Написание DLL для запуска из под Winlogon

← →
22b (2007-01-16 23:16) [0]

Добрый день
Подскажите пож-та как можно сделать такого зверя, сложность заключается в том что необходимо сооздать поток в DLL и работать в нем....
Может быть есть еще какие подводные камни я не знаю...
кто сталкивался с подобными проблемами помогите плз...

← →
kaZaNoVa © (2007-01-17 01:33) [1]

22b (16.01.07 23:16)
кто сталкивался с подобными проблемами помогите плз...
все там просто тока надо права админа прога которая как раз так работает: http://kladovka.net.ru/index.cgi?pid=list&rid=84

cad_zamena.zip (2753 байт) kaZaNoVa : 2005-06-25 12:17:06 Delphi - Разное Перед Вами впервые Программа перехвата системного сочетания клавиш Ctrl+Alt+Del - теперь знаете как это делать! Алгоритм программы основан на перехвате оконного обработчика окна SAS window. также в программе реализован алгоритм автовыгрузки DLL и загрузки DLL в любой целевой процесс (!). Внимание, программа работает ровно 1 мин, полностью безопасна и безобидна :)))) Для работы программы требуется ОС не ниже 2000 и права Администратора. Скачать Комментарии (7) 957 скачиваний

← →
kaZaNoVa © (2007-01-17 01:33) [2]

просто переделай под свои задачи)

основная сложность - автовыгрузка, в мой проге реализовано ... хотя говорят может глючить ...

← →
kaZaNoVa © (2007-01-17 02:51) [3]

обсуждение корректности автовыгрузки: http://delphimaster.net/view/15-1168991424/

← →
22b (2007-01-17 21:47) [4]

спасибо!!!!!!!!

← →
Eraser © (2007-01-17 23:33) [5]

> [1] kaZaNoVa © (17.01.07 01:33)

есть более легальные способы перехватить CAD.. по крайней мере в 2003 и ниже точно.

← →
kaZaNoVa © (2007-01-17 23:42) [6]

Eraser © (17.01.07 23:33) [5]
интересно какие?)))
тот пример точно работал в своё время))))

← →
Eraser © (2007-01-18 00:16) [7]

> [6] kaZaNoVa © (17.01.07 23:42)

GINA dll ) там специальный обработчик есть для CAD )

← →
kaZaNoVa © (2007-01-18 00:28) [8]

Eraser © (18.01.07 0:16) [7]
но проще ли?))) имхо мой пример проще))))))

← →
Eraser © (2007-01-18 19:40) [9]

> [8] kaZaNoVa © (18.01.07 00:28)

не спорю ) только твой пример не всем антивирусам понравится )

← →
kaZaNoVa © (2007-01-18 23:39) [10]

Eraser © (18.01.07 19:40) [9]
не спорю ) только твой пример не всем антивирусам понравится )
больная тема ... имхо за это надо наказывать антивирусов (за обнаружение безвредных программ)

← →
ors_archangel © (2007-01-19 01:20) [11]

> (за обнаружение безвредных программ)

Безвредных ли?

← →
kaZaNoVa © (2007-01-19 02:58) [12]

ors_archangel © (19.01.07 1:20) [11]
Безвредных ли?
да, совсем недавно просканил старые архивы новым вебом нашел море "вирусов" а на деле не было не одного ....

← →
ors_archangel © (2007-01-19 04:17) [13]

> на деле не было не одного ....

Если программа не вирус - это не значит, что она безвредна, хотя есть и "безвредные вирусы" :) Вот перехват SAS WndProc и самостоятельная загрузка DLL в чужой процесс - это вредно. Программы не должны взаимодействовать таким образом, ведь нельзя SetWindowLong делать чужим окнам именно по причинам безопасности (я надеюсь), и это правильно. Перехват C+A+D - это неправильно, потому что это системная функция, которая должна быть закреплена за системой. Если ОС не позволяет писать в каких-то (прямо скажим, близких к ядру) местах "плагины", значит это кому-нибудь нужно :) Если ты (программа) перехватывает, лезет или просто роется в чужих вещах, которые относятся к системе и не предназначены для прикладного ПО, то сканеры совершенно правильно, имхо, не должны считать их безвредными. Извини, что так длинннно, но безопасность важнеее хакерской функциональности. Причём часто, как я понял, но это не относится к перехвату C+A+D, виновата сама ОС, т.к. не предоставляет, например, нужную информацию законным путём неизвестно почему, видимо не заинтересован производитель в таких фичах или ещё чего?

Вот список функций, которые, по моему мнению, слишком "вредные":
• AttachConsole, к не child-процессам, т.к. нефиг,
• AttachThreadInput, тот же резон,
• CreateRemoteThread и DebugActiveProcess, разрешил бы их только для child-процессов, этого было бы достаточно для отладчика,
• EnumChildWindows и все функции перебора и доступа к child-контролам, если они не принадлежат нашему процессу,
• GetDC, BitBlt etc, здесь, я считаю, нужно, чтобы программа могла запретить копировать свой DC другими программами,
• OpenThread запретил бы, чтоб на корню обрезать доступ до не своих нитей, для своих - OpenThread и не надо, вот раньше нельзя было tid в handle конвертировать и правильно было,
• TerminateProcess, так же как и с DC, процесс должен иметь право запрещать другим закрывать себя (кроме, конечно, системы)
• SetWindowsHook, имхо, нельзя по системе ничего ловить,
• SetWindowLong, только для своих, как везде,
• VirtualXXXEx в не main или child-процессах обязательно запретил бы.
Уверен, что хотя бы несколько из ^ юзаются в твоём перехвате C+A+D.
Конечно, в такой системе нельзя было бы написать ArtMoney :) - без дров, и я сам пользовался каждой из перечисленных функций, но всё-таки считаю их наличие в настоящей форме противоречащим безопасти.

