Nuovo Startup & Edit Monitor

di **BianConiglio** » 21/09/04 08:49

Ho deciso di creare un software come startup monitor ma AGGIORNATO, visto che quello di mike lin ormai risale a parecchi anni fa.

Inserirò tutti i metodi di esecuzione che conosco e in +, se l'utente lo vorrà, gli farò monitorare i database degli av e fw.

Se avete idee su cosa altro minitorare sparate...

Se avete liste dei metodi odierni di autoesecuzione postatele, visto che nn si smette mai di imparare.

Sto ultimando il CORE del programma, ci sono quasi

di ***~Hayabusa~*** » 21/09/04 10:10

Bravo BC!
Proprio ora stavo cercando un sw simile a quelli ma aggiornato..
Intendi controllare anche l'aggiornamento del db dell' antivirus e "le regole" (passami il termine) del firewall; aggiungeresti anche la funzione di startup control panel?..mi sembra una buona idea.
Il mio consiglio è quello di far monitorare anche l'aggiornamento delle definizioni di ad-aware se è possibile, che ne pensi?

Se mi vengono altre idee te le posto

di **dado** » 21/09/04 11:47

Già che ci sei, fagli controllare anche gli aggiornamenti di windows....

di **Dylan666** » 21/09/04 12:40

Se gli fai controllare anche l'aggiornamento dei numero di cell. delle mie amiche carine... :lol:

di **1diabolik1** » 21/09/04 13:17

Mi metto in prima fila per l'utilizzo futuro di questo programma.

di **BianConiglio** » 22/09/04 18:03

controllare anche gli aggiornamenti di windows no.. non è quello per cui serve il programma..

ho quasi ultimato il CORE, ora come ora il prog enumera le chiavi, cerca le stringhe e le monitora, se ne viene aggiunta una se ne accorge e te lo dice... ora implemento lo switch tra "lasciala o levala" e la parte principale del prog è fatta..

Mi servirebbero collaboratori che si informino sugli ultimi ritorvati per le autoesecuzioni.. chiavi e valori.. oltre a quelli "soliti" e stilino una veloce lista.

di **Dylan666** » 22/09/04 18:43

Insomma stai facendo in modo che qualcun'altro ti aggiorni la guida che avevi scritto sui metodi di esecuzione...

di **BianConiglio** » 22/09/04 19:17

oookey 145 linee di codice ed il core è COM PLE TA TO

testa la chiave :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e controlla che non vengano scritit nuovi valori, se ne trova uno nuovo spara un popup che vi chiede se volete autorizzare o meno l'autoesecuzione..

lanciate il programma che trovate qui:

http://cursumperficio.altervista.org/St ... ometor.exe (salva ogg con nome)

poi andate nella suddetta chiave e inserite un valore stringa vuoto... e vedete se appare il popup e se premendo su NO la nuova stringa viene cancellata (fate F5 per refreshare il contenuto della chiave)

da me va...fatemi sapere... non fa casini, non scrive chiavi o non ne cancella...cancella solo il valore e solo se è nuovo.. in teoria non potete spakkarvi il picci testandolo

dai testatelo e fatemi sapere se funziona

di **pjfry** » 22/09/04 19:37

funzia... ma l'ho provato su XP e tu l'avrai sviluppato su XP, quindi non è un gran test :lol:

di **BianConiglio** » 22/09/04 19:40

ok thanx

... forza voi altri!! testate!!

di **pampins** » 22/09/04 19:43

a me funge tutto ok. (testato su windows xp professional senza sp2)

di **zello** » 22/09/04 22:19

Bianco', avevo scritto qualcosa che si sostituiva all'avvio ad un server COM (quello che gestiva gli shortcuts) usato da explorer (non internet explorer), e inoltrava le richieste al server originale (beh, nel frattempo faceva il dump del SAM).
Ammesso che un utente abbia accesso in scrittura a HKEY_CLASSES_ROOT (e mi sa che di norma è così), si ha che:
- hai la certezza di partire all'avvio
- il taskmanager non ti scopre (sei nel processo di explorer)
- se apri una qualsiasi porta, un netstat -ano ti restituisce il processo di explorer.exe -> non è che suoni poi così sospetto.
- non inquina le classiche chiavi HKLM|HKCU\Software\Microsoft\Windows\CurrentVersion\Run*
Se vuoi il codice non hai che da chiedere (risale ad un paio di anni fa).

di **BianConiglio** » 22/09/04 22:25

interessante, sto giosto studiandomi il modo migliore per beccare le varie rootkit e hook al kernel (con le varie iniezioni nei processi) che ultimamente stanno spopolando..

manda pure a jacopo punto malnati at email punto it

intanto io procedo nel rinforzare le mie funzioni di ricerca dato che ho avuto alcune idee

se cmq qualcuno mi testa il mio file su un 2k e 9x mi fa un piacere

se qualcuno vuole collaborare i sorgenti li condivido con piacere

di **nykky** » 23/09/04 07:38

Io ho provato su win 2k prof. sp4 e mi da questo errore:

Codice: Seleziona tutto: La CPU NTVDM ha incontrato un'istruzione non valida. CS:0adb IP:019c OP:63 68 61 72 73

Questo nel Sottosistema MS-DOS a 16 bit

di **BianConiglio** » 23/09/04 10:19

mh ho usato le istruzioni a 32 bit

di **BianConiglio** » 26/09/04 20:23

news : 356 linee, il core è quasi completo del tutto

ora il prog si accorge se un valore o dato viene creato, modificato o cancellato

a presto con altre news..

di **BianConiglio** » 04/10/04 15:27

news : il core è completo per quanto riguarda le chiavi

è adattabile e dinamico, ho fatto delle funzioni che funzionano

dehheei che umorismo

il core per il controllo anti retrovirale è pronto pure quello, devo solo fonderli

tutto procede alla perfezione

:idea:

qualcuno che sappia debuggare sotto win ha 10 minuti da dedicarmi? dovrei capire dove rilascio memoria.. thanx

di **BianConiglio** » 08/10/04 13:16

sto implementando il controllo sui database, a questo proposito, per ora, mi sto concentrando sugli AV free (avg e antivir).

c'è qualcuno che mi dia una mano con i btest e i reverse ?

Nuovo Startup & Edit Monitor

Nuovo Startup & Edit Monitor

Topic correlati a "Nuovo Startup & Edit Monitor":

Chi c’è in linea