Вандалоустойчивые редактор реестра и диспетчер задач (Durable Regedit & Taskmgr)
 

В очень популярных утилитах для наладки и настройки Windows есть один примечательный функционал - перед своим запуском они лезут в реестр в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] и смотрят там хитрые ключики (RegEdit — "DisableRegistryTools", а Taskmgr — "DisableTaskMgr") и если находят - отказываются работать.
Этот функционал предназначался для суровых челябинских админов, которые хотят укоротить шаловливые ручки своих пользователей по самые гланды.

Но увы, увы... Реально этим функционалом пользуются вирусо/трояно писатели, с целью затруднить пользователю отслеживание и отлов своих произведений. Т.е. функционал оказывается не только бесполезным, но и вредным :)

Поэтому у меня возникло желание этот функционал в означенных утилитках немножко подкорректировать и таскать с собой на флешке, ну а потом - запихать эти утилитки в аддон.


Аддоны заменяют файлы REGEDIT.EXE и taskmgr.exe в дистрибутиве на пропатченные версии.

upd от 07.07.10 - аддоны заменены, они теперь содержат цифровые подписи, что позволяет не выводить модифицированные regedit и taskmgr из-под защиты системных файлов Windows при использовании совместно с UpdatePack

за подписанные файлы спасибо jameszero, за реализацию аддонов "с подписью" - Habetdin

Amigos, а SVCPACK для установки "на живую" возможен или нет?

А есть ещё такая вот штука (см. вложение).

truvo, а чем же они устойчивые ?

Amigos, спасибо очень любопытная идейка,я так понимаю это для хрюши))
1.Принцип действия патча?
2.Для семёрки подобное возможно организовать?
3.Научите как ручками самому пропатчить?

TERMINAL, вы, надеюсь, не ко мне обращались, а к автору темы?

Vitek 07, а защита системных файлов? Наверное, сработает?

Файлы находятся под защитой Windows, так просто подменить не получится.
Можно либо подписать их цифровой подписью, либо выводить из списка защиты, но последнее чревато тем, что вирус, помимо блокировки файлов в реестре, может попробовать их удалить и ему легко это удастся. Как результат, запустить regedit и taskmgr без дистрибутива под рукой будет уже невозможно.

Нельзя выводить такие файлы (да и остальные тоже) из-под защиты.

truvo, да, наверное, если на живую систему. Можно перед этим подчистить WINDOWS\system32\dllcache\ чтобы windows не вернула оригиналы А в составе аддона они выводятся из списка защиты
полностью согласен

jameszero, другими словами, вы не рекомендуете пользоваться данным аддоном?

truvo
Отчего же не пользоваться? Замысел хороший, реализацию только нужно проработать.

, думаю если вы так выразились у вас появились по этому поводу хорошие идеи. Мне и другим участникам было бы интересно увидеть ваши совете по реализации данной задумки, а может и саму реализацию, если вас это конечно заинтересовало.

да что там реализовывать-то, клади файлы в любое место, отличное от system32 и dllcache и запускай оттуда

а если требуется жёсткий запуск диспетчера через "CTRL+ALT+DEL".

Интересно, можно ли это сочетание переписать на запуск патченного диспетчера.

Как думаете Mr dUSHA согласится подписать, или вы уже сами научились :).

имхо, указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами

Какой смысл патчить файлы ради отключения проверки? И как потом ограничивать пользователям доступ в корпоративной среде?
Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости:Но запускать нужно не двойным щелчком, а правой кнопкой мыши и выбрать в меню пункт "Установить".

2 all
upd от 07.07.10 - аддоны заменены, теперь пропатченные REGEDIT.EXE и taskmgr.exe не выводятся из списка защиты и подписаны.

за подписанные файлы спасибо jameszero, за реализацию аддонов "с подписью" - Habetdin


теоритически - да (если действительно есть нужда, сделаю).
Практически есть сложности с цифровой подписью на живой системе, да и смысла особого нет - если у вас есть возможность принести на систему носитель со своими файлами (а как иначе в комп попадёт SVCPACK экзешник?) то можно просто принести пропатченные REGEDIT.EXE и taskmgr.exe , запустить их ну и делать с их помощью черное дело то, что нужно.