← →
kaZaNoVa © (2007-01-19 17:32) [14]

ors_archangel © (19.01.07 4:17) [13]
Извини, что так длинннно, но безопасность важнеее хакерской функциональности.
сколько людей, столько и мнений.

> Конечно, в такой системе нельзя было бы написать
> ArtMoney :) - без дров, и я сам пользовался каждой из
> перечисленных функций, но всё-таки считаю их наличие в
> настоящей форме противоречащим безопасти.

глупо, система обеспечивает безопасность если конечно прогу запускают не с правами админа ....:)

← →
kaZaNoVa © (2007-01-19 17:36) [15]

ors_archangel © (19.01.07 4:17) [13]
и если из запретять просто станет больше вродоносных программ-драйверов и все ... (как в своё время запретили RegesterServiseProcess -стали пререхватыть апи и писать длл .... )

← →
Игорь Шевченко © (2007-01-19 17:49) [16]

kaZaNoVa © (19.01.07 17:36) [15]

Админу не надо писать никаких дополнительных программ, у него и так все права есть, у грамотного админа. А простому пользователю твои вирусы и трояны просто бесполезны. Не занимайся ерундой.

← →
Eraser © (2007-01-19 20:27) [17]

> [15] kaZaNoVa © (19.01.07 17:36)

с Вистой работал? твой пример автоматически не запуститься, юзеру прийдется подтверждать его запуск, по-умолчанию вообще запрещен удаленный админский доступ, если компьютер не в домене.. вот это точно бред, imho.

> [13] ors_archangel © (19.01.07 04:17)

> Вот список функций, которые, по моему мнению, слишком "вредные":

нормальные функции, запрет их вынудил бы просто писать драйвера, при том МАССОВО, вот тогда бы я посмотрел, что сделалось бы с системой от десятка-сотни драйверов, написаных кем-нибудь и как-нибудь..

← →
ors_archangel © (2007-01-19 20:53) [18]

> нормальные функции, запрет их вынудил бы просто писать драйвера,
> при том МАССОВО, вот тогда бы я посмотрел, что сделалось
> бы с системой от десятка-сотни драйверов, написаных кем-
> нибудь и как-нибудь..

Ну и ставилм бы дрова только Microsoft и с сайтов/дисков производителей, а все остальные - не ставили бы, подтверждение на установку (правда только неподписанных) дров уже сейчас есть. Это неправильно - оставлять какие-то бреши в безопасности, чтобы не дай бог хакеры не нашли существующие большие, это уж точно.

← →
kaZaNoVa © (2007-01-19 22:32) [19]

Eraser © (19.01.07 20:27) [17]
с Вистой работал?
нет, а главное- не хочу:)

> [18] ors_archangel © (19.01.07 20:53)

> Ну и ставилм бы дрова только Microsoft и с сайтов/дисков
> производителей, а все остальные - не ставили бы

в висте уже сейчас так.

а что с функциональностью делать?
тогда виндозв будет уже не операционная система, а готовое решение. может вообще прикладные программы запретить тоже, оставить один браузер IE и всю работу с компьютером вести в этом браузере на сайте MS? )

> [22] kaZaNoVa © (20.01.07 01:51)

поживём увидим ) если сейчас пользуешься XP, то есть подозрение, что будешь пользоваться и вистой )

ors_archangel © (19.01.07 4:17) [13]
Вот список функций, которые, по моему мнению, слишком "вредные":
Еще добавь в список обращение к файлам, чтоб вирусы не плодились и файлов не портили. Большинство пунктов у меня вызывают, мягко говоря, недоумение.

Eraser © (19.01.07 22:52) [20]
> Ну и ставилм бы дрова только Microsoft и с сайтов/дисков
> производителей, а все остальные - не ставили бы

в висте уже сейчас так.
Вообще не ставятся? Даже не спрашивает?

а по теме топика подобными задачами кто-то уже занимался?

и как обойти подтверждения у висты?

Eraser © (21.01.07 0:03) [23]
поживём увидим ) если сейчас пользуешься XP, то есть подозрение, что будешь пользоваться и вистой )
сейчас у меня 2003 .. лучшей считаю ХР а на виртуальной машине стоит 2000 и там она , думаю будет вообще стоять вечно ..)

> [24] GrayFace © (24.01.07 11:54)

> Вообще не ставятся? Даже не спрашивает?

спрашивает только если драйвер подписан, но не MS.. вроде так..

> и как обойти подтверждения у висты?

получить сертификат на драйвер от MS.

> ors_archangel © (19.01.07 04:17) [13]

Слишком серьезно урезает возможности программирования под Вин.
Сликшмо нужные многие из этих функций и для совсем безвредных приложений тоже.

Написание DLL для запуска из под Winlogon Найти похожие ветки