Защита hosts или как же вирусмэйкеры это делают))
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 10:45:36.443333
|
|
|
genius
Сообщений: 31
Оценки: 0
Присоединился: 2006-12-10 00:44:39.513333
|
Вопрос состоит в том что бы понять как же так…
Для защиты хост Я::)
1)поменял путь до файла в реестре 8|
2)переместил сам файл хост по "другому пути"
3)поставил на файл только чтение 8|
Вроде этого должно быть достаточно но!
Когда в друг на машину попадает дрянь то она прописывается по стандартному пути расположения hosts….(если его нет то зверёк сам создаёт файл хост) Хотя в реестре указан совсем другой путь! И конечно же ему плевать что на файле стоит «только чтение»….
Даже если предположить что зверёк знает где смотреть(в реестре) путь до файла host то по логике вещей он должен прописываться именно по тому пути который указал я….
Вот вопрос Как! Как они это делают?…))
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 11:57:12.100000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Эмм, как сказали так и делают. Половина скрипт кидисов ваще не учитывают системных путей. Иногда у меня прописываются в папку винды на диске С хотя винда на диске Е.
Твоя защита, это не защита, а игра в кошки мышки. Знающий человек перепишет все пути и все файлы что найдет. Только чтение снимается пересозданием файла (если лень снять атрибут).
Единственный 99% способ защитить хост это не сидеть под админом. И второй защита антивирем или другой программой. Остальное это защита от дурака.
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 13:36:22.250000
|
|
|
genius
Сообщений: 31
Оценки: 0
Присоединился: 2006-12-10 00:44:39.513333
|
quote:
ORIGINAL: Ltonid
Эмм, как сказали так и делают. Половина скрипт кидисов ваще не учитывают системных путей. Иногда у меня прописываются в папку винды на диске С хотя винда на диске Е.
Твоя защита, это не защита, а игра в кошки мышки. Знающий человек перепишет все пути и все файлы что найдет. Только чтение снимается пересозданием файла (если лень снять атрибут).
Единственный 99% способ защитить хост это не сидеть под админом. И второй защита антивирем или другой программой. Остальное это защита от дурака.
То что эта защита от дурака я знаю:) ды и про Админа тоже:) а можешь к примеру привести простенький скрипт…ну так сказать конкретнее посмотреть внутрь зверька)) или ссылочку на исходники8| что бы понять как они это делают…
З.Ы. цель вопроса понять как именно! они это делают))
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 14:35:42.353333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Что значит скрипт или исходники. Есть разные языки программирования, разные API функции длядостижения цели. Могу набрасать алгоритм. самый простейший.
Простой
1. Узнаем где папка windows. Где папка system32.
2. Добавляем до пути к файлу hosts.
3. Открываем файл дописываем что нам надо. ИЛИ Удаляем файл и создаем какой нам там надо.
Посложнее
1. Находим hosts через поиск по диску или реестр или простым путем.
2. Проделываем шаг 3.
Где и как искать.
1. Любая программа, которой понадобиться этот файл, будет повторять шаги вируса (браузер например) и обычно если по простому не вышло, топает по пути реестра, если там нет то игнорирует его.
2. Если прям блин очень очень охото найти, банально ищем на всех дисках.
Если оч охот код. bat файл будет например таким
attrib C:\Windows\System32\Drivers\etc\hosts -A -H -R -S
echo "vkonrakte.ru 10.10.10.10" >> C:\Windows\System32\Drivers\etc\hosts
Можно и поиск на bat организовать и чтение реестра и т.д.
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 15:29:59.190000
|
|
|
genius
Сообщений: 31
Оценки: 0
Присоединился: 2006-12-10 00:44:39.513333
|
quote:
ORIGINAL: Ltonid
Что значит скрипт или исходники. Есть разные языки программирования, разные API функции длядостижения цели. Могу набрасать алгоритм. самый простейший.
Простой
1. Узнаем где папка windows. Где папка system32.
2. Добавляем до пути к файлу hosts.
3. Открываем файл дописываем что нам надо. ИЛИ Удаляем файл и создаем какой нам там надо.
Посложнее
1. Находим hosts через поиск по диску или реестр или простым путем.
2. Проделываем шаг 3.
Где и как искать.
1. Любая программа, которой понадобиться этот файл, будет повторять шаги вируса (браузер например) и обычно если по простому не вышло, топает по пути реестра, если там нет то игнорирует его.
2. Если прям блин очень очень охото найти, банально ищем на всех дисках.
Если оч охот код. bat файл будет например таким
attrib C:\Windows\System32\Drivers\etc\hosts -A -H -R -S
echo "vkonrakte.ru 10.10.10.10" >> C:\Windows\System32\Drivers\etc\hosts
Можно и поиск на bat организовать и чтение реестра и т.д.
эт всё понятно…мне другое не понятно…. почему если он прописывается по стандартному пути а не потому что я указал в реестре? он блокирует тот же контакт и тд и тп…причём путь в реестре остаётся неизменным! т.е. тот который указал я…
Вирус заходит по старому пути…и ведь блокирует…Почему? ведь в реестре указан мой путь и следовательно что бы вирус не писал бы вот сюда C:\Windows\System32\Drivers\etc\hosts не должно быть эффекта! ибо путь в реестре допустим такой C:\Windows\System32\Drivers\1231\hosts
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 15:54:40.820000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Я же сказал.
quote:
1. Любая программа, которой понадобиться этот файл, будет повторять шаги вируса (браузер например) и обычно если по простому не вышло, топает по пути реестра, если там нет то игнорирует его.
Твой браузер сам идет по стандартному пути и находит файл который создал вирус, читает его и происходит то что должно произойти. Это принцип работы винды. Сначала искать там где знаешь, потом там где написано, потом везде. Даже дырой это назвали и прекрасно эксплуатируют.
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2010-12-15 16:07:52.316666
|
|
|
genius
Сообщений: 31
Оценки: 0
Присоединился: 2006-12-10 00:44:39.513333
|
quote:
ORIGINAL: Ltonid
Я же сказал.
quote:
1. Любая программа, которой понадобиться этот файл, будет повторять шаги вируса (браузер например) и обычно если по простому не вышло, топает по пути реестра, если там нет то игнорирует его.
Твой браузер сам идет по стандартному пути и находит файл который создал вирус, читает его и происходит то что должно произойти. Это принцип работы винды. Сначала искать там где знаешь, потом там где написано, потом везде. Даже дырой это назвали и прекрасно эксплуатируют.
ага…вот теперь всё более менее ясно :) спасибо за объяснение [sm=bo.gif]
|
|
|
|
|
RE: Защита hosts или как же вирусмэйкеры это делают)) - 2011-02-18 12:19:57.590000
|
|
|
Aleksej Chuharev
Сообщений: 8
Оценки: 0
Присоединился: 2011-02-18 10:57:52.800000
|
В батник можно вписать используя универсальные переменные.
echo. >>%systemroot%\system32\drivers\etc\hosts
|
|
|
|
|
|
