Me gustaría hablar con usted sobre esta cuestión.
orlando, el problema parece ser los permisos de escritura en HKLM, en teoría ejecutando como administrador se soluciona, pero no es así, habrá que mirar eso.
Modifiqué el código un poco para hacer pruebas y resolver un pequeño error en el bucle, lo tengo embarullado pero supongo que lo entenderás corréctamente:
Modifiqué el código un poco para hacer pruebas y resolver un pequeño error en el bucle, lo tengo embarullado pero supongo que lo entenderás corréctamente:
UDTools.net
GitHub: https://github.com/MetalUDT
GitHub: https://github.com/MetalUDT
Por Opensc hay un code de como crear servicios en Windows Xp, pero si hechan un poco la cabeza pueden usarlo para muchas cosas como elevar privilegios a System en el sistema operativo y asi escribir en el registro.
@adwind ya lo intente y el problema es que el driver es el que protege los registros, tendríamos que corromperlo para agregar el registro, si alguien mas lo intenta talvez encuentre un método, pero por ahora me quede sin ideas, pues ahora no tengo el conocimiento para tocar un driver ajeno.
@Metal gracias por repararlo , pero el problema no es crear el registro, el problema es al escribir los valores, te devuelve Acceso Denegado.
Saludos!
@Metal gracias por repararlo , pero el problema no es crear el registro, el problema es al escribir los valores, te devuelve Acceso Denegado.
Saludos!
We do what we must, because, we can-> [www.youtube.com/watch?v=Y6ljFaKRTrI]
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
y como vas a agregar un servicio sin que un AV como la gente se de cuenta por la proactiva? aparte la cantidad con maquinas con XP va a bajar atrozmente este año
Código: Seleccionar todo
{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING **}
{******************************************************************************}
{** **}
{** The prototypes, declarations and information in this file has been **}
{** compiled from various sources as well as through reverse engineering **}
{** techniques. We make no guarantee as to the correctness of the contents. **}
{** Caution is recommended, USE AT YOUR OWN RISK. **}
{** **}
{******************************************************************************}
No leí todo el hilo pero a los codders, y si se maneja la ventana oculta?
Como si fuera una especie de macro por decirlo de alguna manera
O sea enviar las teclas a la ventana del AV, pero que esta este oculta nos ponemos en exlusiones y cerrarla
No creo que sea muy dificil grabar un par de TAB TAB TAB ESPACIO enviar la ruta y listo, aunque ahora los AV usan el UAC y cada cambio que les haces salta, ahi creo que seria el unico "problema"
salud
Como si fuera una especie de macro por decirlo de alguna manera
O sea enviar las teclas a la ventana del AV, pero que esta este oculta nos ponemos en exlusiones y cerrarla
No creo que sea muy dificil grabar un par de TAB TAB TAB ESPACIO enviar la ruta y listo, aunque ahora los AV usan el UAC y cada cambio que les haces salta, ahi creo que seria el unico "problema"
salud
@orlando: Sí, ese es el problema, lo que hay que conseguir son permisos system para poder escribir en hklm, estos dias lo intento ver, luego otro inconveniente son los firewalls que detecten/bloqueen los cambios en el registro, pero es 'otro' tema.
Saludos!
Saludos!
UDTools.net
GitHub: https://github.com/MetalUDT
GitHub: https://github.com/MetalUDT
No digo que no se pueda tocar el registro con el AV actívo... de echo el programa Registry Workshop permite hacerlo http://www.indetectables.net/viewtopic.php?f=8&t=7424 pero si esto es muy complejo............................... Amigos.... pensaron en Macros!...
Existen muchisimos programas para automatizar cualquier tarea... de echo yo estuve probando alguno, y la verdad me sorprendió el potencial... probé el TinyTask ([Enlace externo eliminado para invitados]) grabé una macro simple (desactivar el AV) y el programa compilo un ejecutable que cuando lo corrí.... desactivo mi NOD32 a la velocidad de la luz....