строчки которые ищут программы при запуске, лежат внутри EXE'шника, и в патченых файлах они искажены.
То есть теперь при запуске REGEDIT.EXE и taskmgr.exe прверяют на наличие другую строчку в реестре.
Коректнее было бы совсем убрать проверку в исполняемом коде, но мне это не по зубам, я ограничился искажением строчек.
конечно. нужно найти в EXE при помощи HEX редактора строчки DisableRegistryTools или DisableTaskMgr (в Unicode) и каким либо образом их закосячить.
Правда придётся поборотся с семерочной защитой системных файлов, но тут я совсем не копенгаген.
это в начале нулевых, когда WFP только появилась, удалить/заменить подписанный файл было сложнее чем неподписанный, сейчас - нет

и вообще расматривать WFP как "средство от зловредов" сильно неправильно, она не для этого создавалась и никогда не мешала реальным вирусам/вирусописателям.
Т.е. в реальной жизни система с включеной WFP ничуть не сильнее противостоит зловредам, чем с отключенной

шалости зависят от рук и от головы, а не от утилит.

"борьба с вирусами" в планы и не входила.

простой пример для чего требуются такие утилиты - я пришёл к пользователю "починить" неработающую программу. способ "починки" - удаление ветки с настройками программы в реестре.
А реестр заблокирован вирусом/трояном. Заниматся бесплатным лечением неизвестно насколько запущенной системы не хочется. Хочется быстренько "починить" нужную программу (которой вирусы не мешают) и бежать дальше. Тут то и помогают патченные утилиты.

этот файл нужно иметь с собой (таскать на флешке), а по закону подлости иммено тогда, когда нужно флешки со всем нужным под рукой не оказывается :(

к тому же есть зловреды которые блокирующие ключи реестра устанвливают не только при своём запуске, но и постоянно в процессе своей работы. т.е. inf ключи сбросит, но после этого зловред как правило успевает их поставить до запуска утилит.

хотя есть способ и в такой ситуации обойтись без патчинга файлов.
пишем CMD
он сразу после удаления ключей запускает regedit.

а разве пользователям в корпоративной среде разрешается ставить на компы свои сборки виндос с произвольным набором аддонов? :)

В корпоративной среде винду ставит админ, и если он считает, что ему нужен функционал "самоограничения" в regedit и Taskmgr он просто не будет использовать этот аддон.

Amigos, правильно я понял, что ваши regedit и taskmgr отличаются от стандартных ТОЛЬКО ЛИШЬ тем, что они не могут быть заблокированы, в остальном функционал полнейший?

И ещё вопрос: у меня в системе используется аддон Утилиты от SysInternals и вместо диспетчера задач - Process Explorer. Я запустил ваш taskmgr из аддона и увидел (см. вложение). Вопрос "чайника" - что дальше? Да, я знаю, что в самом окне Process Explorer можно вернуть виндоусовский диспетчер задач, но не может ли быть в таком случае каких-то других сложностей с блокировкой зловредами, связанных уже с самим Process Explorer? Я задаю вопрос теоретически, так как у меня пока, слава богу, ничего не заблокировано.

функционал полнейший - сравните побайтово с оригинальным - отличаются 3 байтами - 1 байт меняется имя ключа + 2 байта коррекция контрольной суммы в заголовке. нет "мои regedit и taskmgr" полностью повторяют функционал, и их тоже можно заблокировать. Просто ключи реестра для этого будут нестандартные.

Amigos, я там ещё вопросик добавил в пред. посте только что.

попробуйте запустить оригинальный taskmgr.exe с "чистого" дистрибутива - получите то же самое. скорее всего у вас сделано по рецепту http://www.cyberforum.ru/windows-admin/thread14598.html т.е. на вашей системе вместо любого taskmgr будет запускаться Process Explorer
если вирус запишет в эту ветку реестра calc.exe то будет вам при вызове диспечера задачь вызываться калькулятор.
и никакими манипуляциями с самим taskmgr.exe это не исправить :(

Ну и как в этом случае поможет аддон? Обычно таких программ в списке процессов не видно и разблокировка утилит никак не спасёт ситуацию (тут вся надежда на очень слабый троян). Немногие умеют лечить сильных зловредов прямо на рабочей системе, грамотный троян просто не даст им ничего сделать - его руткит скроет и файлы, и записи реестра. Гораздо лучше загрузиться в WinPE и лечить систему оттуда, где видна вся картина его распространения.

