нибудь пример плагина для шелла?

nikkie © (25.04.03 00:09)

Речь не идет о шпионах. Это просто любопытство.

Anatoly Podgorestky (25.04.03 09:22)
то есть поделился часть своих прав с пользователем, то конечно в этои Билл не виноват.

Я думаю так правильнее...

← →
AlexKniga (2003-04-25 10:26) [15]

2 Smok_er (25.04.03 10:07)
Поиск по Explorer Extension.
Если это то самое, то тебе проще сменить shell.

← →
Smok_er (2003-04-25 11:04) [16]

AlexKniga © (25.04.03 10:26)

Поиск по Explorer Extension.
Если это то самое, то тебе проще сменить shell.

Т.е. заменить explorer? Не, это не подходит. Вряд ли приведенная программа так делает.

← →
AlexKniga (2003-04-25 11:15) [17]

2 Smok_er (25.04.03 11:04)
Если вредная прога грузится как плугин (но ты не знаешь какого типа етот плугин), то можно сменить shell на другой, неподдерживающий расширители проводника.

← →
Ihor Osov'yak (2003-04-25 11:24) [18]

> А подробнее можно? Очень интересно!

msdn, что-то типа

Reusing the Browser\Browser Extensions - ну уж больно подробно рассписано...

← →
DJ_Sedoy (2003-04-25 11:35) [19]

Style

Глупость. В 2000 по крайней мере.
А перехватить в нем Ctrl-Alt-Del и поменять экран логона на свой нельзя.

← →
AlexKniga (2003-04-25 11:43) [20]

2 Smok_er
Напиши конкретно, где ты смотрел.

← →
Anatoly Podgorestky (2003-04-25 12:00) [21]

Style © (25.04.03 10:01)
Если у вас одинаковый подход, так вы еще и родственники

← →
Style (2003-04-25 13:14) [22]

DJ_Sedoy>> Незнаю как в 2000 еще не смотрел, я это еще делал на предыдущей версии...

Anatoly Podgorestky>>
Если бы я хоть малейшим родственничком был я бы здеся не сидел :(

← →
Smok_er (2003-04-25 13:19) [23]

AlexKniga © (25.04.03 11:43)

В смысле конкретно? В какой проге?

← →
nikkie (2003-04-25 13:36) [24]

>Anatoly Podgorestky
>А причем тут Ctrl+Alt+Del и установка шпиона в виде сервиса? Против шпиона нет защиты ни в одной системе.

Хотелось бы уточнить: не против абстрактного шпиона, а против шпиона, читающего доменный пароль юзера. Вот текст

A normal keyboard hook (WH_KEYBOARD) can swallow keystrokes by returning TRUE in the hook procedure. However, this will not work for system keyboard events such as the ones you listed. For Windows NT version4.0 Service Pack 3 and later, you can install a low-level keyboard hook (WH_KEYBOARD_LL) that can detect these system keyboard events and eat all of them, except for CTRL+ALT+DEL. This exception is for security reasons.

Причем тут security reasons? Я так понимал, что это для того, чтобы кто-то типа Style не мог слепить свою формочку типа windows logon и перехватив CTRL+ALT+DEL показать ее, получив таким образом, от юзера пароль. А если все равно хук получает все клавиши, то какие-то это убогие security reasons.

>И установить шпиона не просто, нужны админовские права.
Какие права нужны для установки хука? Необязательно ведь пароль при логине вводится - можно ведь и Lock Computer сделать. И что - любая программа, поставившая хук на клавиатуру, прочитает пароль?

Может, у Style"овского начальника просто сервис-пак не стоял?

← →
Style (2003-04-25 14:02) [25]

>>Может, у Style"овского начальника просто сервис-пак не стоял?

Причем здеся сервис-пак. Я нашел EXEшник (или DLL не помню)переименовал в него, свой. Для этого и прав никаких не надо раз антивир на клиенте стоит! Да и до логона вообще мало что запускается. Просто так мне тогда повезло.

← →
nikkie (2003-04-25 14:37) [26]

>Причем здеся сервис-пак.
Наверное не причем. Мне сначала показалось, что только в SP3 был запрещен перехват CTRL+ALT+DEL. Но перечитал еще раз текст - там говорят, что WH_KEYBOARD_LL только в SP3 появился.

>Я нашел EXEшник (или DLL не помню)переименовал в него, свой.
Мы уже поняли, что Norton умеет куда-то там цепляться, и что ты умеешь файлы переименовывать :)

У меня вопрос возник по поводу безопасности пароля в NT...

← →
Mike Kouzmine (2003-04-25 14:45) [27]

Просто админ кривой. На системные папки общий доступ.

← →
Style (2003-04-25 14:50) [28]

nikkie ©> Да пассворд вообще достать не проблемма..
В общем можно и без хука было.. GetKeyStat"om
Можно просто было узнать хэнл окна Логоновского, и докопатся да Edit"а через GetWindowText.
Главное запустить прогу перед логоном... !!!

Да GetWindowText"ом можно в Explorer"e пароли смотреть (например пришел к другу и посмотрел пассворд на Dial-Up), есть куча программ которые такие дыры имеют. The Bat!, DB Artizan;

Надо еще в XP попробывать winlogon.dll на свое заменить!

← →
Игорь Шевченко (2003-04-25 14:52) [29]

nikkie © (25.04.03 14:37)

перехват CTRL+ALT+DEL запрещен в ЛЮБЫХ версиях NT, независимо от сервис-пака. Тем более, подмена вызова WinLogon

← →
Style (2003-04-25 14:54) [30]

Mike Kouzmine ©>> Да я вообще на свой комп ставил шпиона. Сетевые пароли, то для всех одинаковые. т.е. Пришел он ко мне со скайнером поработать! и все!

