Witajcie, chciałezm zalozyć temat który sie przyczyni do poprawienia polskiej sceny w pisaniu trojanow itp. Przynajmniej tak uważam. Wiekszosc polskich trojanow uruchamia sie z standardowego klucza:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion oraz HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
najczesciej jest to klucz Run, opisze teraz inne klucze które mogą sluzyć nam do uruchamiania aplikacji oto one:
# Run. Klucz potencjalnie najbardziej interesujący. Wpisy w nim umieszczone traktowane są identycznie, jak te w folderze Autostart.
# RunOnce. Działa niemal identycznie jak Run. Różnica polega na tym, że po uruchomieniu aplikacji, wpis w tym kluczu jest usuwany. Ta cecha predestynuje klucz RunOnce do wspomagania pracy instalatorów aplikacji.
# RunServices. Klucz przeznaczony dla uruchamiania różnego rodzaju usług sieciowych. Trafiają do niego między innymi Zdalna obsługa Rejestru (zapewnia dostęp do Rejestrów innych komputerów) i tzw. agenty systemów tworzenia kopii zapasowych.
# RunServicesOnce. Pozwala uruchomić usługę sieciową tylko raz.
Mało kto wie ze istnieją pliki system.ini oraz win.ini z których mozna uruchomic program poprzez dodanie do pliku lini
run= sciezka do naszego programu
lub
lini load=sciezka do naszego programu
Teraz inne klucze z których mozna odpalic program oto one: (widzialem tylko pare programów polskich wykorzystujacych nizej wymienione klucze to programy takie jak:
NastyXP - ostatnia wersja, wydaje mi sie ze najnowszy wspomagacz tez wykozystuje jeden z nizej wyienioncyh kluczy)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
i wartosc Shell jest tam wpisane Explorer.exe z tamtad uruchamia się explorer, ale mozemy tam dodac cos takiego: Explorer.exe, sciezka do naszego programu
co sie wtedy stanie? Proste uruchomi się i explorer.exe i nasza aplikacja.
Ten klucz jezeli go zmeinimy jest wykrywalny przez wszystkie antywirusy i programy do zwalczania spyware.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
szukamy wartosci Userinit w tej wartosci powino znajdowac się cos takiego: C:WINDOWSsystem32userinit.exe, po przecinku mozemy dodac sciezke do naszej aplikacji.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
tworzymy wartosc System i dodajemy w niej Sciezke do naszego programu.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerUser Shell
Folders, tworzymy wartosc Common startup i dodajemuy w niej sciezke do naszego programu.
Tworzymy: HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{2bf41072-b2b1-21c1-b5c1-0305f4155515} w tym kluczy wartosc StubPath
ze sciezką do naszego programu gdy stworzymy te wartosc usuwamy klucz:
HKEY_CURRENT_USERSOFTWAREMicrosoftActive SetupInstalled Components{2bf41072-b2b1-21c1-b5c1-0305f4155515}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
dodajemy wartość ciągu nazywamy ja jakoś, w dane wartości wpisujemy sciezke do pliku który ma zostać uruchomiony.
Znasz jakieś miejsca w rejestrze lub w plikach windowsowskich z których mozemy uruchomic program pisz w tym temacie.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion oraz HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
najczesciej jest to klucz Run, opisze teraz inne klucze które mogą sluzyć nam do uruchamiania aplikacji oto one:
# Run. Klucz potencjalnie najbardziej interesujący. Wpisy w nim umieszczone traktowane są identycznie, jak te w folderze Autostart.
# RunOnce. Działa niemal identycznie jak Run. Różnica polega na tym, że po uruchomieniu aplikacji, wpis w tym kluczu jest usuwany. Ta cecha predestynuje klucz RunOnce do wspomagania pracy instalatorów aplikacji.
# RunServices. Klucz przeznaczony dla uruchamiania różnego rodzaju usług sieciowych. Trafiają do niego między innymi Zdalna obsługa Rejestru (zapewnia dostęp do Rejestrów innych komputerów) i tzw. agenty systemów tworzenia kopii zapasowych.
# RunServicesOnce. Pozwala uruchomić usługę sieciową tylko raz.
Mało kto wie ze istnieją pliki system.ini oraz win.ini z których mozna uruchomic program poprzez dodanie do pliku lini
run= sciezka do naszego programu
lub
lini load=sciezka do naszego programu
Teraz inne klucze z których mozna odpalic program oto one: (widzialem tylko pare programów polskich wykorzystujacych nizej wymienione klucze to programy takie jak:
NastyXP - ostatnia wersja, wydaje mi sie ze najnowszy wspomagacz tez wykozystuje jeden z nizej wyienioncyh kluczy)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
i wartosc Shell jest tam wpisane Explorer.exe z tamtad uruchamia się explorer, ale mozemy tam dodac cos takiego: Explorer.exe, sciezka do naszego programu
co sie wtedy stanie? Proste uruchomi się i explorer.exe i nasza aplikacja.
Ten klucz jezeli go zmeinimy jest wykrywalny przez wszystkie antywirusy i programy do zwalczania spyware.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
szukamy wartosci Userinit w tej wartosci powino znajdowac się cos takiego: C:WINDOWSsystem32userinit.exe, po przecinku mozemy dodac sciezke do naszej aplikacji.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
tworzymy wartosc System i dodajemy w niej Sciezke do naszego programu.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerUser Shell
Folders, tworzymy wartosc Common startup i dodajemuy w niej sciezke do naszego programu.
Tworzymy: HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{2bf41072-b2b1-21c1-b5c1-0305f4155515} w tym kluczy wartosc StubPath
ze sciezką do naszego programu gdy stworzymy te wartosc usuwamy klucz:
HKEY_CURRENT_USERSOFTWAREMicrosoftActive SetupInstalled Components{2bf41072-b2b1-21c1-b5c1-0305f4155515}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
dodajemy wartość ciągu nazywamy ja jakoś, w dane wartości wpisujemy sciezke do pliku który ma zostać uruchomiony.
Znasz jakieś miejsca w rejestrze lub w plikach windowsowskich z których mozemy uruchomic program pisz w tym temacie.