Другими словами если вы полечите систему путём удаления записей в реестре и после перезагрузки она разблокируется/вылечится, откуда вам (с голыми-то руками) известно, что троян не оставил там руткит, не наделал дырок в безопасности, и вообще не активируется через пару дней? Это полумера (опять вся надежда на очень слабый троян), а в безопасности полумеры не приемлемы.

Нужно честно предупреждать, что наличие вируса подобно часовой бомбе - никогда не знаешь, что он сделает в любой момент. А может завтра он все данные удалит? Как правило только глупый захочет после этого работать с активным вирусом.

Конечно ваше право пользоваться этим аддоном, но всё же я его не поощряю, так как это не true way. C таким же успехом можно патчить систему чтобы не работали ограничения NTFS, и вообще убрать все возможные Policies (самое смешное будет, если кто-то всерьёз этим займётся).

вот по этому:

ограничения прав, которые можно заюзать в NTFS, мне не мешают, а наоборот, помогают, смысла патчить не вижу.

А вот "самоограничения на запуск" в regEdit и TaskMng мною никогда не использовалось, а мешают, ну не очень часто, но мешают.

Цитата:

Цитата simplix вообще убрать все возможные Policies (самое смешное будет, если кто-то всерьёз этим займётся). »

если кто-нибудь сделает, будет любопытно посмотреть в виртуалке, "XP без политик, как win95", хотя использовать такое в работе я бы не решился

опять же повторюсь - моя цель не борьба с вирусами (тем более борьба с ними голыми руками, при помощи встроеных regEdit и TaskMng это действительно крайний случай), а возможность иметь в windows утилиты для настройки, которые чуть-чуть меннее капризны при запуске.

почему-то все считают, что категоря "безопасность"≡"безопасность от зловредов", изменю-ка я категорию на "система"

Помогите разобраться. Не хочет отрабатывать цифровая подпись.
Делаю сборку с данным аддоном. Установил ее. При выполнении
sfc /scannow - происходит ругня на подмену системных файлов.
Если вставляю диск со своей сборкой (той, которую установил) - проверка проходит дальше до конца, все чики-пуки. Вынимаю диск, запускаю команду - опять ругня.
Вставляю дистрибутив чистой ХР - данные файлы заменяются на оригинальные, после чего уже при проверке не ругается.
От чего может не отрабатывать цифровая подпись?
Та же проблема с аддоном MsConfig.

PS. Может от того, что я обнуляю dllcashe при установке системы ?

нет
смотрите в прй осмотре событий/система чего конкретно не нравится sfc

Помогите отследить проблему. После недели мучений понимаю, что самому не справиться.
Если собираю дистрибутив только из UpdatePack-XPSP3-Rus-10.9.23 + IE7_Reload-10.8.18 + WMP11RUSjz-10.9.23 - то ошибок не возникает!

Если же добавляю некоторые аддоны - возникает ошибка.
Собрал сборку :
Чистый дистрибутив WinXP SP3 RUS Corporate. + UpdatePack-XPSP3-Rus-10.9.23 + IE7_Reload-10.8.18 + WMP11RUSjz-10.9.23 + Durable_regedit
(Если использую Taskmgr или MsConfig или LocalFix - те же пироги).
Больше никаких аддонов, никаких твиков реестра (кроме настроек IE и WMP, которые уже несколько лет использую)...
Собирал дистрибутив под WinXP x32 и Win7 x64 - результат одинаковый. Антивирусы и все прочее - отключено.
Результат - пооолная даже не знаю как выразиться.
В установленной системе при выполнении команды sfc /scannow - выводится требование вставить дистрибутив чтоб скопировать файлы в dllcashe. Вставляю - копируется около 500 Мб. Вынимаю диск, запускаю проверку - ситуация опять та же самая ситуация, если опять вставляю диск - копируется еще 500 Мб, и постепенно dllcashe попросту раздувается.
Ругня идет на ВСЕ файлы - никакой логики и закономерности.
Та же ситуация с любым аддоном отсюда - http://forum.oszone.net/thread-137382.html (не знаю, связаны ли эти события)

Логи прикрепляю.

