Патчинг стандартных файлов.
 

Всем доброго времени суток. Вот сидевши дома со скуки решил поковырятьв инду. Вот что наковырял. Не знаю, может аналогичная тема уже есть, и что-то похожее уже было, но вот...

Эти изменения от части помогут защитить систему от некоторых вредоносных программ...

Патчинг Explorer.exe и Shell32.dll http://all.ucoz.ru/load/6-1-0-11
Патчинг Диспетчера задач (taskmgr.exe) http://all.ucoz.ru/load/6-1-0-12

Проще сказать, вот что я проделал в Shell32.dll:

1) Чтобы изменить имя параметра реестра, отвечающего за удаление пункта "Свойства папки" из меню Проводника в любом хекс редакторе в Shell32.dll переходим к смещению 0000443C и изменяем как хотим.
Стандартно: NoFolderOptions
------------------------------------------

2) Чтобы "жестко" и раз и навсегда отключить поддержку файлов Autorun.inf переходим к смещению 0001C4E4, затираем, затем переходим к 0001C6704 и затираем его тоже. Все. Autorun.inf уже никак не сработает.
Стандартно: Autorun.inf
------------------------------------------

3) Чтобы заменить имена параметры отображения файлов в реестре, которые использует проводник (скрытых, скрытых системных, отображение расширений) делаем следующее

Замена имени параметра "Скрытые". Переходим к смещению 00006C6C и изменяем как хотим (тока кирилицей писать не надо, не пробовал, но думаю работать не будет).
Стандартно: Hidden

Замена имени параметра "Скрытые системные". Переходим к смещению 00006C90 и изменяем как хотим.
Стандартно: ShowSuperHidden

Замена имени параметра "Расширения". Переходим к смещению 00006C38 и изменяем как хотим.
Стандартно: HideFileExt


Все готов. Теперь если вы по прежнему хотите управлять отображение файлов из "Свойств папки" то придется сменить кое-какие значения в реестре, а именно заменить значения параметров на те, которые вписали. Но все же лучше выставить их один раз вручную, и не оставлять на них таких "ссылок"

Я думаю, что с вредоносными программами нужно бороться не патчами системных файлов, а другими средствами. В частности, ваше решение допускает проникновение вредоносных программ на компьютер, в то время как более эффективным средством является защита периметра при помощи антишпиона/антивируса/фаервола/.

Кроме того, я бы не рискнул использовать в своей системе такие важные файлы, как explorer, пропатченные неизвестным мне кулхацкером :)

На хороший анитиврус тяжело найти рабочий ключ (Я уважаю только Dr.web). Кроме того, часто в уч.заведениях вообще стоят фришные антивирусы, которые нифига ниче не делают. А вставлять туда флэшку, не заблокированную от изменений - значит подцепить туда что-то.

Кроме того пропатчено там всего то.... Если не доверяете мне можно просто посмотреть что делают пачи.
Сами патчи сделаны в Inq Sign 0f Misery http://s0m.narod.ru/s0m.html
Посмотретьчто они правят можно через эту же прогу.

Чтобы убрать autorun.inf в 2х местах в shell32.dll просто затирается Unicode-строка "autorun.inf " в любом HEX редакторе.
А изменение параметров отображения файлов просто заменяет последнюю букву параметров в рестре на "0"

Я просто выложил, кто-то отценит, кто-то но...
Я сделал мелочи... я не оч в хексе шарю.... но может кто-то сделает что-то более глобальное?

Понятно, мысль о покупке хорошей вещи вам даже не приходила в голову :) Поймите, что предлагаемые вами методы защиты компьютера с точки зрения информационной безопасности не выдерживают никакой критики. С точки зреня "похакать" - да, кому-то может и интересно, но я категорически не согласен с такими методами обеспечения безопасной вычислительной среды как в организации, так и в домашних условиях.

ничего не скажувроде ничего, но это АБСУРД. Можно обойтись без патчинга, установив Process Explorer от Sysinternals!

Все ничего, только вот варварское отключение Autroun.inf мне не по душе...

