Форум программистов и сисадминов Киберфорум - Блоги - Alex Dragokas' Blog. Автор Dragokas

Проверка электронной цифровой подписи Authenticode

Dragokas — Wed, 10 May 2017 23:28:03 GMT

Часть 1. Кусочек теории.

Часть 2. Описание реализации программы проверки подписей

Часть 3. Программа проверки Authenticode ЭЦП

Как получить ЭЦП для подписания документов (для жителей Украины)

Dragokas — Fri, 24 Mar 2017 14:14:46 GMT

Предполагается, что вы являетесь клиентом ПриватБанка.

Войдите в Приват24 => Бизнес => Цифровые подписи, получить сертификат.
Проверьте данные. Придумайте пароль для сертификата.
Также Вам потребуется скачать специальное расширение для браузера и клиентское ПО.

Сертификат будет бесплатно получен и загружен в указанную Вами папку на диске (у меня - C:\kEYS).

Формат файла jks. Это Java Keystore или файл хранилища сертификатов открытых ключей.

JKS => CER

Если вам не подходит этот формат (например, какая-то бухгалтерская программа не поддерживает его),
вы можете сконвертировать такой файл, например в .cer
Для этого, скачайте: Java Runtime Environment.

Откройте консоль: Win + R, cmd

Перейдите в папку JRE. У меня это:

Windows Batch file
1
cd /d "C:\Program Files (x86)\Java\jre1.8.0_91\bin"

Узнайте алиас записи вашего сертификата в файле-хранилище, указав полный путь к нему:

Windows Batch file
1
keytool -list -keystore C:\kEYS\pb_3225907153.jks

Введите пароль от сертификата и получите нечто вроде:

Enter keystore password:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

pb_sign_123456789, 18.01.1970, PrivateKeyEntry,
Certificate fingerprint (SHA1): xxxxxxxxxxxxxxxxxxxxxxxxxxx

Далее выполняем такую команду, подставив алиас, путь к файлу .jks и новому файлу .cer:

Windows Batch file
1
keytool -export -alias pb_sign_123456789 -file c:\keys\my.cer -keystore C:\kEYS\pb_3225907153.jks

Должны получить ответ:

Certificate stored in file

Чем кормить зомби, если он заразился простудой

Dragokas — Mon, 26 Sep 2016 15:14:55 GMT

Текст писал для фанов игры Left4dead, так что оригинальный стиль и терминологию оставил без изменений.

Зима приближается…
Ваши зомби перестали на вас нападать, потому что болеют простудой. А с ними и вы. Насморк, кашель, повышенная температура – первые симптомы.
Что же делать? Как вернуть зомби в прежнюю форму? - Спрашивали напарники. А вот как всё было:

Как-то в очередной раз за непыльной работёнкой (преследуя по кровавому пути на станции Bloody way подстреленного зомби) собрались Зои в роли ёжика, Френсис в роли енота, Ник в роли биззи, Билл в роли зебры, Эллис в роли мистера :З, Тренер в роли киллера и Луис, который обещал всех скопировать и всем вставить.
Все обсуждали раненного зомби, который странно похрюкивал. Сначала подумали, что его обплевал Толстяк (L4D), но зебра сказал, что это обычная простуда и знает как его вылечить, во что и обещал посвятить избранных, открыв святой пергамент. Вот же он:

Этап 1. Вода – это жизнь.
Итак, нужно обязательно запастись такой едой:

1. Мёд (хороший, пахущий, не разведённый какой-то водой)
2. Лимоны
3. Корень имбиря
4. Чай или кофе "Жокей" (L4D2).

В течение дня как можно больше пейте жидкости. Это поможет вывести инфекцию.
ПОВТОРЮ. Пейте много воды. + Витамин C, либо чай с шиповником (минимум 1 грамм / на день). Добавьте в свой ежедневный рацион - перец.
Чай с выжатым лимоном (1/3 - 1/4 часть лимонки), да по-горячее и сразу стараться пить ещё горячим.
Раза 3-4 в день можно добавить к чаю неполную ложку (можно меньше) имбиря, предварительно пропустив его через тёрку. Он беленький, похож на репу :)

!!! Не бросать мёд в чай !!! Высокая температура испортит его свойства. Просто ежьте.
!!! Чистите зубы !!! (чаще чем обычно, после еды). При потреблении высокой концентрации лимонной кислоты есть большой риск повредить эмаль на зубах, поэтому хотя бы прополосните рот, если любите чай с большим кол-вом лимона (и не важно, сколько вы насыпали сахара, он обычно и не нужен для компенсации вкуса, если есть мёд).

