WiLD: Алгоритм работы ■ (основное обсуждение) ■

Dragokas · Регистрация: 25.12.2011

Author24 — интернет-сервис помощи студентам

Обсуждение части проекта: Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)

Полезные ссылки:
BackwardRecovery by glax24

Убежденный · 03.09.2013, 10:08

У меня вопрос: а что нынче в моде у винлокеров в плане блокировки клавиатуры/мыши ?
Я к тому, что если делать переключение на winlogon desktop по какой-нибудь F9, то
нужно предусмотреть вариант, что клавиатура на тот момент уже заблокирована...

Dragokas · 03.09.2013, 12:54 **[ТС]**

Тоже это интересовало. Спрошу, что в моде.
Большинство из них требуют ввода кода разблокировки, поэтому целиком блокировать клавиатуру не будут,
а вот "замыкать на себе" все клавиатурные нажатия или ограничивать ввод только определенных символов - вполне могут.

@Kиpилл · 03.09.2013, 13:12

Не,не в моде.
Но можно предусмотреть бэкап и пересоздание реестра и длл.

Dragokas · 19.09.2013, 17:21 **[ТС]**

Добавим в перечень подконтрольных компонентов кое-что отсюда: BackwardRecovery by glax24

Dragokas · 21.09.2013, 23:31 **[ТС]**

Надо бы поганять утилиту http://winlock-closer.com/index.html
посмотреть, что за алгоритм защиты там устроен.

Убежденный · 22.09.2013, 15:22

Глянул. Похоже, программа просто снимает topmost-окно по комбинации
клавиш (клавиатуры или мыши), прибивая соответствующий процесс.
Честно говоря, мне легко удалось ее "обхитрить" (~30 строк кода), даже
без повышения прав до уровня администратора, после чего комбинация
перестала работать.

@Eva Rosalene · 22.09.2013, 16:48

Сообщение от Убежденный

Глянул. Похоже, программа просто снимает topmost-окно по комбинации
клавиш (клавиатуры или мыши)

Подробнее можно?

Убежденный · 22.09.2013, 16:51

Программа регистрирует комбинацию горячих клавиш (W+L+C).
При ее нажатии (и удержании более 2 секунд) она находит окно, находящееся
на переднем плане, по нему процесс, владеющий этим окном, и уничтожает его.
Затем переименовывает соответствующий файл.

@Eva Rosalene · 22.09.2013, 16:56

Ага. Понятно в принципе. Не сразу въехал, что означает "по комбинации калвиш". Думал, новый способ определнеия топмостов появился 0_о

Dragokas · 22.09.2013, 18:16 **[ТС]**

FraidZZ, Убежденный, альтернативная комбинация, заложенная в winlock-closer - зажать одновременно 3 кнопки мыши (левая+правая+колесо). Это на случай блокировки WinLock-ом клавиатуры делалось.

Убежденный · 22.09.2013, 18:44

Так ведь ничто не мешает винлокеру заблокировать и мышь заодно.

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	03.09.2013, 10:08	81
	У меня вопрос: а что нынче в моде у винлокеров в плане блокировки клавиатуры/мыши ? Я к тому, что если делать переключение на winlogon desktop по какой-нибудь F9, то нужно предусмотреть вариант, что клавиатура на тот момент уже заблокирована... 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	03.09.2013, 12:54 [ТС]	82
	Тоже это интересовало. Спрошу, что в моде. Большинство из них требуют ввода кода разблокировки, поэтому целиком блокировать клавиатуру не будут, а вот "замыкать на себе" все клавиатурные нажатия или ограничивать ввод только определенных символов - вполне могут. 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	03.09.2013, 13:12	83
	Не,не в моде. Но можно предусмотреть бэкап и пересоздание реестра и длл. 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	19.09.2013, 17:21 [ТС]	84
	Добавим в перечень подконтрольных компонентов кое-что отсюда: BackwardRecovery by glax24 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	21.09.2013, 23:31 [ТС]	85
	Надо бы поганять утилиту http://winlock-closer.com/index.html посмотреть, что за алгоритм защиты там устроен. 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	22.09.2013, 15:22	86
	Сообщение было отмечено как решение Решение Глянул. Похоже, программа просто снимает topmost-окно по комбинации клавиш (клавиатуры или мыши), прибивая соответствующий процесс. Честно говоря, мне легко удалось ее "обхитрить" (~30 строк кода), даже без повышения прав до уровня администратора, после чего комбинация перестала работать. 3

@Eva Rosalene Модератор 5198 / 2080 / 406 Регистрация: 06.01.2013 Сообщений: 4,794
	22.09.2013, 16:48	87
	Сообщение от Убежденный Глянул. Похоже, программа просто снимает topmost-окно по комбинации клавиш (клавиатуры или мыши) Подробнее можно? 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	22.09.2013, 16:51	88
	Программа регистрирует комбинацию горячих клавиш (W+L+C). При ее нажатии (и удержании более 2 секунд) она находит окно, находящееся на переднем плане, по нему процесс, владеющий этим окном, и уничтожает его. Затем переименовывает соответствующий файл. 0

@Eva Rosalene Модератор 5198 / 2080 / 406 Регистрация: 06.01.2013 Сообщений: 4,794
	22.09.2013, 16:56	89
	Ага. Понятно в принципе. Не сразу въехал, что означает "по комбинации калвиш". Думал, новый способ определнеия топмостов появился 0_о 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	22.09.2013, 18:16 [ТС]	90
	FraidZZ, Убежденный, альтернативная комбинация, заложенная в winlock-closer - зажать одновременно 3 кнопки мыши (левая+правая+колесо). Это на случай блокировки WinLock-ом клавиатуры делалось. 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	22.09.2013, 18:44	91
	Так ведь ничто не мешает винлокеру заблокировать и мышь заодно. 0

WiLD: Алгоритм работы ■ (основное обсуждение) ■

Решение