Зачем?!

XAKEPEHOK, а что Вы сделали с диспетчереом задач?

Уважаемый Vadikan, а вам не приходила в голову такая мысль, что помимо крупных городов нашей необъятной родины, таких как Москва И СПБ есть и мелкие городишки, в которых средняя заработная плата составляет 7-9 тыс.руб, и где мысли о покупке дорогостоящего ПО автоматически отпадают. А насчет всех организаций я и не говорю. Есть малобюджетные учебные заведения (напрмер такие как мой колледж), причем в которых у администрации не хватает мозгов, что помимо компов нужно еще хорошее ПО. А придти туда и сидеть с компом, который весь плескает от обилия всякой мелкой дряни мне например весьма не приятно. В моем случае это выход, и вполне нормальный. Я же не говорю это внедрять....

А что вы называете не варварским? Отключить автозапуск дисков и любых съемных носителей можно в реестре, да. А вы попробуйте создать в корне диска файл autorun.inf и вписать в него
и положите в корень любую программу, переименовав ее в "autorun.exe". А теперь попробуйте осуществить двойной клик по диску в стандартном проводнике. Запустилась? Думаю да. Насколько я знаю поддержку этого нельзя отключить средствами реестра.

Диспетчер задач теперь может отрубать процессы под любыми именами. Опять же, перейменуйте любую программу например в файл "csrss.exe", запустите и попробуйте завершить процесс через деспетчер задач (не снять задачау). Мой измененный может это завершать. И теперь нельзя заблокировать его через реестр (disabletaskmgr)

А как Вы добились отключения защищенности csrss.exe/winlogon.exe?
А отключение Автозапуска все-таки жестокое - лучше так.

Хоть и не поддерживаю этих патчей (вообще не рекомендую никому неизвестно откуда взявшиеся патчи ставить), но с Вами, Vadikan, не согласен. Исходная система должна быть достаточно защищенной, чтобы свести на нет смысл использования всяких "вредоносных" программ, т.е. свести вред от их применения к минимуму. Все это значительно бы уменьшило распространенность и термина "вредоносный", и антивирусного ПО. Кто бы от этого выиграл? Наверное, только рядовые пользователи.
Корпорации заинтересованы в том, чтобы ПО Microsoft было достаточно незащищенным для того, чтобы они могли спокойно заполнить рынок "средствами, улучшающими безопасность/удобство и т.п. Windows". Покупающие компании заинтересованы в покупке "защитного" ПО из-за того, что в случае потери денег за счет действия вирусов ответственность можно перенести на компанию-производитель защитного ПО и потребовать с нее деньги (как правило через суд).
А все организации, где данные действительно нуждаются в защите и их потеря чревата, не используют Windows.

Но опять же, повторюсь, это не значит, что нужно "патчить" непонятно чем файлы системы. Скорее всего, защищенность как раз уменьшится, а не наоборот.

Таким же способом как и отключил автораны. Затер имена защищенных процессов.

Я все подробно описал как что делается. Каждый может по моим описаниям проделать то же самое при помощи прямых рук и хекс редактора.
Envel, вы похоже единственный человек понявший что я хотел сказать. Я не пиарю патчи свои. Просто до меня системные файлы никто по-моему не правил. По крайне мере я не видел

Petya V4sechkin, не скрою, не знал. Учту) Но значении реестра не составляет труда переписать обратно. но хотя да. Так отключить пожалуй удобнее

Ужас! Это перезапись стандартной команды "Открыть". Но если отключить через реестр, поидее, и это должно быть заблокировано, т.к. запись
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Блокирует обращения к файлу autorun.inf

Котяра, просто мой способ действует уже наверняка... а в реестре можно переписать....
ну хотя если отключить так, то никакие авторанеры уже не пролезут.

А для отключения блокируемости затерли disabletaskmgr?

да. все просто) Может грубо. Но ведь работает, причем глюков никаких не наблюдалось

Обновил шапку темы и убрал патчи Shell32.dll с сайта. Вместо этого теперь статья.