Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
запуск службы с привилегиями, где прописать в реестре
 
Есть програмка работающая как служба, необходимо чтобы она смогла загрузится раньше чем Winlogon который авторизирует пользователя в системе, для того чтобы выполнится c правами как Local Service, подскажите какую запись необходимо добавить в реестре. Может кто нибудь предложит свой вариант выполнения привелигированного кода. Ограничение Пароль администратора системы и пользователя неизвестен.
 
Читаем и выбираем для себя более идеальный вариант:
Цитата
1. Run ветка реестра.
Уже по названию большинство из вас знает про что идет речь, но всеже "докучи" упомянем и его.
Для автозапуска произвольного приложения при загрузке Windows необходимо прописать в ветку реестра
HKLM или HKCU \Software\Microsoft\Windows\CurrentVersion\Run свой ключ, в котором будет указан
путь к приложению. В случае HKLM приложение будет запущено для всех пользователей зашедших в
систему. В случае же HKCU - только текущего пользователя.

2. RunOnce\RunOnceEx ветки реестра
Также всеми известные ветки реестра. Отличие от предыдущего пункта в том что приложение будет
запущено только один раз. Необходимо дописывать ключ после каждый перезагрузки. Находится все там
же:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once(Ex).

3. Папка "Автозагрузка"
Очень популярная папочка, первые трояны любили там селится. К тому же это просто папка, а
нужное приложение это фаил. Из этого следует, что можно сделать фаил скрытым и системным путем
установки аттрибутов и он не будет виден в сей папочке на первый взгляд. В современном мире люди
подзабыли этот способ и больше боятся всяких там Run веток.

4. Установка сервиса
Благодаря тому, что такой важный системный компонент как сервисы, доступен любому программисту
через WinAPI то это порождает еще один способ автозапуска. Для этого через SCManager создается
новый сервис функцией CreateService. Почитав описания флагов и установив тип запуска в
автоматический, добиваемся автозапуска вместе с Windows. Помимо флагов автозапуска можно
проставить такой интересный флажок как SERVICE_WIN32_OWN_PROCESS, что означает то что
сие приложение оказывается на самом деле частью ОС.
Использовать же SCManager скорее всего и не обязательно. Вся информация о сервисах хранится в
HKLM\SYSTEM\CurrentControlSet\Services\. И я не сомневаюсь что если вручную добавить туда пару
ключиков то все успешно запустится.
К тому же, никто не запрещает не добавлять новый сервис, можно ведь отредактировать старый,
поменяв в нем путь к приложению. Ну а чтобы никто не хватился пропажи, нужно запустить в нашем
приложении то что мы заменили, т.е. старый сервис.

5. Winlogon

5.1. Winlogon\Userinit
Дальнейшие изыскания в реестре приводят к ветке, которая принадлежит виндозовскому Winlogon.
Отвечает сия махина за вход пользователей в систему, и именно она рисует всякие там "Приветствия"
и прочую ерунду. Так как в Windows все разделено, т.е. логон процесс отдельно, десктоп отдельно и
т.д., то следует логический домысл, что логон процесс запускает десктоп и прочие фичи. И это
разумеется именно так и есть. Но создатели виндовса решили сделать её настолько пластилиновой, что
путь до десктопа и т.п. указывается в реестре. Именно это нам и нужно было. Процесс захода в систему
таков, winlogon проверяет пользователя, затем запускает userinit.exe. Он ответственный за запуск
оболочки десктопа и приложений, записанных в автозапуск. Путь до userinit.exe указан в реесте по
адресу: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit. Подменив
путь указанный в этом ключе на свой собственный мы запустим нужное приложение. Разумеется
наше приложение должно потом запустить userinit.exe. Но постойте, winlogon сделали настолько
пластилиновым, что он может запустить несколько userinit процессов сразу. Для этого нужно
просто через запятую перечислить в вышеуказанном ключе пути до userinit и нашего приложения.

5.2. Winlogon\Shell
Помимо userinit в той же ветке есть параметр Shell, он ответственный за оболочку системы. По
умолчанию там стоит explorer.exe. Но если заменить его на нужное нам приложение оно запустится
вместо него. В этом случае о запуске оболочки придется позаботится самим.

