как получить чужой комп в свои руки

[zetrix]

Перенесено из старого форума!

zetrix
Вот как говорится делать было нечего дело было вечером. Решил написать прикол для (поправляюсь) УНИВЕРА - удаленное администрирование... Короче 2 проги клиен/сервер. Всё ничего, но на компах прога должна работать всегда (чтоб ждала указаний от меня). Есть проблема с автозагрузкой! Проблема в том что нет прав для редактирования реестра, заблокировал админ. Через реестр я знаю как тайтно даже в XP сделать авто запуск и в процессах не видно, но это др тема.
Вопрос ЧТО делать?
Плиз, не надо предлагать создать ярлык программы в Пуск\программы\автозагрузка. Как разблокировать этот реестр?

[zetrix]

Перенесено из старого форума!

Alar
Решали проблему следующим образом. ставили трояка, как только админ заходил и вводил пароль, то в одном файлике оседал, это самый пароль. Грузин возможно поподробнее объяснит, что ещё можно сделать? надо подумать...

zetrix
Нее... мне надо таким образом приколоть обычные компы (13 штук), а админовский к нему х подберёшься. И пароли на user-ских компах админы не вводят. (хотя учётная запись АDMIN есть, пробовал в SAM-e найти, так там его нет...)
Но суть не в этом... Можно ли не зная этого пароля как то обойти и получить доступ к реестру? Через Install файлы не возможно, т.к. установка любых приложений запрещена.

rpy3uH
надо просто изменить привилегии своего приложения
для этого есть специальная функция не помню какая......

zetrix
Ну... Надежда на тебя Гру3ин, попытайся вспомнить.

plague
Поробуй для изменения привелегий
следующие функции:

LookupPrivilegeValue
AdjustTokenPrivileges
OpenProcessToken

zetrix
Посмотрел я эти функции. но параметров там... слишком много, с парой еще можно разобраться а дальше никак. Блин, проще админа пинками из-за компа вынести, и на его комп прогу поставить чтоб изменения сделала во всех компах.

Hak
ZETRIX Как под XP запустить прогу при загрузке винды и чтобы она не палилась в процессах!!! :-)

zetrix
А разве Выше не написано как это всё делается... Грузин функции привёл (я правда с ними так и не разобрался), Alar предложил клон диспетчера сделать (меня это и заинтересовало), а я сделал: моя программа называется SVCHOST.EXE и всё. На начальном этапе достаточно.
P.S.: если не понял почему SVCHOST.EXE, то запусти диспетчер, процессы и погляди на них... Всё, ты взломан дружище

Alar
а я сделал: моя программа называется SVCHOST.EXE и всё. На начальном этапе достаточно.
Пример рабочий? по-моему необходимо хотя бы изменение в однй букве сделать. или я не прав?

zetrix
Всё ок, полностью рабочий, если имя процессов одинаково, то ничего не происходит (на своём опыте).

rpy3uH
можно просто взять процесс mdm.exe и убить его
а самому назваться mdm.exe и всё mdm.exe вроде не очень важный процесс
вот и всё никто ничего не найдёт!!!!!!!!!!!!!!!!!!!!
ВСЁ!!!!!!!!!!!!!!!!!!
ваша система под контролем!!!!!!!!!!

Alar
А если ещё выполнять все функции старого процесса, тогда вообще всё в шоколаде будёт

rpy3uH
Machine Debug Manager
Supports local and remote debugging for Visual Studio and script debuggers. If this service is stopped, the debuggers will not function properly.
"C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"
вот её описание - короче она никому не нужна!!!!!!!!!

zetrix
хаха а у меня процесса mdm.exe нет!


Alar
rpy3uH, трояков дома выращиваешь? только чур делиться не надо...
По теме. у меня тоже такого процесса нет. так какой менять тогда лучше???

zetrix
Так я же писал: зачем менять?? Просто делаем, чтоб прога себя скопировала куда-нибудь с именем SVCHOST.EXE и всё: теперь в процессах вместо 4-х стало 5 процессов с именем SVCHOST кто разницу заметит?

rpy3uH
это просто после Microsoft VC++6
пользователи заметят что процессов на 1 больше
допустим что обычно 23 а у них 24
вместо mdm.exe можно использовать alg.exe но он у меня сейчас вырублен

[Speeker]

Помоему проще с помощью стандартых програм получить доступ к правам админа, а потом по обстановке
Но напоминаю, что это есть уголовно наказуемое деяние и данная информация только в учебных целях и снимаю с себя всю ответственность...
Сначала надо украсть пароль SAM из Винды, с помощью програмы NTFStoDos, а потом подобрать пароль прогой lcp504ru, а из под Делфи єто врядли получиться, хотя...

[zetrix]

Да мне просто трояна нетерпелось повесить на админский комп... А теперь прощу пароль узнать админский от человека одного... Кстати насчёт файлов SAM - пробовал, они пустые (пароля там нету!) lcp написала: типа нету и агвидерчик

[Стелс]

Цитата:

Сообщение от zetrix

Перенесено из старого форума!

zetrix
Вот как говорится делать было нечего дело было вечером. Решил написать прикол для (поправляюсь) УНИВЕРА - удаленное администрирование... Короче 2 проги клиен/сервер. Всё ничего, но на компах прога должна работать всегда (чтоб ждала указаний от меня). Есть проблема с автозагрузкой! Проблема в том что нет прав для редактирования реестра, заблокировал админ. Через реестр я знаю как тайтно даже в XP сделать авто запуск и в процессах не видно, но это др тема.
Вопрос ЧТО делать?
Плиз, не надо предлагать создать ярлык программы в Пуск\программы\автозагрузка. Как разблокировать этот реестр?

А зачем реестр ? Обзываем свою программу EXPLORER.EXE каким либо способом помещяем ее на машину жертвы , НО ! Именно в папку system32
.Кстати не забываем что бы прога запустила настоящий эксплорер , иначе аминь рабочий стол с таск баром и ярлыками )), работает на ХР SP2 на других ОС не проверял Ну вот и весь автозапуск безовсякого доступа к реестру !!!

[joker]

Тут говорилось про привилегии и реестр. Я видел список привилегий, но без пояснений, что какая значит. Хотелось бы узнать поподробнее. Также мне интересно сопоставление привилегий и настроек локальной политики безопасности. То есть насколько они соотносятся и соотносятся ли вообще.

Еще вопрос по поводу запрещения просмотра реестра админом (то есть наличие в HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Policies\S ystem целочисленного ключа DisableRegistryTools с 1 в значении).
Вроде бы надо удалить ключ, чтобы снять запрет, но я пробовал на одном компьютере с админскими правами удалить этот ключ, но было отказано в доступе. И я так понял данный ключ не позволяет просматривать реестр вообще? Если так, тогда снять этот запрет можно только с правами System. Или все-таки он не позволяет просматривать реестр только Windowsовским программам?

[JTG]

DisableRegistryTools работает только для стандартного Regedit

[joker]

понятно, тогда чем можно объяснить неудачную попытку удаления этого ключа программно при админских правах с кодом ошибки 5 (нет доступа)