Перейти к содержимому


- - - - -

Как пронести шпаргалки на учебные компьютеры


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 38

#1 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 23 Декабрь 2009 - 07:03

Если на компе откючено USB (faq)

Для тех,кто тут задавал вопросы,как пронести софт на флэшке в универ.

Существуют несколько известных мне способов отключить использование USB на компе (вполне вероятно,их больше)

1. usb-контроллер отключен через bios
Решение: зайти в bios (если запаролен,по лэйбе производителя найти универсальные пароли и использовать),найти закладку с настройками чипсета,найти пункты относящиеся к интегрировным устройсвам (в моем bios,н-р,называется Onboard usb блаблабла),и включить.
Пароли можно найти,н-р,здесь:http://www.wasm.ru/a...article=1013002

2.порты отключены физически.Порты на передней панели подключены к мат. плате через кабель,он отсоединен.
Решение: использовать порты на задней панели.

3. запрещен доступ на NTFS для вашей учетной записи (и групп,в которые она входит),а также учетной записи SYSTEM к файлам

%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf

Решение:курим фак по использованию разрешений на NTFS (расписывать не буду),выставляем соответствующие права (в свойствах файла на закладке Безопастность снимаем флажок Запретить,выставляем флажок Разрешить в поле Полный доступ,см. рис. внизу)

4. usb-сервисы отключены через реестр.
Решение: в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor выставлем значение параметра Start в 3 (шестьнадцатеричное)

5. используется ПО типа DeviceLock,Zlock итд.
Решение: определить и выгрузить драйвера этих программ,если ваша учетная запись имеет привилегию SeLoadDriver (учетная запись Администратора,н-р)

Как спрятать Антикомбат от админов

Способы как может быть программно определено запущена ли какая-либо программа:

1) По имени исполняемого файла программы

Способ настолько наивный,что врядли вообще он находит применение,тем более что есть более надежные способы обнаружения программ,см. п.4.
Хотя...

Решение: переименовать AK.exe в что-нибудь другое,н-р,aaa.exe,abc123.exe итд.

2) По имени класса главного окна программы.

Решение: ниже в данном топике я предлагал поиск и последующую замену имени класса через поиск адресов агрументов функций CreateWindow(Ex) и RegisterClass(),но это сложный способ,чем следующий:

Шаг.1 найти имя класса окна,н-р,с помощью утилиты типа Au3Info (идущей вместе с AutoIt)
Шаг.2 предварительно распаковав AK.exe (см. п.4),если он упакован,с помощью hex-редактора заменить все вхождения строки имени класса на какую-нибудь строку той же длины.

3) по строке в заголовке окна

Решение: см. решение в пункте 2.Тоже самое,но искать нужно строку заголовка окна.

4) сигнатурный поиск

Это один из приемов,которые используют антивирусы.Сигнатура - уникальная последовательность байт (код),специфичная для конкретной программы.Что-то родственное имеет с ним поиск по хэшу файла,н-р,MD5-хэшу,который вы неоднократно встречали при скачивании  каких-либо файлов в Сети:с помощью него можно проверить идентичность локальной копии файла удаленной копии.

Решения:
1-ое (для хэша): изменить 1 и более байт программы,н-р,см. п.2,п.3.
2-ое (универсальный): сжать программу другим упаковщиком/тем же,но с другой степенью сжатия.
Если программа уже упакована,можно сначала распаковать ее,предварительно определив упаковщик с помощью PEId и скачав распаковщик.

Данные решения спасут файл на диске.

В наличии других способов я очень сомневаюсь,но если вдруг нашли какое-нибудь еще решение,пишите.

И еще. Успех данных мероприятий зависит от того,насколько внесенные изменения оригинальны: внесение изменений файл и выкладываение его для публичного использования упростят админам задачу,я думаю,это очевидно.

Прикрепленные файлы

  • Прикрепленный файл  nftsperm.JPG   91,94К   86 Количество загрузок:

Сообщение отредактировал SGABOY: 18 Март 2010 - 12:55


#2 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 23 Декабрь 2009 - 14:16

Что-то я не вижу комментариев,вопросов - видимо,никого эта тема не интересует... :P

#3 Гость_s007s_*

Гость_s007s_*
  • Гости

Отправлено 24 Декабрь 2009 - 01:25

Инженеры просекают АК таким образом... Они видят имя процесса и откуда запущен... Самый классный и долговечный вариант... Запихать ее в RAR и запускать именно с RAR'а ибо она распаковывается в темпы и запускается ))) И тогда ее не отследить откуда она запущена... Поэтому надо самораспаковывающийся архив и автозапуск )))

#4 Гость_Bartecko_*

Гость_Bartecko_*
  • Гости

Отправлено 24 Декабрь 2009 - 02:01

Ну почему не интересует, очень даже интересует :P
Особенно интересует пункт 3, если можно, по-подробнее изложить его суть. Ну или ткнуть носом в "фак по использованию разрешений на NTFS".

Завтра, вернее уже сегодня, попробую вариант с реестром, но если я не ошибаюсь, это актуально в том случае, если флэшка ранее уже была засвечена.

Сообщение отредактировал Bartecko: 24 Декабрь 2009 - 02:09


#5 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 24 Декабрь 2009 - 08:42

Цитата

Они видят имя процесса и откуда запущен... Самый классный и долговечный вариант

Не думаю, я могу переименовать файл н-р в svchost,где 5-я буква русская О,и поместить его в туже папку,откуда запускается настоящий svchost. Как вы отличите по имени процесса и пути?

Наиболее лучший вариант - искать по md5-хэшу файла.
Можно написать скрипт для AVZ (антивирус Зайцева),запихать его  в планировщик для регулярной автоматической зачистки. Вот так. :P

Цитата

Запихать ее в RAR и запускать именно с RAR'а ибо она распаковывается в темпы и запускается ))) И тогда ее не отследить откуда она запущена... Поэтому надо самораспаковывающийся архив и автозапуск )))

Не совсем понял.Вы сами пробовали? Скачайте Process Explorer c Sysinternals,попробуйте и отпишите.
(подсказка: при наведении на процесс показывается путь к исполняемому файлу)

#6 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 24 Декабрь 2009 - 08:43

Цитата

Особенно интересует пункт 3, если можно, по-подробнее изложить его суть. Ну или ткнуть носом в "фак по использованию разрешений на NTFS".

см. вверху

#7 Гость_Bartecko_*

Гость_Bartecko_*
  • Гости

Отправлено 24 Декабрь 2009 - 13:26

Спасибо, будем пробовать  :P

#8 Гость_Chilkina_*

Гость_Chilkina_*
  • Гости

Отправлено 08 Январь 2010 - 11:16

Люди подскажите у меня АК повесил весь комбат. Сдала 2 ТТ. и все, пишет Произошла ошибка и больше не один тест не запускается

#9 Гость_Chilkina_*

Гость_Chilkina_*
  • Гости

Отправлено 08 Январь 2010 - 11:16

Но автору все равно большое спасибо. Респект и Уважуха.

#10 maklaptev

maklaptev

    Абитуриент

  • Студенты
  • Pip
  • 20 сообщений

Отправлено 09 Январь 2010 - 00:16

ФЕНЬКС) ПРОТЕСТИМ завтричко..




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных


Добро пожаловать!
Что бы получить полный доступ ко всем форумам, созданию тем и многому другому, пожалуйста Войдите или Зарегистрируйтесь.
Вы можете не тратить время на скучную анкету, а просто войти с помощью вашей любимой социальной сети в правом верхнем углу ;)