Всем доброго времени суток. Вот сидевши дома со скуки решил поковырятьв инду. Вот что наковырял. Не знаю, может аналогичная тема уже есть, и что-то похожее уже было, но вот...

Эти изменения от части помогут защитить систему от некоторых вредоносных программ...

Патчинг Explorer.exe и Shell32.dll http://all.ucoz.ru/load/6-1-0-11
Патчинг Диспетчера задач (taskmgr.exe) http://all.ucoz.ru/load/6-1-0-12

Проще сказать, вот что я проделал в Shell32.dll:

1) Чтобы изменить имя параметра реестра, отвечающего за удаление пункта "Свойства папки" из меню Проводника в любом хекс редакторе в Shell32.dll переходим к смещению 0000443C и изменяем как хотим.
Стандартно: NoFolderOptions
------------------------------------------

2) Чтобы "жестко" и раз и навсегда отключить поддержку файлов Autorun.inf переходим к смещению 0001C4E4, затираем, затем переходим к 0001C6704 и затираем его тоже. Все. Autorun.inf уже никак не сработает.
Стандартно: Autorun.inf
------------------------------------------

3) Чтобы заменить имена параметры отображения файлов в реестре, которые использует проводник (скрытых, скрытых системных, отображение расширений) делаем следующее

Замена имени параметра "Скрытые". Переходим к смещению 00006C6C и изменяем как хотим (тока кирилицей писать не надо, не пробовал, но думаю работать не будет).
Стандартно: Hidden

Замена имени параметра "Скрытые системные". Переходим к смещению 00006C90 и изменяем как хотим.
Стандартно: ShowSuperHidden

Замена имени параметра "Расширения". Переходим к смещению 00006C38 и изменяем как хотим.
Стандартно: HideFileExt


Все готов. Теперь если вы по прежнему хотите управлять отображение файлов из "Свойств папки" то придется сменить кое-какие значения в реестре, а именно заменить значения параметров на те, которые вписали. Но все же лучше выставить их один раз вручную, и не оставлять на них таких "ссылок"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N]
"ValueName"="Hidden"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"ValueName"="Hidden"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"ValueName"="HideFileExt"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"

Эти изменения от части помогут защитить систему от некоторых вредоносных программ... »
Я думаю, что с вредоносными программами нужно бороться не патчами системных файлов, а другими средствами. В частности, ваше решение допускает проникновение вредоносных программ на компьютер, в то время как более эффективным средством является защита периметра при помощи антишпиона/антивируса/фаервола/.

Кроме того, я бы не рискнул использовать в своей системе такие важные файлы, как explorer, пропатченные неизвестным мне кулхацкером :)

при помощи антишпиона/антивируса/фаервола/.
На хороший анитиврус тяжело найти рабочий ключ (Я уважаю только Dr.web). Кроме того, часто в уч.заведениях вообще стоят фришные антивирусы, которые нифига ниче не делают. А вставлять туда флэшку, не заблокированную от изменений - значит подцепить туда что-то.

Кроме того пропатчено там всего то.... Если не доверяете мне можно просто посмотреть что делают пачи.
Сами патчи сделаны в Inq Sign 0f Misery http://s0m.narod.ru/s0m.html
Посмотретьчто они правят можно через эту же прогу.

Чтобы убрать autorun.inf в 2х местах в shell32.dll просто затирается Unicode-строка "autorun.inf " в любом HEX редакторе.
А изменение параметров отображения файлов просто заменяет последнюю букву параметров в рестре на "0"

Я просто выложил, кто-то отценит, кто-то но...
Я сделал мелочи... я не оч в хексе шарю.... но может кто-то сделает что-то более глобальное?

На хороший анитиврус тяжело найти рабочий ключ »
Понятно, мысль о покупке хорошей вещи вам даже не приходила в голову :) Поймите, что предлагаемые вами методы защиты компьютера с точки зрения информационной безопасности не выдерживают никакой критики. С точки зреня "похакать" - да, кому-то может и интересно, но я категорически не согласен с такими методами обеспечения безопасной вычислительной среды как в организации, так и в домашних условиях.

Патчинг Explorer.exe и Shell32.dll http://all.ucoz.ru/load/6-1-0-11
Патчинг Диспетчера задач (taskmgr.exe) http://all.ucoz.ru/load/6-1-0-12 »
Патчинг Explorer.exe и Shell32.dll »
ничего не скажуПатчинг Диспетчера задач (taskmgr.exe) »
вроде ничего, но это АБСУРД. Можно обойтись без патчинга, установив Process Explorer от Sysinternals!

Кроме того, я бы не рискнул использовать в своей системе такие важные файлы, как explorer, пропатченные неизвестным мне кулхацкером »

Все ничего, только вот варварское отключение Autroun.inf мне не по душе...

Я сделал мелочи... я не оч в хексе шарю.... но может кто-то сделает что-то более глобальное? »
Зачем?!

Чтобы убрать autorun.inf в 2х местах в shell32.dll просто затирается Unicode-строка "autorun.inf " в любом HEX редакторе.
А изменение параметров отображения файлов просто заменяет последнюю букву параметров в рестре на "0" »
XAKEPEHOK, а что Вы сделали с диспетчереом задач?

Понятно, мысль о покупке хорошей вещи вам даже не приходила в голову »
Уважаемый Vadikan, а вам не приходила в голову такая мысль, что помимо крупных городов нашей необъятной родины, таких как Москва И СПБ есть и мелкие городишки, в которых средняя заработная плата составляет 7-9 тыс.руб, и где мысли о покупке дорогостоящего ПО автоматически отпадают. А насчет всех организаций я и не говорю. Есть малобюджетные учебные заведения (напрмер такие как мой колледж), причем в которых у администрации не хватает мозгов, что помимо компов нужно еще хорошее ПО. А придти туда и сидеть с компом, который весь плескает от обилия всякой мелкой дряни мне например весьма не приятно. В моем случае это выход, и вполне нормальный. Я же не говорю это внедрять....

