Добавление своих данных под самозащиту DrWeb (DwProt.sys)
Мало кто из нас знает, что в DrWeb можно указать свои данные которые будут защищаться.
Найти данные которые защищаються, можно по след. пути:
Код:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters
Подраздел File -указывает какие файлы будут защищены и папки, Keys -ключи реестра.
Для добавления или удаления данных, надо отключить самозащиту DrWeb.
В Других Антивирусах я не нашел таких списков, где можно указать драйверу данные для защиты.
Так что выбрал, вариант проще и выбрал DrWeb
---
Вам надоел вирус который прописываеться в Winlogon!
или постоянно блокируться Диспетчер задач, реестр и так далее..
Добавьте их в защиту, на примере файла .Reg , ниже я расскажу как!
---
Для начало настройте DrWeb.
Код:
"BlockCriticalObjects"=dword:00000001
"BlockHOSTSFile"=dword:00000000
"DriverDrive"="C:"
"DriverPath"="\\WINDOWS\\system32\\drivers\\dwprot.sys"
"RemovableDisable"=dword:00000000
"NetUserDisable"=dword:00000000
"DrWebControl"=dword:00000001
"SystemControl"=dword:00000001
"DrWebIntegrity"=dword:00000000
"ParentalControl"=dword:00000000
"ParentalFileControl"=dword:00000000
"DiskProtect"=dword:00000001
"WndSendInputControl"=dword:00000001
если у вас, есть какие то другие знач. которые я не указал, не меняйте их
---
Как добавиться данные путем .reg файла
Рассмотрим на примере NTDETECT.COM файла
Создаем пустой текстовый док. в нем прописываем эти данные
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1]
"Drive"="C:"
"Name"="\\NTDETECT.COM"
"Type"=dword:00000001
После чего сохраняем в формате .reg
Уточнение:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] (1) - это номер нашего файла, дальше будет 2,3 и так далее
"Drive"="C:" диск где находиться файл
"Name"="\\NTDETECT.COM" путь к файлу и его имя
"Type"=dword:00000001 тип защиты
На данном примере, можно указать свои файлы и папки.
Отключаем самозащиту и запускаем наш файл reg, на вопрос нажимаем да, се файл должен занестись в список защиты
---
Добавляем ключ реестра, на примере моего
К примеру я хочу защитить от изменения под-ключи, раздела Winlogon
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0]
"Name"="Shell"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1]
"Name"="UIHost"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2]
"Name"="Userinit"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3]
"Name"="VmApplet"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4]
"Name"="System"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5]
"Name"="Taskman"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6]
"Name"="GinaDLL"
Рассмотрим по подробней:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] (2) номер, может указываться любой
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" путь раздела в котором будут защищены указ.мной ключи
"Type"=dword:00000001 тип защиты
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] номер ключа
"Name"="Shell" имя ключа
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] номер ключа
"Name"="UIHost" имя ключа
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] и так далее
"Name"="Userinit"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3]
"Name"="VmApplet"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4]
"Name"="System"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5]
"Name"="Taskman"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6]
"Name"="GinaDLL"
Тут я указал, какие ключики будут защищаться отдельно, но не весь раздел
---
На данном примере я покажу как защитить весь раздел.
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options"
"Type"=dword:00000001
Рассмотрим:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] (1) номер раздела
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" путь раздела, тут я его указал без под разделов
, он отличаеться от примера выше.
"Type"=dword:00000001
---
Мои примеры по файлам для XP:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1]
"Drive"="C:"
"Name"="\\NTDETECT.COM"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\2]
"Drive"="C:"
"Name"="\\ntldr"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\3]
"Drive"="C:"
"Name"="\\Windows\\Explorer.exe"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\4]
"Drive"="C:"
"Name"="\\Windows\\Win.ini"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\5]
"Drive"="C:"
"Name"="\\WINDOWS\\system32\\drivers\\etc"
"Type"=dword:00000001
и так далее
---
По реестру:
Код:
Windows Registry Editor Version 5.00
*******************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0]
"Name"="Shell"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1]
"Name"="UIHost"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2]
"Name"="Userinit"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3]
"Name"="VmApplet"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4]
"Name"="System"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5]
"Name"="Taskman"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6]
"Name"="GinaDLL"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\3]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\4]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\exefile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\5]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\comfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\6]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\batfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\7]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cerfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\8]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cmdfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\9]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\crlfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\10]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\dllfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\11]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\folder"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\12]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inifile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\13]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inffile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\14]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\jpegfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\15]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\lnkfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\16]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regedit"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\17]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\18]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\shell"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\19]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\txtfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\20]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\vbsfile"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\21]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\GPExtensions"
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\22]
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32"
"Type"=dword:00000001
Пробуем!!!