Se que tambien existe uno de código abierto GNU/GPL AutoHotkey que permite a quien sabe hacer las modificaciones que mas les convenga.... Acá algo de data: [Enlace externo eliminado para invitados]
Disculpen ustedes.... yo solo puedo darles ideas.... la programación no es mi fuerte...
Saludos
Existen muchisimos programas para automatizar cualquier tarea... de echo yo estuve probando alguno, y la verdad me sorprendió el potencial... probé el TinyTask ([Enlace externo eliminado para invitados]) grabé una macro simple (desactivar el AV) y el programa compilo un ejecutable que cuando lo corrí.... desactivo mi NOD32 a la velocidad de la luz....
Se que tambien existe uno de código abierto GNU/GPL AutoHotkey que permite a quien sabe hacer las modificaciones que mas les convenga.... Acá algo de data: [Enlace externo eliminado para invitados]
Disculpen ustedes.... yo solo puedo darles ideas.... la programación no es mi fuerte...
Saludos
El que comió... cree que todos comieron...
o tambien con autoit se podria hacer un programa para hacer exclusiones (si hasta hacen bots en eso xD)
Código: Seleccionar todo
{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING **}
{******************************************************************************}
{** **}
{** The prototypes, declarations and information in this file has been **}
{** compiled from various sources as well as through reverse engineering **}
{** techniques. We make no guarantee as to the correctness of the contents. **}
{** Caution is recommended, USE AT YOUR OWN RISK. **}
{** **}
{******************************************************************************}
Si conseguimos tener privilegios SYSTEM nos saltamos el servicio ekrn pero aun tenemos el driver en modo kernel protegiendo las entradas de registro, talvez la unica opción es manejando el registro o corrompiendo el driver con ASM, sin ayuda de API ya que el driver las tiene muy cuidadas. El macro parece buena idea, solo tendriamos que, en el caso de tenerla, obtener la password para hacer los cabios en las exclusiones.
Saludos!
Saludos!
We do what we must, because, we can-> [www.youtube.com/watch?v=Y6ljFaKRTrI]
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
Y como funcionarian esas macros ? una vez fijada las coordenadas por tiempo o por el color del pixel ?, es decir:
abrir av
- carga ventana
boton configuracion
seccion exclusiones
si es por tiempo no todas las ventanas tardan lo mismo a cargar , en algunas aplicaciones o juegos los bots , la mayoria en autoit como dice dsr funcionan con un patron de pixeles que cuando encuentran en la pantalla x patron hacen clic, es una idea para no tener que poner un tiempo aleatorio
Hay que controlar la resolucion de la pantalla, seguro que me estoy complicando demasiado
Talvez sea mas sencillo leer el contenido de la configuracion
abrir av
- carga ventana
boton configuracion
seccion exclusiones
si es por tiempo no todas las ventanas tardan lo mismo a cargar , en algunas aplicaciones o juegos los bots , la mayoria en autoit como dice dsr funcionan con un patron de pixeles que cuando encuentran en la pantalla x patron hacen clic, es una idea para no tener que poner un tiempo aleatorio
Hay que controlar la resolucion de la pantalla, seguro que me estoy complicando demasiado
Talvez sea mas sencillo leer el contenido de la configuracion
Se puede hacer con el APIs, así podemos ocultar la ventana y hacer todo fuera de la vista del user.
We do what we must, because, we can-> [www.youtube.com/watch?v=Y6ljFaKRTrI]
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
Con el modulo que dije funciona hasta en Windows 7, XD, minimo tendrán privilegios System, entonces con privilegios System se puede cambiar el usuario que administra los archivos del antivirus que por default es TrusIn.... algo asi jajaja, y le parten su madre al antivirus si no se deja que le agreguen las exclusiones XD.