Все ничего, только вот варварское отключение Autroun.inf мне не по душе... »
А что вы называете не варварским? Отключить автозапуск дисков и любых съемных носителей можно в реестре, да. А вы попробуйте создать в корне диска файл autorun.inf и вписать в него

[autorun]
shell\open=Открыть
shell\open\Command=RECYCLER\autorun.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=RECYCLER\autorun.exe


и положите в корень любую программу, переименовав ее в "autorun.exe". А теперь попробуйте осуществить двойной клик по диску в стандартном проводнике. Запустилась? Думаю да. Насколько я знаю поддержку этого нельзя отключить средствами реестра.

XAKEPEHOK, а что Вы сделали с диспетчереом задач? »
Диспетчер задач теперь может отрубать процессы под любыми именами. Опять же, перейменуйте любую программу например в файл "csrss.exe", запустите и попробуйте завершить процесс через деспетчер задач (не снять задачау). Мой измененный может это завершать. И теперь нельзя заблокировать его через реестр (disabletaskmgr)

Насколько я знаю поддержку этого нельзя отключить средствами реестра.
Можно (http://forum.oszone.net/thread-106983.html)

Диспетчер задач теперь может отрубать процессы под любыми именами. Опять же, перейменуйте любую программу например в файл "csrss.exe", запустите и попробуйте завершить процесс через деспетчер задач (не снять задачау). Мой измененный может это завершать. И теперь нельзя заблокировать его через реестр (disabletaskmgr) »
А как Вы добились отключения защищенности csrss.exe/winlogon.exe?
А отключение Автозапуска все-таки жестокое - лучше Можно » так.

ержку файлов autorun.inf (у меня лично вообще автозапуск отключен, да и так никакой трой не пролезет) выложу на сайте позже... »
Я думаю, что с вредоносными программами нужно бороться не патчами системных файлов, а другими средствами. В частности, ваше решение допускает проникновение вредоносных программ на компьютер, в то время как более эффективным средством является защита периметра при помощи антишпиона/антивируса/фаервола/. »

Хоть и не поддерживаю этих патчей (вообще не рекомендую никому неизвестно откуда взявшиеся патчи ставить), но с Вами, Vadikan, не согласен. Исходная система должна быть достаточно защищенной, чтобы свести на нет смысл использования всяких "вредоносных" программ, т.е. свести вред от их применения к минимуму. Все это значительно бы уменьшило распространенность и термина "вредоносный", и антивирусного ПО. Кто бы от этого выиграл? Наверное, только рядовые пользователи.
Корпорации заинтересованы в том, чтобы ПО Microsoft было достаточно незащищенным для того, чтобы они могли спокойно заполнить рынок "средствами, улучшающими безопасность/удобство и т.п. Windows". Покупающие компании заинтересованы в покупке "защитного" ПО из-за того, что в случае потери денег за счет действия вирусов ответственность можно перенести на компанию-производитель защитного ПО и потребовать с нее деньги (как правило через суд).
А все организации, где данные действительно нуждаются в защите и их потеря чревата, не используют Windows.

Но опять же, повторюсь, это не значит, что нужно "патчить" непонятно чем файлы системы. Скорее всего, защищенность как раз уменьшится, а не наоборот.

А как Вы добились отключения защищенности csrss.exe/winlogon.exe? »
Таким же способом как и отключил автораны. Затер имена защищенных процессов.

Хоть и не поддерживаю этих патчей (вообще не рекомендую никому неизвестно откуда взявшиеся патчи ставить) »
Я все подробно описал как что делается. Каждый может по моим описаниям проделать то же самое при помощи прямых рук и хекс редактора.
Envel, вы похоже единственный человек понявший что я хотел сказать. Я не пиарю патчи свои. Просто до меня системные файлы никто по-моему не правил. По крайне мере я не видел

Petya V4sechkin, не скрою, не знал. Учту) Но значении реестра не составляет труда переписать обратно. но хотя да. Так отключить пожалуй удобнее

Цитата Котяра:
Все ничего, только вот варварское отключение Autroun.inf мне не по душе... »
А что вы называете не варварским? Отключить автозапуск дисков и любых съемных носителей можно в реестре, да. А вы попробуйте создать в корне диска файл autorun.inf и вписать в него
Цитата:
[autorun]
shell\open=Открыть
shell\open\Command=RECYCLER\autorun.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=RECYCLER\autorun.exe
и положите в корень любую программу, переименовав ее в "autorun.exe". А теперь попробуйте осуществить двойной клик по диску в стандартном проводнике. Запустилась? Думаю да. Насколько я знаю поддержку этого нельзя отключить средствами реестра. »
Ужас! Это перезапись стандартной команды "Открыть". Но если отключить через реестр, поидее, и это должно быть заблокировано, т.к. запись
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Блокирует обращения к файлу autorun.inf

Котяра, просто мой способ действует уже наверняка... а в реестре можно переписать....
ну хотя если отключить так, то никакие авторанеры уже не пролезут.

Цитата Котяра:
А как Вы добились отключения защищенности csrss.exe/winlogon.exe? »
Таким же способом как и отключил автораны. Затер имена защищенных процессов. »
А для отключения блокируемости затерли disabletaskmgr?

да. все просто) Может грубо. Но ведь работает, причем глюков никаких не наблюдалось

Обновил шапку темы и убрал патчи Shell32.dll с сайта. Вместо этого теперь статья.