В очень популярных утилитах для наладки и настройки Windows есть один примечательный функционал - перед своим запуском они лезут в реестр в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] и смотрят там хитрые ключики (RegEdit — "DisableRegistryTools", а Taskmgr — "DisableTaskMgr") и если находят - отказываются работать.
Этот функционал предназначался для суровых челябинских админов, которые хотят укоротить шаловливые ручки своих пользователей по самые гланды.

Но увы, увы... Реально этим функционалом пользуются вирусо/трояно писатели, с целью затруднить пользователю отслеживание и отлов своих произведений. Т.е. функционал оказывается не только бесполезным, но и вредным :)

Поэтому у меня возникло желание этот функционал в означенных утилитках немножко подкорректировать и таскать с собой на флешке, ну а потом - запихать эти утилитки в аддон.

http://s001.youpic.su/pictures/1278349200/6ab56a707c84330e326a85952ff1cb7b.png

Аддоны заменяют файлы REGEDIT.EXE и taskmgr.exe в дистрибутиве на пропатченные версии.

upd от 07.07.10 - аддоны заменены, они теперь содержат цифровые подписи, что позволяет не выводить модифицированные regedit и taskmgr из-под защиты системных файлов Windows при использовании совместно с UpdatePack

за подписанные файлы спасибо jameszero, за реализацию аддонов "с подписью" - Habetdin

Amigos, а SVCPACK для установки "на живую" возможен или нет?

А есть ещё такая вот штука (см. вложение).

truvo, а чем же они устойчивые ?

truvo, а чего мудрить то, достаточно в архивчик их запихнуть

Amigos, спасибо очень любопытная идейка,я так понимаю это для хрюши))
1.Принцип действия патча?
2.Для семёрки подобное возможно организовать?
3.Научите как ручками самому пропатчить?

TERMINAL, вы, надеюсь, не ко мне обращались, а к автору темы?

Vitek 07, а защита системных файлов? Наверное, сработает?

достаточно в архивчик их запихнуть »
Файлы находятся под защитой Windows, так просто подменить не получится.
Можно либо подписать их цифровой подписью, либо выводить из списка защиты, но последнее чревато тем, что вирус, помимо блокировки файлов в реестре, может попробовать их удалить и ему легко это удастся. Как результат, запустить regedit и taskmgr без дистрибутива под рукой будет уже невозможно.

Нельзя выводить такие файлы (да и остальные тоже) из-под защиты.

truvo, да, наверное, если на живую систему. Можно перед этим подчистить WINDOWS\system32\dllcache\ чтобы windows не вернула оригиналы А в составе аддона они выводятся из списка защиты
Нельзя выводить такие файлы (да и остальные тоже) из-под защиты. »
полностью согласен

jameszero, другими словами, вы не рекомендуете пользоваться данным аддоном?

truvo
Отчего же не пользоваться? Замысел хороший, реализацию только нужно проработать.

Замысел хороший, реализацию только нужно проработать », думаю если вы так выразились у вас появились по этому поводу хорошие идеи. Мне и другим участникам было бы интересно увидеть ваши совете по реализации данной задумки, а может и саму реализацию, если вас это конечно заинтересовало.

Мне и другим участникам было бы интересно увидеть ваши совете по реализации »
да что там реализовывать-то, клади файлы в любое место, отличное от system32 и dllcache и запускай оттуда

да что там реализовывать-то, клади файлы в любое место, отличное от system32 и dllcache и запускай оттуда »
а если требуется жёсткий запуск диспетчера через "CTRL+ALT+DEL".

Интересно, можно ли это сочетание переписать на запуск патченного диспетчера.

Замысел хороший, реализацию только нужно проработать
Как думаете Mr dUSHA согласится подписать, или вы уже сами научились :).

имхо, указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами

Какой смысл патчить файлы ради отключения проверки? И как потом ограничивать пользователям доступ в корпоративной среде?
Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости:[Version]
Signature="$Chicago$"

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0Но запускать нужно не двойным щелчком, а правой кнопкой мыши и выбрать в меню пункт "Установить".

2 all
upd от 07.07.10 - аддоны заменены, теперь пропатченные REGEDIT.EXE и taskmgr.exe не выводятся из списка защиты и подписаны.

за подписанные файлы спасибо jameszero, за реализацию аддонов "с подписью" - Habetdin


а SVCPACK для установки "на живую" возможен или нет? » теоритически - да (если действительно есть нужда, сделаю).
Практически есть сложности с цифровой подписью на живой системе, да и смысла особого нет - если у вас есть возможность принести на систему носитель со своими файлами (а как иначе в комп попадёт SVCPACK экзешник?) то можно просто принести пропатченные REGEDIT.EXE и taskmgr.exe , запустить их ну и делать с их помощью черное дело то, что нужно.


