Запрет запуска приложений. Как реализовать?

← →
novill © (2006-10-25 10:48) [80]

Что бы ты ему скормил, чтобы он разрешил любую прогу?

← →
user51 (2006-10-25 10:58) [81]

У нас изменить список , сам шел и имена файлов которые в списке нельзя так как реадонли, чесно сказать я так и не понял как обойти.
Уточнить можешь как Наиль? Он точно указал порядок действий хотя его способ не действует.

← →
novill © (2006-10-25 11:13) [82]

Порядка действий нет, есть одно действие - в любой командной строке написать имя исполнимого файла а разрешенный путь передать параметром.

Например:
fuckadmin.exe "c:\Program Files\Rambler-Ego\Bin\Odigo.exe"

← →
user51 (2006-10-25 11:34) [83]

Вообщето никакая коммандная строка не выполнится
пуск выполнить cmd.exe успешно отлавливается и блокируется

25.10.2006 10:21:15 "D:\WINDOWS\system32\cmd.exe"

Толко фару на все плевать, но его нет в списке разрешенных

Сладывается ощущение что проверку программы все делают теоретически в уме. Надо просто прогу и шел скомпилировать положить список к шелу. Если хоть в одном файле логов будет запись о запускаемом файле то прога свое дело сделала отловила действие. А дальше все зависит от списка разрешили запуск или нет. Защита обойдена будет если вы запускаете что то
он запускается, а ни в ондном файле логов ничего не пишется - такого я еше сам не наблюдал и никто не преложил как это сделать.

← →
novill © (2006-10-25 11:35) [84]

Модератору: Какой смыслбыло переносить ветки в Апи? Тут ими и не пахнет.

← →
novill © (2006-10-25 11:41) [85]

Есть TotalCommamder, у него есть командная строка.

> Если хоть в одном файле логов будет запись о запускаемом
> файле то прога свое дело сделала отловила действие.

Я искренне верил, что цель проги - запретить запуск других приложений, если тебе достаточно лога - не вопрос.

← →
novill © (2006-10-25 11:45) [86]

Кстати, просто вопрос - у вас ветка HKEY_CLASSES_ROOT защищена от редактирования пользователем? (я знаю, что regedit запрещен)

← →
user51 (2006-10-25 11:50) [87]

Если лог есть значит значит действие отлавливается и только от того кто наполнял список зависит разрешить его или нет.
Если сделать список только из одной строки допустим
1 "c:\123\123.123"
Закрыть комп и перегрузить комп вы переживете много незабываемых моментов пока вам не надоест и вы переименуете файл со списком.

Кто хочет поделится своими впечатлениями от защиты компа с такой конфигурацией файла списков можете написать. Также можете написать как вам удалось запустить что нибудь.

← →
novill © (2006-10-25 11:54) [88]

Дырка - только в обработке каталога, нет разрешенных каталогов - нет проблемы.

Кстати, как вы защитились от регистрации новых расширений?

← →
user51 (2006-10-25 12:02) [89]

Уже писал выше что для регистрации нового расширения нужно выполнить
комманду которая успешно отлавливается
25.10.2006 8:05:40 "D:\WINDOWS\system32\RUNDLL32.EXE shell32.dll,OpenAs_RunDLL c:\update.111txt"
ее не в списке разрешенных и все она игнорируетсяи ничего не происходит

Никак не могу понять что значит дырка в обработке каталога (если в шеле то это ошибка реализации а не метода) Если имеется папка ввиду папка
0 "c:\Program Files\r&k\" в моем списке то туда вообще доступа нет пользователям. Я туда свои проги складирую. А так естественно лучще
прописать все по полному пути с указанием имени екзешника и параметром 1 в начале строки

← →
novill © (2006-10-25 12:21) [90]

Всё что я хочу сказать - при реализации
if ii=0 then begin if pos (LowerCase(ff_param_ok),LowerCase(ff_param))>0 then

нельзя использовать строчки "0" в начале.