5.3. Winlogon\Notify
Какой же всетаки замечательный процесс этот winlogon. По идее он предоставляет возможность при
запуске\остановке системы выполнять различные полезные действия, но наши действия не слишком
уж и полезны. В данном случае нам нужно оформить наше приложение как dll. Потом в ветку
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ добавить новый раздел, а в нем
ключи: Dllname - путь до нужной дллки, Startup - имя функции экспортируемой длл для запуска.
Помимо эвента Startup есть еще много разных эвентов: Shutdown, StartScreenSaver, StartShell,
StopScreenSaver, Unlock и другие. Наличие StartScreenSaver особенно радует, ибо если скринсейвер
включен, то юзера скорее всего за компьютером нет, и он не видит всяких там стрелочек на иконке
фаерволла
Сей способ использовался в крупных ботнетах для автозапуска.

6. ShellServiceDelayLoad
Помимо винлогона можно использовать еще одно место в реесте. Это ветка HKLM\Software\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad
. Там, как и в Run нужно разместить ключ до
нужной нам длл для запуска. В одном из троянов это было использовано, и весьма неплохо как можно
заметить.

7. Shell Extentions
Для возможности изменять всё и вся микрософт создала расширения оболочки. Например расширения
для контекстного меню файлов. Создав подобное расширение, можно не только добавить пару полезных
пунктов в меню файла, но и запустить на выполнение произвольную длл. За подробоностями устройства
расширений обращаемся в мсдн, а для регистрации обращаемся в HKLM\Software\Microsoft\Windows\
CurrentVersion\Shell Extensions\
. Помимо эой ветви существуют еще и другие, вот они:

HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\
HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\

и т.п.

8. Browser Helper Objects
Особо облюбленное хакерами расширение, ибо загружается оно прямо в тело Internet Explorer'a.
И отсюда со всеми вытекающими - безпрепятственный доступ в интернет. Прописываются они сюда:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Brow­ser Helper Objects
За подробностями устройства - в мсдн.

9. AppInit_DLLs
Прям среди бела дня... Вобщем HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows ключ
AppInit_DLLs. Пишем туда имя длл и... она теперь мапится на все без исключения запускаемые
процессы, будь то браузер или асику. Итого два в одном - инжект в процесс и автозапуск.
Интересно, за пособничество вирусописателям микрософт оштрафуют? %)

10. Protocol handlers
Неопробованный, но вполне заслуживающий упоминания способ. Для обработки различных протоколов
в микрософте придумали обработчики. И доступны они тут: HKLM\Software\Classes\PROTOCOLS\Handler\
Целые кучи возможности автозапуска. Начиная от подмены уже существующего, заканчивая созданием
своего собственного и установкой в какое либо место.

11. Winsock2
И опять же с добрыми намерениями микрософт добавила возможность управления траффиком. На этом
способе кстати основана защита в NOD32, а именно его модуль imon.dll. Расположено сие добро в
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\.
Опять же нам потребуется длл для сования в автозапуск. Помимо проблемы автозапуска мы, изучив еще
мсдн и imon.dll можем контролировать траффик, да неплохо так контролировать. Библиотека будет
смаплена в любой процесс, в том числе во всякие там Internet Explorer и прочие, который работают
с winsock2 библиотекой. А ктож с ней не работает. Все работают как миленькие.
Сей способ не был замечен ни в одном из троянов на момент написания статьи. К сожалению, я думаю
это будет не так спустя некоторое время.

12. SubSystems
Еще один неопробованный способ, и весьма сомнительный, но все может быть. Дело в том что сама по
себе винда это оболочка для различных подсистем. В комплекте идет подсистема Win32, Posix (бугага),
OS\2 (?). И пути до подсистем указываются во все том же реестре. Путь до подсистем таков:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

Там мы найдем несколько ключей ответственные за разные подсистемы. Разумеется никто Posix
приложения не запускает, и подсистема Posix также не будет запущена. А вот Win32 подойдет в самый
раз. Csrss.exe как раз отвечает за эту подсистему, и заменив в реестре путь до этой подсистемы
на свое приложение, получим автозапуск еще до запуска подсистемы. Но, само то наше приложение
построено для Win32 и оно требует запущенную подсистему. Возможно виндовс увидит, что требуется
для нашего приложения win32 подсистема и попытается его запустить, а на самом деле запустит нас
опять и опять. Вероятно уйдет в вечный цикл. Но если написать не используя win32 то все вполне
возможно.

13. Маньячный способ
Напоследок самый отмороженный способ. Заменить протокол хендлер about на свой, и при запуске
браузера он обычно оказывается на about:blank, что неминуемо приведет к запуску нашего приложения.
Если же обработчик about:blank не окажется некой длл, а просто страницей, то туда можно запихнуть
эксплоит, который будет запускать то что нужно

Поискав в реестре по маске *.exe и *.dll, а также облазав все сервисы и технологии винды, можно
найти еще тонну возможностей автозапуска.
Страницы: 1
Читают тему