DPavlik82, та же ситуация что у вас, ругня на все файлы, но тем не менее - система проверенная, шустрая, не сбоит, и 115 аддонов, включая все те, которые вы упомянули. Пока не запустил ради вас sfc - и не обратил бы внимания. Короче, некритично всё это... хотя причину узнать интересно было бы.

МОЖНО ВОПРОС, А как Же быть с Политикой Безопасности.
Ведь всю политику вы сводите на НЕТ.
Может все таки по другому сделать. Создать ГУИ на С++. который будет искать смещение и патчить "Включать и Выключать защиту" ИМХО

Можно вообще sfc вырубить, - в этом нет сложности.
Но вырубать защиту - не есть гуд, к тому же аддоны "содержат цифровые подписи, что позволяет не выводить модифицированные regedit и taskmgr из-под защиты" - значит подобной ошибки быть не должно по определению.

ну вот к примеру, если повреждены/удалены файлы основных сертификатов
c:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\nt5.cat
c:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp3.cat
то возможно подобное поведение
у меня - с десяток, и то скорее всего, из-за того что в качестве "iso с дистрибутивом" использовалась сборка от марта месяца.

Как они могли повредиться-удалиться при использовании аддонов из данной темы?
Лог интеграции и все логи установленной системы я приложил.
Повторяю - без аддонов - нет ошибок. Один аддон отсюда - есть ошибка.
"Самодельная" цифровая подпись может служить причиной повреждения корневых сертификатов?

нет.
но для проверки удалите в папке svcpack выходного дистрибутива TASKMGR.CA_ и REGEDIT.CA_
и аддон превратится в обычный аддон с модифицированными файлами.
в setuperr.log должны появится записи о неподписанных файлах regedit и taskmgr


точно всю?
ни капелюшечки политики безопастности не остается?

DPavlik82, а вообще похоже на то, что у вас корневой сертификат не вносится.

проверьте файл .iso\I386\HIVEPCK.INF
в нём есть строчка сертификатов
?

и не должно быть, это движок форума пробелы вставляет, сейчас исправлю
да, она должна быть одна.

в таком случае возвращаемся на исходную позицию

Amigos, у меня эта строчка есть - а ситуация аналогичная. Хотя я уверен, что конкретно ваш аддон тут ни при чем.

Что конкретно не нравится sfc? У меня уже нравится почти всё. Но вчера, когда папка dllcashe имела размер 30 мегов, и я запустил sfs, и папка выросла до 680 мегов - не нравилось, видимо, многое, о чем журнал событий умалчивает (в нем остались записи только о том десятке файлов, которые на удалось скопировать (про которые она решила, что "неправильный компакт-диск".

А не могло sfc не нравиться конкретно и только незаполненное состояние папки dllcache?

скорей всего какая то несовместимость с чем то.
я свой аддон использую и ничего такого не наблюдаю
но и не верить словам то же не могу.

есть.

Данные файлы в установленной системе совпадают с оригинальными файлами чистого дистрибутива.

Кстати, а файл REGEDIT.CA_ должен попасть в дистрибутив?
И разве в аддоне он не должен лежать в папке ForceCopy\SVCPACK ?

Upd :durak: :durak: :durak: Должен. Не пойму - с какого перепугу у меня нет этой папки.
Какой ужас - столько времени потрачено на такое.

если этого файла нет - аддон превращается в последствий типа быть не должно

---

несколько часов в шапке был неправильный аддон, в котором файлы ca_ были в неправильной папке, видимо вы их и успели скачать.

Amigos, если сейчас у вас папки правильные, значит и я скачал неправильные варианты. А ещё там были файлы wxpsp3ru.ca_ (прокомментируете сей факт? Уж не из-за него ли неприятности?)