← →
Style (2003-04-25 15:00) [31]

Гоню человеки!!! Блин, NT Рулит! все нармально. Антивир после логона запускает. Наверное я это в 98 делал, а вот там NAV перед логоном запускается!

← →
Mike Kouzmine (2003-04-25 15:00) [32]

А ты бы на мой попробовал. Я бы посмотрел.
Сетевые пароли для всех одинаковые? Трижды админ кривой.

← →
nikkie (2003-04-25 15:08) [33]

>Можно просто было узнать хэнл окна Логоновского, и докопатся да Edit"а через GetWindowText
ты сперва попробуй такое сделать, а потом говори.

>Главное запустить прогу перед логоном... !!!
запусти свою программу и сделай Lock Computer - сможешь ли узнать пароль юзера?

>Да GetWindowText"ом можно в Explorer"e пароли смотреть
это две большие разницы...

>Наверное я это в 98 делал
тогда все вопросы снимаются...

← →
Mike Kouzmine (2003-04-25 15:15) [34]

>Надо еще в XP попробывать winlogon.dll на свое заменить!
Ну ну. Синий экран и более ничего.

← →
Style (2003-04-25 15:24) [35]

Mike Kouzmine ©>>> Да не для всех пароли одинаковые. А в смысле на всех компах.

>>запусти свою программу и сделай Lock Computer - сможешь ли узнать пароль юзвера?

Точно это был 98 Я вспомнил, извените за то что панику тут развел!
В 98 Нав запускался раньше. Не придумал же я это. Я просто заметил что перед запуском логона появлялось Свернутое Окно NAV, вот я эту фишку и просек.
Это 4 года назад было.

← →
Игорь Шевченко (2003-04-25 16:46) [36]

Style © (25.04.03 14:50)

> Надо еще в XP попробывать winlogon.dll на свое заменить!

А что мелочиться-то ? Сразу NTOSKRNL.EXE менять тогда уж. Рулез будет вечный и немерянный.

← →
Song (2003-04-25 17:58) [37]

>>Можно просто было узнать хэнл окна Логоновского, и докопатся да Edit"а через GetWindowText.

Через GetWindowText() невозможно узнать содержимое чужого edit"а.

← →
Smok_er (2003-04-25 19:23) [38]

Но никто не мешает послать сообщение WM_GETTEXT
Правда я видел проги, которые не реагируют на это сообщение :)

← →
Игорь Шевченко (2003-04-25 19:25) [39]

> >>Можно просто было узнать хэнл окна Логоновского, и докопатся
> да Edit"а через GetWindowText.

Нельзя. Ни в каком виде.

← →
[NIKEL] (2003-04-25 23:30) [40]

есть такой троян Donald Dick - у него сабж неплохо получается
да и исходники интересные, посмотри в нете

← →
Smok_er (2003-04-26 10:49) [41]

Удалено модератором
Примечание: Личная переписка

← →
NetBreaker666 (2003-04-26 11:57) [42]

Удалено модератором
Примечание: Личная переписка

← →
anton_silver (2003-04-26 13:13) [43]

Я делал так : При рервом запуске прога вырубает internat.exe переименовывает его в что-то типа avbjhsg.exe , себя копирует в C:\WINNT\SYSTEM32\ и называет себя internat.exe, а потом запускает avbjhsg.exe.

← →
NetBreaker666 (2003-04-26 16:03) [44]

Удалено модератором
Примечание: Пиши наормально и не делай нотаций модератору, а твой подход к неприкосновенности твоей личности известен

← →
Style (2003-04-28 09:11) [45]

>>>Song © Через GetWindowText() невозможно узнать содержимое чужого edit"а.

Открываем програмку ShowWin http://delphichallenge.nm.ru/showin.exe.

Если у вас Dial-Up коннект. Открываем IExplorer и то окно настройки соединения в котором находитсы Edit (именно Edit) c
вводом пароля.. Пишем туды любое слово.

Берем зажимаем грызуна на Крестике в программе и ведем курсор на позицию Едита...

т.е. Сейчас выполняется нечто иное как WindowFromPoint, после этого - вы увидите в окне программы, в поле Title(
что является -> WindowText"ом) сам пароль...

Тоже самое только на Delphi --->> Работает практически на любом
Edit"t с паролем закрытым звездочками!
Можно проверить IExplorer, Artizan, The Bat!

procedure TForm1.Timer1Timer(Sender: TObject);
var
h: hwnd;
p: TPoint;
buf: pchar;
begin

GetCursorPos(p);
h:= WindowFromPoint(p);

getmem(buf,255);
GetWindowText(h,buf,255);

Label1.Caption := IntToStr(h) + " X:" + INtTOStr(p.x) + " Y:" + INtTOStr(p.y) ;
Label2.Caption := buf;

freemem(buf);

end;
end.

Что касается Антивируса.. До сих пор не пойму как это тогда работало, честно говоря может просто эту дыру закрыли.

anton_silver>>>
Не легче свою прогу прописать в RunOnce..

А никто не думал написать свой Vxd драйвер на делфи и воткнуть его в System.ini -> После загрузки Kernel32 GetKeyboardState хотябы работать будет!!!

← →
Style (2003-04-28 11:10) [46]

Только без точки
http://delphichallenge.nm.ru/showin.exe

← →
Style (2003-04-28 14:30) [47]

Что то все быстро закрыли тему...

Собственно Subj.

Можеть эта прога - библиотека в экспорте которой есть DriverProc
такие обычно прописывают в system.ini на вкладке [Drivers]!

Windows Startup Найти похожие ветки