Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Можно ли программно детектировать подключение по rdp

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Windows] >> Можно ли программно детектировать подключение по rdp
Имя
Сообщение << Старые топики   Новые топики >>
Можно ли программно детектировать подключение по rdp - 2011-05-23 07:07:46.656666   
amk

Сообщений: 12
Оценки: 0
Присоединился: 2011-05-06 11:11:41.150000
 Как в Windous XP можно определить программно, подключился ли к данному локальному компьютеру удаленный пользователь по RDP (Remote Desktop), или работа идет в обычном режиме.
Новые процессы на локальном компьютере, насколько я понял, при подключеии к нему по rdp не появляются, порт может использоваться призвольный.
Post #: 1
RE: Можно ли программно детектировать подключение по rdp - 2011-05-23 08:01:01.890000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
В диспечере задач есть такая вот штука. Она показывает текущих активных пользователей системы.

Подобное же есть в Управлении компьютером.

Все это программы, а значит программно можно узнать.

Но проще поставить фаервол.
Post #: 2
RE: Можно ли программно детектировать подключение по rdp - 2011-05-23 16:26:30.766666   
Huskies

Сообщений: 196
Оценки: 11
Присоединился: 2011-03-09 15:00:00.773333
 Можно шарком посмотреть все соединения. Как вариант TCPView.
Хотя ответ выше был достойнее.
Post #: 3
RE: Можно ли программно детектировать подключение по rdp - 2011-05-23 16:28:32.190000   
amk

Сообщений: 12
Оценки: 0
Присоединился: 2011-05-06 11:11:41.150000
 Понятно.
А возможно ли теоретически подделать данные о сеансе в системе? Т.е. чтобы вместо сеанс: RDP-Tcp, выводилось сеанс:Concole
Post #: 4
RE: Можно ли программно детектировать подключение по rdp - 2011-05-23 19:00:32.950000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
 Теоретически да, но это уже будет ближе к вредоносной активности, да и не ясно как винда отреагирует. Пишите, пробуйте.
Post #: 5
RE: Можно ли программно детектировать подключение по rdp - 2011-05-25 20:04:19.806666   
amk

Сообщений: 12
Оценки: 0
Присоединился: 2011-05-06 11:11:41.150000
Ltonid, а не подскажете в каком направлении копать?
Искать ли ключи рееста, в которых хранятся данные о текущем сеансе, или что-то другое?
Post #: 6
RE: Можно ли программно детектировать подключение по rdp - 2011-05-25 20:10:20.543333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
 Хмм, ну я бы начал с исследования с помощью process monitor следя за тем что читается диспечером задач. Если это какие то внутренние механизмы (маловероятно), то пришлось бы его дебажить.
Post #: 7
RE: Можно ли программно детектировать подключение по rdp - 2011-05-25 21:29:46.430000   
Barkass$

Сообщений: 1854
Оценки: 40
Присоединился: 2008-11-11 12:19:45.216666
 В XP? Вообще без проблем.
От чего отталкивается диспетчер. От Активности учетки.
От чего отталкивается "управление". От Активности учетки.
Если сделать учетку, из прав рута, и добавить в HKEY_LOCAL_MACHINE\SAM\SAM\логин\s-1-0-5\stRMP /0001 dword будет очень весело.
А именно, новая учетка будет существовать и делать коннект на неё, будет возможно, но статус её будет убит.
Это все равно что работать не активным Админом из под Юзвера в консоле.
Post #: 8
RE: Можно ли программно детектировать подключение по rdp - 2011-05-27 19:38:41.770000   
amk

Сообщений: 12
Оценки: 0
Присоединился: 2011-05-06 11:11:41.150000
 Barkass$, а можно поточнее, куда писать параметр stRMP.
Смотрел на 2 компах, ветки s-1-0-5 нет, есть

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases\Members\S-1-5-21-436374069-1409082233-839522115
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-436374069-1409082233-839522115
Или s-1-0-5 надо создать?
Post #: 9
RE: Можно ли программно детектировать подключение по rdp - 2011-05-27 22:18:20.100000   
Barkass$

Сообщений: 1854
Оценки: 40
Присоединился: 2008-11-11 12:19:45.216666
 Создать. На висте кстате тоже должно работать, разве что директории поменять, да возможно названия. Надо копаться.
Post #: 10
RE: Можно ли программно детектировать подключение по rdp - 2011-05-28 17:09:11.746666   
amk

Сообщений: 12
Оценки: 0
Присоединился: 2011-05-06 11:11:41.150000
 Создал \s-1-0-5\stRMP /0001 dword  в ветке
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\admin\  (admin - имя учетки)
Также пробывал в других ветках. Выходил/заходил/перезагружался.
Изменений не наблюдается. Может параметр по другому называется? В Инете по поводу stRMP - ни слова не нашел. 
Post #: 11
RE: Можно ли программно детектировать подключение по rdp - 2011-05-28 18:33:24.160000   
Barkass$

Сообщений: 1854
Оценки: 40
Присоединился: 2008-11-11 12:19:45.216666
 Раньше данный метод был на Ачате в закрытом разделе, работал он 100%, возможно я не правильно указал путь, запамятовал. Давай так, я поищу и напишу. Но насколько я помню, все правильно и должно работать.
Post #: 12
RE: Можно ли программно детектировать подключение по rdp - 2011-06-08 17:06:00.910000   
wizardXP

Сообщений: 25
Оценки: 0
Присоединился: 2011-04-16 04:21:33.776666
quote:

Если сделать учетку, из прав рута, и добавить в HKEY_LOCAL_MACH…

Слишком много лишней возни, ИМХО. Но способ интересный.

quote:

Это все равно что работать не активным Админом из под Юзвера в консоле.


Типа того чтоле?? :))
quote:

MSTSC [/v:&lt;сервер[:порт]&gt;] [/console]
Post #: 13
Страниц:  [1]
Все форумы >> [Windows] >> Можно ли программно детектировать подключение по rdp







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.