Этап 2. Ингаляция – запах услышат все зомби.
Обычно проводится с помощью специального аппарата. Но мы сделаем её эффективней и с помощью подручных средств.

Нужны такие компоненты:
1. Мята в виде масла (высококонцентрированное).
2. Эвкалипт в виде масла (высококонцентрированное).
3. Сода
4. Соль

Возьмите:
1. Платочек под руки (по прямому назначению, сами догадаетесь)
2. Полотенце
3. Шарфик
4. Часы
5. Кастрюлю (не очень большую) до 20 см. в диаметре где-то.
6. Второго зомби :) (сторожевой)

Наберите в кастрюлю совсем немного воды (около 1 см. в глубину), поставьте ее на огонь да так, чтобы вам удобно было над ней наклоняться.

!!! Внимание !!! Пока вода нагревается, Вам нужно принять чашку горячей воды или чая с лимоном и медом. Это чтобы подготовить и разогреть горло.

Как только вода начнёт испаряться (или кипеть) прикрутите огонь до самого минимума так, чтобы шел только лёгкий пар.
Добавьте в воду и размешайте:
- 2 капли эвкалипта
- 3 капли мяты
- неполную столовую ложку соли.
- неполную чайную ложку соды.

и сразу приступайте к процедуре:

Ложите на голову полотенце, можно сложить вдвое (это чтобы пар не уходил мимо, а задерживался). Руками держитесь по бокам за что-нибудь, удерживая себя и свою позицию.
Опускаете голову над кастрюлей и понемногу вдыхаете пар чередуя:
- минуту вдыхая носом, выдыхая ртом
- минуту вдыхая ртом

!!! Важно !!! Правильно выберите расположение головы над кастрюлей. Нос должен находится на ободом (дальний конец кастрюли), таким образом горло всегда будет находиться над кастрюлей и тоже будет получать обогрев паром.

Правила безопасности:
!!! Внимание !!! Пока вдыхаете, закрывайте глаза, не нужно чтобы такая смесь долго контактировала с ними. Для контроля расстояния, чтобы случайно не обжечься, используйте другие органы чувств.

!!! Внимание !!! От процедуры может падать давление из-за чего можно потерять сознание. Контролируйте себя (или рядом стоящий человек вас). Если становится трудно себя чувствовать, можно сполоснуть лицо холодной водой и сразу же вернуться к процедуре.

!!! Внимание !!! Будьте очень осторожны с полотенцем, смотрите, чтобы оно не загорелось, т.к. вы очень низко наклонились над плитой.

!!! Внимание !!! Не обожгите дыхательные пути. У каждого человека разная чувствительность. Вы периодически должны чувствовать жжение в носу / горле. Не вдыхайте резко, особенно носом, дышите плавно. Если нос забит, у Вас есть под рукой платочек. Дышите плавно, но полностью, используя весь объем груди. Если почувствовали сильное жжение, просто приподнимите голову немного выше. Но не переусердствуйте. Голова должна быть всегда опущена низко, на сколько возможно, чтобы получить максимальный эффект и от обогрева.

Если выдержите процедуру в течение 15 минут – это очень хорошо. Для первого раза можете и 5-10 минут (чувствуйте по себе, сколько сможете).

!!! Важно !!!
Как только закончите сразу же оберните горло шарфом и ложитесь в кровать, накрыв нос одеялом, чтобы не поступал холодный воздух. Постарайтесь подышать через одеяло, пока в вашей дыхательной системе не понизится температура (хотя бы минут 15-20).

Купите звёздочку. Натуральную, не подделку. Если ей намажетесь при насморке, должно чувствоваться жжение в носу. Если его нет, это бесполезная подделка. Также можете на ночь слегка намазать лицо и руки. Это поможет отогнать заражённых мутировавших комаров, более известных как Курильщик (L4D).