Пишите "1" и будет вам счастье.

← →
novill © (2006-10-25 12:51) [91]

> Пишите "1" и будет вам счастье.

Подумал... Нет не будет счастья - тогда вы не сможете передать ни одного параметра...

← →
user51 (2006-10-25 12:58) [92]

Я так и не понял почему нельзя ипользовать 0 в начале

0 "c:\Program Files\ACDSee32\ACDSee32.exe"
можно конечно в папке прогой сделать папку
"c:\Program Files\ACDSee32\ACDSee32.exe123\"
и в нее поместить любые проги и они будут запускаться,
но это тот кто всё на компе настраивает должен головой подумать и сделать
все для чтения, чтоб нельзя ничего было менять ни папки ни файлы

← →
novill © (2006-10-25 13:10) [93]

Нельзя использовать потому, что такая конструкция ищет ЛЮБОЕ ВХОЖДЕНИЕ разрешенной подстроки и разрешает всю команду.

Запрещенный_путь\запрещенный_файл.exe "c:\Program Files\ACDSee32\ACDSee32.exe"

Если снова не понял, дай мне полное имя (с путем) запрешенного файла - я тебе выложу строчку которая его выполнит, останется только в командную строку вставить.

← →
user51 (2006-10-25 13:20) [94]

Теперь понял, кривость налицо.
надо шел изменить чтоб проверка была на на то что искомая последовательность находится обязательно в начале строчки.

novill БОЛЬШОЕ СПАСИБО.

← →
novill © (2006-10-25 13:23) [95]

Ну, слава богу :)
пожалуйста.

← →
novill © (2006-10-25 13:30) [96]

хочешь еше одну "дырку" покажу? )))

Есть такой волшебный значек "&", в командной строке очень интерсно используется ;-)

ЗЫ хотя если кто-то из изеров найдет эту "дырку" - я бы на вашему месте поздравил его и выдал намного инета нахаляву, только потом закрыл.

← →
user51 (2006-10-25 13:31) [97]

Возможно надо исправитьшел таким образом
Это
if pos (LowerCase(ff_param_ok),LowerCase(ff_param))>0 then
заменить на
if pos (LowerCase(ff_param_ok),LowerCase(ff_param))=1 then

До такого способа
Запрещенный_путь\запрещенный_файл.exe "c:\Program Files\ACDSee32\ACDSee32.exe"
за два года у меня никто не додумался судя по логам. Так что к нам приходят дествительно не супер хакеры

← →
novill © (2006-10-25 13:38) [98]

Как, говоришь, называется ваша сеть клубов?

← →
user51 (2006-10-25 13:50) [99]

никак не называется. от телекома. гос учереждение в маленьком городе.

← →
novill © (2006-10-25 13:53) [100]

Хоть область скажи :)

ты "&" учел?

← →
user51 (2006-10-25 14:12) [101]

Оператор перенаправления «&» дублирует выходные или входные данные с одного заданного дескриптора на другой заданный дескриптор. Например, для отправки выводных данных команды dir в файл File.txt и отправки ошибки вывода в файл File.txt введите:

dir>c:\file.txt 2>&1

если вводить пуск выполнить cmd.exe /c dir>c:\file.txt 2>&1

получаем
25.10.2006 13:03:14 "D:\WINDOWS\system32\cmd.exe /c dir>c:\file.txt 2>&1"

Еще не понял как этот может сработать может в логах какие нибудь станные записи будут.Пока что я имею в клубах меня устраивает горазда легче сатло жить после внедрения такой защиты.А если кто обойдет ее у меня в клубе я не растроюсь сильно.

← →
novill © (2006-10-25 14:22) [102]

"&" позволяет запускать две и более программы водной строке

"c:\Program Files\ACDSee32\ACDSee32.exe" & "Запрещенный_путь\запрещенный_файл.exe"

Проверка "if pos (LowerCase(ff_param_ok),LowerCase(ff_param))=1 then"
будет пройдена и Запущены обе программы.