.Принцип действия патча? » перед своим запуском они лезут в реестр в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] и смотрят там хитрые ключики (RegEdit — "DisableRegistryTools", а Taskmgr — "DisableTaskMgr") и если находят - отказываются работать. » строчки которые ищут программы при запуске, лежат внутри EXE'шника, и в патченых файлах они искажены.
То есть теперь при запуске REGEDIT.EXE и taskmgr.exe прверяют на наличие другую строчку в реестре.
Коректнее было бы совсем убрать проверку в исполняемом коде, но мне это не по зубам, я ограничился искажением строчек.
.Для семёрки подобное возможно организовать? »конечно. нужно найти в EXE при помощи HEX редактора строчки DisableRegistryTools или DisableTaskMgr (в Unicode) и каким либо образом их закосячить.
Правда придётся поборотся с семерочной защитой системных файлов, но тут я совсем не копенгаген.
выводить из списка защиты, но последнее чревато тем, что вирус, помимо блокировки файлов в реестре, может попробовать их удалить и ему легко это удастся. » это в начале нулевых, когда WFP только появилась, удалить/заменить подписанный файл было сложнее чем неподписанный, сейчас - нет

и вообще расматривать WFP как "средство от зловредов" сильно неправильно, она не для этого создавалась и никогда не мешала реальным вирусам/вирусописателям.
Т.е. в реальной жизни система с включеной WFP ничуть не сильнее противостоит зловредам, чем с отключенной

указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами » шалости зависят от рук и от головы, а не от утилит.

"борьба с вирусами" в планы и не входила.

простой пример для чего требуются такие утилиты - я пришёл к пользователю "починить" неработающую программу. способ "починки" - удаление ветки с настройками программы в реестре.
А реестр заблокирован вирусом/трояном. Заниматся бесплатным лечением неизвестно насколько запущенной системы не хочется. Хочется быстренько "починить" нужную программу (которой вирусы не мешают) и бежать дальше. Тут то и помогают патченные утилиты.

Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости: » этот файл нужно иметь с собой (таскать на флешке), а по закону подлости иммено тогда, когда нужно флешки со всем нужным под рукой не оказывается :(

к тому же есть зловреды которые блокирующие ключи реестра устанвливают не только при своём запуске, но и постоянно в процессе своей работы. т.е. inf ключи сбросит, но после этого зловред как правило успевает их поставить до запуска утилит.

хотя есть способ и в такой ситуации обойтись без патчинга файлов.
пишем CMD
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
regedit.exe
он сразу после удаления ключей запускает regedit.

И как потом ограничивать пользователям доступ в корпоративной среде? » а разве пользователям в корпоративной среде разрешается ставить на компы свои сборки виндос с произвольным набором аддонов? :)

В корпоративной среде винду ставит админ, и если он считает, что ему нужен функционал "самоограничения" в regedit и Taskmgr он просто не будет использовать этот аддон.

Amigos, правильно я понял, что ваши regedit и taskmgr отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы, в остальном функционал полнейший?

И ещё вопрос: у меня в системе используется аддон Утилиты от SysInternals и вместо диспетчера задач - Process Explorer. Я запустил ваш taskmgr из аддона и увидел (см. вложение). Вопрос "чайника" - что дальше? Да, я знаю, что в самом окне Process Explorer можно вернуть виндоусовский диспетчер задач, но не может ли быть в таком случае каких-то других сложностей с блокировкой зловредами, связанных уже с самим Process Explorer? Я задаю вопрос теоретически, так как у меня пока, слава богу, ничего не заблокировано.

отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы, в остальном функционал полнейший? » функционал полнейший - сравните побайтово с оригинальным - отличаются 3 байтами - 1 байт меняется имя ключа + 2 байта коррекция контрольной суммы в заголовке.ваши regedit и taskmgr отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы » нет "мои regedit и taskmgr" полностью повторяют функционал, и их тоже можно заблокировать. Просто ключи реестра для этого будут нестандартные.

Amigos, я там ещё вопросик добавил в пред. посте только что.

SysInternals и вместо диспетчера задач - Process Explorer. Я запустил ваш taskmgr из аддона и увидел (см. вложение). Вопрос "чайника" - что дальше? Да, я знаю, что в самом окне Process Explorer можно вернуть виндоусовский диспетчер задач, но не может ли быть в таком случае каких-то других сложностей с блокировкой зловредами, связанных уже с самим Process Explorer? » попробуйте запустить оригинальный taskmgr.exe с "чистого" дистрибутива - получите то же самое."мои regedit и taskmgr" полностью повторяют функционал » скорее всего у вас сделано по рецепту http://www.cyberforum.ru/windows-admin/thread14598.html Ответ: замена taskmgr
Как вариант: можно создать в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger типа REG_SZ и написать в нём путь к проге. Она будет запускаться вместо taskmgr.exe. т.е. на вашей системе вместо любого taskmgr будет запускаться Process Explorer
если вирус запишет в эту ветку реестра calc.exe то будет вам при вызове диспечера задачь вызываться калькулятор.
и никакими манипуляциями с самим taskmgr.exe это не исправить :(