Этап 3. Горчица – наш друг.
!!! Предупреждение !!! Нельзя парить ноги, если Ваша температура тела выше … (часть текста была оторвана взрывом Гранаты (L4D)).
... но я всё таки нашел это тфрагмент.
Итак, нельзя парить ноги, если температура тела превышает 37,5 С. Здесь Вы рискуете больше навредить себе.
Нужен:
1. Широкий тазик.
2. Большое кол-во горячей воды (пусть стоит у вас на плите в большой ёмкости и всё время нагревается до состояния кипения). Наливать будете черпаком.
3. Горчица.

1. Сперва небольшое кол-во горячей (ещё не кипящей) воды наливается в тазик. Ваши ноги должны постепенно привыкнуть к этой температуре. Как только вы перестаёте боятся этой температуры, другой человек медленно насыпает горчицы (вы почувствуете пощипывание, к которому должны привыкнуть). Покрутите ногами :) Вы должны привыкнуть, прежде чем приступим к пунккту 2.
2. Второй человек доливает горячую воду скраю тазика и параллельно досыпает горчицу. Терпите, но если оказалось слишком горячо, вытяните ноги. Можно даже на пару секунд в холодную воду. Продолжайте медленно доливать кипяток. Старайтесь не держать ноги на одном месте.
Всего процедура длится около 20-30 мин.
В конце процедуры быстро вытереть ноги, одеть тёплые носки и сразу ложиться в кровать.

Внимание !!! Процедура может сопровождаться понижением давления, максимум - потеря сознания (будьте внимательны). В таком случае поместите на пару сек. ноги в холодную воду.

Этап 4. Прополис – наш молотов для горла.
Раздел в стадии наполнения.

Этап 5. (Опциональный). Спирт – убивает всё (или как быстро поднять себя на ноги без тиммейта).

!!! Процедура особо опасна (при неграмотном применении) !!!

Если вы почти утратили голос, а в горле как будто комок, и вам нужно уже завтра командовать ордой, можете попробовать положить на горло спиртовый компресс.

Делается это примерно так.
Вам нужна:

1. Вата
2. Марля (опционально)
3. Полиэтиленовый пакет (разрезанный)
4. Спирт 96 %-ный
5. Шарф

Наливаете в чашку спирт + воду (примерная пропорция: 1 к 3 в зависимости от чувствительности кожи и ее способности к поглощению, для начала попробуйте по-слабее, менее агрессивную пропорцию). Одна часть - это обычно 1 или 2 столовые ложки жидкости.

Делаете из ваты прямоугольную накладку. Полностью смачиваете, вмокая ее в чашку.
Ложите на горло. Сверху можно марлю. Сверху целофановый пакет, чтобы спирт не испарялся. Сверху можно слегка обмотать шарфом.

Через 30 сек. и более вы должны почувствовать лёгкое повышение температуры, затем небольшое жжение в области горла.

Жечь должно не слишком! (только пощипывать)

!!! Внимание !!! Контролируйте жжение в течение первых нескольких минут. Оно должно зафиксироваться на определённом пороге чувствительности и не должно становиться печь сильнее, иначе вы рискуете сделать себе хуже.

Если жжение стабилизировалось, с такой повязкой можете засыпать, убедившись что не слишком сильно затянули себе горло.

Правила выживания:
1. Если принимаете ванную / душ, то хотя бы в течение 30 минут не выходите на улицу.
2. Закаляйтесь: контрастный душ (чередование холодной и горячей воды).
Каждый вечер / утро возьмите полотенце, намочите его полностью холодной водой, и СИЛЬНО разотритесь ним (спина, живот, особое внимание уделите областям под мышками). Делайте растирку в течении 1 минуты. Затем возьмите сухое полотенце с пупырышками и разотритесь насухо, пока вам не станет жарко. На этом и завершаете натирание.
Во время сна старайтесь не прятать руки под одеяло.
Если проснувшись с утра вы себя чувствуете как Громила (L4D2), перепутав дверь со стеной, самое время умыться холодной водой.
3. Хорошо одевайтесь, даже дома. Теплые носки всегда, когда возможно (т.е. вообще всегда). Ноги в течение дня не должны быть холодными и тем более замерзать.
4. Выполните последовательно все вышеописанные этапы по выживанию зомби ( + несколько раз на день повторите) и вы снова вернётесь в хорошую форму.
5. Если температура вашего тела становится выше 37,8 C, самое время её сбить. Подойдёт аспирин и другие подобные средства. Нельзя допускать высоких температур. Это плохо отразится на внутренних органах в перспективе.
6. Если во время сна вам мерещатся охотники (L4D), не засиживайтесь по ночам перед компьютером, делайте чаще перерывы и гимнастику для глаз.

