Перейти к содержимому


- - - - -

Как пронести шпаргалки на учебные компьютеры


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 38

#11 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 16 March 2010 - 15:31

Цитата

Наиболее лучший вариант - искать по md5-хэшу файла.
Можно написать скрипт для AVZ (антивирус Зайцева),запихать его в планировщик для регулярной автоматической зачистки. Вот так

А чтобы обойти это,надо взять любую версию и поправить в ней (лучше,в секции ресурсов) пару каких-нить байт. :o

#12 germes

germes

    Абитуриент

  • Студенты
  • Pip
  • 97 сообщений

Отправлено 16 March 2010 - 19:58

SGABOY (23.12.2009 - 07:03) писал:

Если на компе откючено USB (faq)

Для тех,кто тут задавал вопросы,как пронести софт на флэшке в универ.

Существуют несколько известных мне способов отключить использование USB на компе (вполне вероятно,их больше)

1. usb-контроллер отключен через bios
Решение: зайти в bios (если запаролен,по лэйбе производителя найти универсальные пароли и использовать),найти закладку с настройками чипсета,найти пункты относящиеся к интегрировным устройсвам (в моем bios,н-р,называется Onboard usb блаблабла),и включить.
Пароли можно найти,н-р,здесь:http://www.wasm.ru/a...article=1013002

2.порты отключены физически.Порты на передней панели подключены к мат. плате через кабель,он отсоединен.
Решение: использовать порты на задней панели.

3. запрещен доступ на NTFS для вашей учетной записи (и групп,в которые она входит),а также учетной записи SYSTEM к файлам

%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf

Решение:курим фак по использованию разрешений на NTFS (расписывать не буду),выставляем соответствующие права (в свойствах файла на закладке Безопастность снимаем флажок Запретить,выставляем флажок Разрешить в поле Полный доступ,см. рис. внизу)

4. usb-сервисы отключены через реестр.
Решение: в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor выставлем значение параметра Start в 3 (шестьнадцатеричное)

5. используется ПО типа DeviceLock,Zlock итд.
Решение: определить и выгрузить драйвера этих программ,если ваша учетная запись имеет привилегию SeLoadDriver (учетная запись Администратора,н-р)
Поучительная статья нужно сказать, но к сожалению есть одно НО...
учитывая п.3  -  п.2, п.1 - нецелесообразно, т.к. админы сами иногда пользуются клиентами, а если вдруг им потребуется воспользоваться usb клиента, им проще под Admin'ом зайти с клиента чем проделывать операции из п.1, и тем более из п.2.

у нас лично в филиале п.3, но не понимаю как можно

"SGABOY" сказал:

выставляем соответствующие права (в свойствах файла на закладке Безопастность снимаем флажок Запретить,выставляем флажок Разрешить в поле Полный доступ,см. рис. внизу)
если

"SGABOY" сказал:

запрещен доступ на NTFS для вашей учетной записи (и групп,в которые она входит),а также учетной записи SYSTEM к файлам
а как п.4 и п.5 если п.3 ?
незнаю,как в других филиалах, может и есть сравнительно с небольшим количеством компов, лично у нас домен - это и перечеркивает п.3 - п.5
п.1 еще можно попробовать, а п.2 -  в открытую:yes: нарушение правил методических указаний по использованию железа и софта
для клиентов проблема в том, что домен:o имхо

#13 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 17 March 2010 - 12:27

Цитата

а как п.4 и п.5 если п.3 ?
...
для клиентов проблема в том, что домен имхо

Не такая уж и большая это проблема:
1) есть учетка локального админа,у ней можно заменить пароль,если он вообще есть (ERD Commander,NT Password recovery итд.) и войти локально.
2) можно поискать софт,который модифицирует маркер доступа процесса (regedit,explorer),заменяя SID на SID нужной учетки. Если такового нет,можно написать свой,имея хотя бы навыки программирования на С. Рабочий пример в популярном изложении можно найти в книге "Руткиты.Внедрение в ядро Windows".


"Кто хочет, тот ищет возможности, а кто не хочет, тот ищет оправдания" (NN)

#14 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 17 March 2010 - 12:28

Цитата

А чтобы обойти это,надо взять любую версию и поправить в ней (лучше,в секции ресурсов) пару каких-нить байт.

Или просто пожать файл другим упаковщиком.

#15 Dimka82

Dimka82

    Абитуриент

  • Студенты
  • Pip
  • 5 сообщений

Отправлено 17 March 2010 - 16:47

Цитата

Не думаю, я могу переименовать файл н-р в svchost,где 5-я буква русская О,и поместить его в туже папку,откуда запускается настоящий svchost. Как вы отличите по имени процесса и пути?

Переименовывать без толку. Отслеживают они по дескриптору окна. А переименование файла на него не влияет

#16 vova2007

vova2007

    Абитуриент

  • Студенты
  • Pip
  • 18 сообщений

Отправлено 17 March 2010 - 19:13

если есть доступ к
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
чо с ними делать?

#17 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 18 March 2010 - 11:38

Цитата

Переименовывать без толку. Отслеживают они по дескриптору окна. А переименование файла на него не влияет

Не по дескриптору,а по классу окна,см. описание функции CreateWindow(Ex) в MSDN. Дескриптор окна,как и любой другой хэндл - просто число из диапазона свободных,т.е величина случайная.


Пример:

#define AKWINCLS "dasdkasd"

HWND hAk;

 if(IsWindow((hAk=FindWindow(AKWINCLS,NULL))))
  SendMessage(hAk,WM_CLOSE,0,0);



#18 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 18 March 2010 - 11:42

P.S.

Но и эта не проблема. Загрузите файл в дизассемблер,найдите вызов CreateWindow и RegisterClass,далее адреса (смещения от адреса,если структура) первого параметра,и измените значение по этому адресу на что-нибудь другое,с той же длиной. И все.

#19 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 18 March 2010 - 11:44

Цитата

если есть доступ к
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
чо с ними делать?

Картинку смотри вверху

#20 SGABOY

SGABOY

    Бакалавр

  • Двоечники
  • PipPipPip
  • 171 сообщений

Отправлено 18 March 2010 - 12:56

P.P.S. Есть и более простое решение,см. в начало.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных


Добро пожаловать!
Что бы получить полный доступ ко всем форумам, созданию тем и многому другому, пожалуйста Войдите или Зарегистрируйтесь.
Вы можете не тратить время на скучную анкету, а просто войти с помощью вашей любимой социальной сети в правом верхнем углу ;)