← →
user51 (2006-10-25 14:33) [103]

Да прикольно
такой бы лог привлек бы мое внимание. пока таких умных у меня не было.
Пропатчить тоже легко запретить запуск программ и меющих в составе &
и все папки и файлы на компе назвать без &.
Или подумать головой и сделать более продвинутый анализ
типа если & внутри кавычек то можно
"c:\Program Files\r&k\"

если между то нет
"c:\Program Files\ACDSee32\ACDSee32.exe" & "Запрещенный_путь\запрещенный_файл.exe"

← →
novill © (2006-10-25 15:03) [104]

Методов на самом деле еще больше, но, действительно, известны они единицам, и это не может не радовать.

Вот тебе еще один вариант обхода, правда не везде может срабатывать.

for /F %i in ("Запрещенный_путь\запрещенный_файл.exe") do echo 1;

Удачи.

Не парься, будь счастлив.

← →
novill © (2006-10-25 15:20) [105]

Кстати, последний вариант как раз не оставляет следов. ВООБЩЕ. Как ты и просил :)))

← →
user51 (2006-10-25 15:28) [106]

>Не парься, будь счастлив.
я не парюсь
правда не понял как применить (где это дело вводить)
for /F %i in ("Запрещенный_путь\запрещенный_файл.exe") do echo 1;

если пуск выполнить
cmd.exe /c for /F %i in ("Запрещенный_путь\запрещенный_файл.exe") do echo 1;
то отловит

← →
cerber (2006-10-25 23:25) [107]

набери в пуске gpedit.msc и в разделе "конф пользов\админ шаблоны\не запускать указ. приложения" добавить все то что не нравиться.

← →
user51 (2006-10-26 09:15) [108]

раньше приблизительно я так и делал, но не знаешь наверняка кто что притащит поэтому задача запертить все что не разрешено

Необходимо запретить запуск списка приложений пользователем. как это можно реализовать?

Как раз я этой проблемой сейчас занимаюсь...

Сказали, чтобы на завтра было!!! Я в шоке!

NtCreateProcessEx удалось впоймать, а вот что дальше....

Ставь хук на CreateProccess
В NT-операционках эта функция не вызывается... :-(

Только CreateProcessExA
CreateProcessExW

либо же универсальная NtCreateProcessEx

>[109] wp2(c) 31-Oct-2006, 23:48
>NtCreateProcessEx удалось впоймать, а вот что дальше....
вотпусти то, что "впоймал".

>[110] wp2(c) 31-Oct-2006, 23:51
>Ставь хук на CreateProccess
>В NT-операционках эта функция не вызывается... :-(
>Только CreateProcessExA
>CreateProcessExW
вот тут я весь плакал. просто слезами размером с надувные s.

хинт: ещё есть такая штука, как trustnoexe. уже давно написана. бесплатна. с драйвером. удобна. ищем в гугле.

Я имею ввиду, кто же вызвал эту функцию NewNtCreateProcessEx

а зачем? чем trustnoexe не устроил?

>вот тут я весь плакал. просто слезами размером с надувные s.

А что тут смешного? Скажи. Я тоже хочу посмеяться...

ещё есть такая штука, как trustnoexe.
Да в Интернете много чего есть.... Надо ж самому учицца пЕсат!

>ещё есть такая штука, как trustnoexe.

Мне деньга должны заплатить за программу.
Теперь ясно, почему я должен ее написать?

>[116] wp2(c) 1-Nov-2006, 00:26
>Мне деньга должны заплатить за программу.
а-а-а... сколько платишь за консультации?

А разве тут не бесплатно? :shock:

могу дать 100 виртуальных буказоидов :-)

всё, что было бесплатно -- сказали. trustnoexe. остальное -- за деньги. за вирутальные могу открыть телепатический канал. сможешь считать -- повезло.

Какие вы все корыстные...

Запрет запуска приложений. Как реализовать? Найти похожие ветки