P. S. Сообщаю для DPavlik82 и просто ради интереса: пересобрал дистрибутив, исключив оттуда все del-аддоны (однако в дистрибутив вошли аддоны Durable Regedit & Taskmgr в их НЕПРАВИЛЬНОМ варианте, и сразу после установки системы на вирт. машине - запустил sfc. Проверка прошла без единого "крика", но при этом, опять же, папка dllcache выросла до размера 600 Мб, а была маленькой. (Я не утверждаю, что del-аддоны в чем-то виноваты, возможно и нет, это я указал просто для уточнения деталей). Значит, что:
1) аддоны Durable Regedit & Taskmgr ни при чем;
2) "ругань" sfc в моем случае (см. посты выше) является результатом более поздних изменений в системе - видимо, какие-то программы подсовывают в систему такие файлы, восстановление которых, в частности, и требует почему-то какого-то "правильного", но не моего родного диска;
3 ) получается, что для нормальной работы программе защиты файлов нужна полностью укомплектованная папка dllcache. В таком случае интересно, почему эта папка не наполняется в необходимой степени в процессе установки Windows? Что этому мешает, и как задать, чтобы папка комплектовалась сразу при установке системы?
Вот вычитал:

Цитата:

Цитата boss911 Fake-Setup отключает на Т-8 запуск сканирования всех защищенных файлов, из-за этого папка "dllcache" не заполняется файлами нужными для восстановления. »

Но я этот Fake-Setup вроде бы не использую. Может, интегратор его тайком использует, а я не вижу? Или, может, это где-то в твиках прописано, а я не заметил?

м-м-м... пересобрал дистрибутив с правильным расположением файлов в интеграторе (скачал то, что сейчас расположено в шапке темы).
Итог неутешителен.
cat-файлы попадают в дистрибутив в папку SVCPACK.
Но в установленной системе их нет!!! И ругня продолжается.
dllcashe при этом получился после установки около 500 МБ, но установленная система по прежнему ругается на отстутствие системных файлов.

Amigos, эти файлы должны попасть в папку
c:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
?

truvo, а у вас имеются после установки с "правильным" аддоном в установленной системе файлы regedit.cat и taskmgr.cat ?

не помню.
но его быть не должно.
это нормально.
нет. dllcashe это кэш дистрибутива, чтобы не просить у пользователя "вставьте диск с дистрибутивом" т.е. для удобства пользователя.
у меня - из-за использования fake setup.
кстати из-за отключенного сканирования, у меня и setuperr.log не наполняется ошибками "не имеет верной подписи Microsoft. Этот файл не может быть восстановлен до правильной версии Microsoft."
sfc /scannow

да
уберите ca_ файлы из аддонов - , который в принципе не сможет никак влиять на защиту файлов.
единственно - при выполнениее sfc /scannow останется запись, что не удалось востановить regedit и taskmgr из-за отсутвия эл. подписи
если ошибки при этом остаются - значит дело не в этих аддонах

по умолчанию - всё именно так, как вы хотите, почему у вас заполнение dllcache на t8 отключено - я не знаю

почему отключено от меня, я знаю - из-за fake setup


FSETUP.INI может размер dllcashe ограничен?

Можете поздравить меня. Непонятные глюки закончились. :tongue:
Использую:
Аддоны с правильным расположением файлов.
Дистрибутив на жесткий диск не копирую.
Папку dllcashe очищаю в процессе установки и устанавливаю ей нулевой размер.
Защиту sfc не отключаю.
Все вернулось в круги своя.

Amigos, может мои посты вообще поудалять или вынести в отдельную тему? Бред какой-то творился, не поддающийся логическим объяснениям - вначале из-за неправильного аддона, а потом уже даже не понимаю от чего. Наверное, не мои дни были...

А после установки последствия какие будут??? не совсем понятно какой эфект в самом конце будет от этих файлов. диспетчер задач у меня запуститься.??? можно более подробно если не трудно..

после установки в системе останутся патченые файлы .
диспетчер работать будет , причем даже после его отключение через реестр .

Ребята, у меня вместо диспетчера задач калькулятор запускается, подскажите, как это исправить?

Kollexa, У вас случайно не так?

Kollexa, у вас вирус AKStealer.A - неприятная вещь - крадет пароли, но лечимая, подробности - http://www.cloudantivirus.com/ru/thr...aler.A/102631/

Олег97, именно так и есть, что нужно сделать, чтоб диспетчер задач заработал?

Kollexa,

Олег97, спасибо большое за помощь, все заработало

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
а что с этим кодом делать надо , у меня таже проблема?
после отката системы из-за винлока

Нужно удалить этот ключ в реестре, а проще создать текстовый файл с содержанием
в него добавить
сохранить, переименовать расширение .reg и запустить.