Pero hace tiempo perdi la ruta en el REGEDIT con el cual podíamos corromper o redirigir los procesos que iniciaran con cierto nombre :( por ejemplo si ejecutaban avira.exe les abria el Word y todos los ejecutables que se llamaran avira.exe abrirían Word o de plano no hiciera nada. Este era un fallo que use un tiempo, ya que si no se dejan agregar exclusiones o matar el antivirus corrompias su ejecución y listo :) Ojala alguien se acuerde de la entrada del registro :(
Pero hace tiempo perdi la ruta en el REGEDIT con el cual podíamos corromper o redirigir los procesos que iniciaran con cierto nombre :( por ejemplo si ejecutaban avira.exe les abria el Word y todos los ejecutables que se llamaran avira.exe abrirían Word o de plano no hiciera nada. Este era un fallo que use un tiempo, ya que si no se dejan agregar exclusiones o matar el antivirus corrompias su ejecución y listo :) Ojala alguien se acuerde de la entrada del registro :(
Mmmm esto me recordo tambien a las exclusiones ke puedes hacer desde windows... ejecutables que se llamen avira.exe windows los intentairia bloquear y realmente no eh probado que pasa, ahorita me jodo una virtual o.O, no se si tenga algo que ver "lo uno con lo otro"adwind escribió:Con el modulo que dije funciona hasta en Windows 7, XD, minimo tendrán privilegios System, entonces con privilegios System se puede cambiar el usuario que administra los archivos del antivirus que por default es TrusIn.... algo asi jajaja, y le parten su madre al antivirus si no se deja que le agreguen las exclusiones XD.
Pero hace tiempo perdi la ruta en el REGEDIT con el cual podíamos corromper o redirigir los procesos que iniciaran con cierto nombre :( por ejemplo si ejecutaban avira.exe les abria el Word y todos los ejecutables que se llamaran avira.exe abrirían Word o de plano no hiciera nada. Este era un fallo que use un tiempo, ya que si no se dejan agregar exclusiones o matar el antivirus corrompias su ejecución y listo :) Ojala alguien se acuerde de la entrada del registro :(
Se usaba el GPedit.msc y de ahi no recuerdo pero solo seria de ver las descripciones, y ver que cambios genera en el regsitro
Cierto... la gente con 2 dedos de frente usa passwords... buen punto, para el resto de los mortales podria aplicarorlando9427 escribió:Si conseguimos tener privilegios SYSTEM nos saltamos el servicio ekrn pero aun tenemos el driver en modo kernel protegiendo las entradas de registro, talvez la unica opción es manejando el registro o corrompiendo el driver con ASM, sin ayuda de API ya que el driver las tiene muy cuidadas. El macro parece buena idea, solo tendriamos que, en el caso de tenerla, obtener la password para hacer los cabios en las exclusiones.
Saludos!
Y no se puede llamar a una ventana por su ID/Nombre de proceso? y hacer lo de las macros? (y bueno el problema real aqui son las passwords), pero se podria usar algo de ingenieria social para tratar de arreglar esto jajaja, seria divertido que alguien cayera...
Y lo de ocultarse tambien puedes posicionar la ventana ke solo se vean un par de pixeles en el monitor, una ventana ninja (?)
Salud
P.D Es bueno tener a Poli el gran viejo, aportando ideas jovenes
Y lo de gran viejo te lo digo con todo el cariño y respeto que te mereces
el_Lux amigazo!... a mi tambien me da gusto leerlos a ustedes de nuevo...el_Lux escribió:P.D Es bueno tener a Poli el gran viejo, aportando ideas jovenes
Y lo de gran viejo te lo digo con todo el cariño y respeto que te mereces
Los user "comunes" con pass deben ser menos del 2%, con toda la furia.... y seguro el pass no debe ser muy distinto al que usan en otras cosas.... no seria gran problema....
"una ventana ninja (?)".... me muero de risa... muy inteligente bro.... no se me hubiera ocurrido
Saludos
El que comió... cree que todos comieron...