За исключением, пожалуй, закалки, все рекомендации связаны с временной профилактикой, которую придётся периодически повторять. Потому что каждый организм индивидуален, разный иммунитет, чувствительность. Как только вы идёте на работу, вы уязвимы от холода и других простуженных зомби.

Поэтому еще раз – хорошо одевайтесь.
А против других зомби могу посоветовать очень хорошо зарекомендовавшую антивирусную мазь для носа – «Оксолиновая мазь». Она частично обезвреживает инфекции, передающиеся капельным путём через нос. Мажьтесь перед выходом на прогулку или работу.

Важно !!!
Напоследок напомню: всё, описанное в статье, вы делаете на свой страх и риск. Я не отвечаю за последствия. Тем не менее, всё это я и мой друг (доктор) долгое время и успешно оттачивали и практиковали на себе.
Описанные методы применяются в основном как профилактика и предупреждение простудного заболевания, а не его лечения. Во всех, а тем более запущенных случаях, обязательно обращайтесь к врачу в ближайшем к вам госпитале "Милосердия" (L4D).

P.S.
Эту статью я буду понемногу дополнять, т.к. ещё не нашел все свитки с тайными знаниями, которые в спешке спрятал 5 лет назад, убегая от самой древней ведьмы (а ведь крепкая была микстура, должна была сработать, даже зебру свалила). Но теперь ведьма разозлилась и поджидает вас спящей в самом тёмном уголке игры Left4dead.

Дополнительные средства:

1. Лекарственные препараты против распираторных инфекций кашля):
Обратите внимание на природные лекарственные препараты:
- Ингалипт
- Фалимит

!!! Будьте внимательны !!! к инструкциям, особенно способу применения и противопоказаниям всех рекомендованных в статье средств (здесь, и вообще во всей статье), а также способу диагностики переносимости организма к ним.

У Вас может быть аллергическая реакция на один из препаратов или растение. Не стоит сразу принимать в больших кол-вах вещества которые вы ни разу не пробовали. Лучший вариант - проконсультироваться с врачом.

2. Разминка (массаж) области под кадыком.

3. Можно полоскать горло спиртовой настойкой календулы:
0,5 стакана теплой воды и 3-5 чайных ложек (или как можно больше) настойки.
Полоскать горло в течении 30 мин. или больше.
Для большего эффекта можно добавить чайную ложку выжатого в сок чеснока с добавкой мёда по вкусу.

При признаках воспаления:
Установка горчичников, можно распаренного капустного листа с мёдом.
!!! Внимание !!! Горчичники нельзя ставить на позвоночник / сердце.

Также снимает любое воспаление (дезинфицирующее действие) настойка прополиса (10%-ая).
Вот здесь вообщем то верно описано как его готовить: http://www.ayzdorov.ru/tvtravnik_propolis.php
Настоящий прополис похож на смолу чёрного-тёмно-коричневого цвета (вы конечно можете купить готовую настойку, но далеко не факт, что она будет хорошей).
!!! Внимание !!! Возможна аллергическая реакция организма.
Пить в течении 1 месяца по 3 раза в день по 10 капель за 1 час до еды.

Также во время зимы понижается содержание витаминов в организме. Это ухудшает иммунитет. Принимайте различные мультивитаминные комплексы. Например, для насыщения витамином B подойдут таблетки "Гинкго Билоба". Витамин С лучше всего брать в виде больших белых пилюль без примесей и красителей.

Желаю Вам и вашим зомби здоровья, как у Танка (L4D) !
Искренне, Ваш Алекс aka Зебра.

«<-— Здесь место для рекламы средства "Анти-Озверин" :) -»>

Проверка ключей реестра на подверженность перенаправлению Wow6432 (redirected, shared, reflected)

Dragokas — Sat, 28 May 2016 10:40:52 GMT

Заметка находится здесь.

