Исследование защиты программы TaskmgrPro

TaskmgrPro - плагин для стандартного Диспетчера задач Windows, значительно расширяющий его возможности. К списку стандартных вкладок Диспетчера добавляются функции работы с автозагрузкой, расшаренными ресурсами, соединениями TCP/IP, а также групповой запуск и остановка процессов и служб по заранее сформированным спискам. За самую минимальную лицензию требуется выложить почти тридцатку баксов. Делать мы этого, конечно, не будем, а сделаем что-нибудь другое, менее затратное по финансам.

Читать статью целиком »

Запуск процессов с командой перенаправления вывода

Для перенаправления ввода и вывода консольных приложений используются специальные символы командной строки "<", ">" и "|". Например:

tree c:\windows > out.txt
В этом случае вывод команды tree вполне ожидаемо будет сохранен в файл out.txt. Но если попытаться выполнить эту же команду средствами WinAPI, например, через функции WinExec, CreateProcess или ShellExecute(Ex), то нужного результата достигнуто не будет. Дело в том, что перенаправление обрабатывается только командным процессором, а функции WinAPI просто передают командную строку в неизменном виде, то есть программе "tree" будут переданы параметры "c:\windows > out.txt". В большинстве случаев они окажутся просто некорректными с точки зрения программы, а могут привести к неожиданным результатам.Приведенный выше код выполнится без ошибок (имеется в виду код возврата WinExec), но при этом никакого файла с листингом создано не будет.

Читать статью целиком »

Исследование защиты программы Process Master

Программа Process Master - менеджер процессов с возможностью принудительного завершения выбранных процессов и якобы даже способный обнаруживать руткиты. Ну и все, вроде как. И за все это грандиозное разнообразие функций, которое студенты-первокурсники пишут в качестве лабораторных работ, аффтар требовал быренько метнуться в кассу на предмет выкладывания своих кровных. К счастью, проект прекратил свое развитие практически сразу после начала, оффсайт сдох, так что нам остается только попрактиковаться в реверсивной некромантии. Ну а что, почему бы и нет?

Читать статью целиком »

Ассемблер: получаем имя файла оболочки

В этой статье я расскажу, как можно программно получить имя файла оболочки Windows. Зачем это нужно? Например, есть программа, которая инжектит свою библиотеку в работающую копию explorer.exe и при этом подразумевает, что такой процесс в системе гарантированно должен присутствовать. В подавляющем большинстве случаев действительно все работает, никаких нареканий нет. Но стоит запустить программу под альтернативным шеллом, например, Aston Desktop, и она неизбежно падает с ошибкой, потому что explorer.exe в системе вообще не запущен. Проверки на соответствие оболочки в программе нет, и вместо корректного информирования пользователя о причинах невозможности запуска мы получаем фатальное падение. И хорошо, если не вместе с системой.

Читать статью целиком »

Quick Task Terminator 1.4

Программа Quick Task Terminator предназначена для принудительного завершения процессов, а также для получения краткой информации о пути запуска, параметров командной строки и версии запущенных процессов. Также из меню программы можно принудительно перезагрузить или выключить компьютер или отправить его в режим гибернации. Комбинация "горячих" клавиш Alt+Ctrl+Shift+Win+K убивает процесс, окно которого активно в данный момент, что позволяет аварийно выходить из зависших полноэкранных приложений. Alt+Ctrl+Shift+Win+I - информация о процессе, окно которого активно в данный момент. Alt+Ctrl+Shift+Win+M - открыть список процессов (аналог клика на иконке). "Горячие" клавиши можно изменить в настройках программы. Как и остальной мой софт, Quick Task Terminator написан для личных нужд, поэтому обладает только нужным мне функционалом. Прототипом для его создания стал плагин Terminator от оболочки Aston, к которому я в свое время очень привык.

Читать статью целиком »