Мои проекты / статьи / руководства / исследования

Dragokas — Mon, 06 Jul 2015 19:20:31 GMT

Мои проекты
Здесь я собрал проекты, над которыми уже работаю (планирую работать) длительное время:

HiJackThis+
Спец. инструмент для борьбы с вредоносными и другими нежелательными программами

Check Browsers' LNK by Dragokas & regist
Проверка ярлыков браузеров на наличие вредоносных ссылок

ClearLNK
Лечение ярлыков, измененных вследствие заражения системы Adware и другим вредоносным ПО.

Статьи

Анализ вредоносного ПО:

Анализ исходного кода шифровальщика HelloKitty

POC JScript дешифровщик RAA ransomware, если известен приватный ключ (написан на движке вируса).

Классификация ярлыков Windows и виды их заражения

Анализ особых видов заражений с помощью Check Browsers’ LNK

Shortcut Virus Remover - самомодифицирующийся самоудаляющийся батник для лечения флешек (*авт. прим.: не является вредоносным ПО)

Анализ Worm.VBS.Dinihou и советы по удалению

Спящий зомби под маской майнера? [VBS.BtcMine.6]

Как снять шифрование тела VBscript

Статьи по ОС Windows:

Дело о заблокированной переменной окружения %PATH%

Проверка электронной цифровой подписи Authenticode

Как получить ЭЦП для подписания документов (для жителей Украины)

Проверка ключей реестра на подверженность перенаправлению Wow6432 (redirected, shared, reflected)

Роль AppUserModelID в группировке ярлыков на панели задач

Как рассчитать подсеть

Настройка интерфейса и эффективное использование CMD

Циклические операции и примеры (команда FOR в Windows Batch)

SetLocal и расширенная обработка команд в Windows Batch

Принцип составления однострочных команд Windows Batch

Регистрация ActiveX-DLL без прав администратора (UAC включен)

Переменные окружения в ОС Windows и командной строке, область видимости (черновой вариант)

О здоровье:

Чем кормить зомби, если он заразился простудой
(практические советы при распираторных заболеваниях)

Аппликатор Кузнецова - спасение от боли в пояснице и шее, защемления

Как безболезненно почистить уши

Комментарии к статьям:

ERRORLEVEL это не %ERRORLEVEL% (Raymond Chen)

Windows 10: новые возможности и функции в командной строке (Rafael Rivera)

Переводы:

Официальное руководство по FRST (Farbar's Recovery Scan Tool).

[SourcePawn] Советы для новичков и профи

Руководства
Просто инструкции или программы для облегчения сбора информации.

Куда сообщить о ложном срабатывании антивируса?

Как и куда можно отправить подозрительные файлы на анализ?

Памятка по командам FTP

Коды возврата ошибок (расшифровки ErrorLevel)

Как запустить скрипт с повышенными привилегиями?

Как добавить путь в переменную Path?

Как диагностировать проблему или ошибки в синтаксисе, когда Bat-файл не работает или "вылетает" ?

Русский текст в консоли

Как задавать и получать аргументы Batch-файла?

Структура кода Batch-файла

Как создать Batch-файл

Задачи, легко реализуемые с помощью CMD (Windows Batch)

Зачем нужны переменные среды и командная строка?

Соответствие команд MS-DOS командам Linux

Мои программы:
Здесь выложены наиболее полезные / или просто интересные из них:

VirusTotal Console Checker
Скрипт для быстрой проверки файла в сервисе VirusTotal через контекстное меню.

Snake (GetMyParent)
Позволяет отобразить цепочку вызовов процессов до интересующего, без использования специальных трейсеров

Locker / Unlocker NTFS
Блокировка / Разблокировка папок и файлов с помощью установки прав DACL

Registry Time Decoder
Преобразовывает в привычный формат DD.MM.YYYY hh:mm:ss даты, указанные в реестре в бинарном или Hex виде

DeleteTextByTags
Поможет Вам удалить во всех файлах текст, который находится между указанными Вами тегами (вместе с самими тегами)

ReplaceByRegular
Скрипт для замены текста во множестве файлов согласно регулярным выражениям

SysDrive Permissions Restorer
Применяется, когда NTFS-права корня системного диска повреждены

Clipboard Interceptor
Позволяет отслеживать изменение содержимого буфера обмена, и показывать путь к программе, которая изменила буфер

Concole Window Interceptor
Автоматически подключается к любому всплывающему консольному окну и не дает его закрыть. Перехватывает текст.

System File Replacer
Авто-скрипт для удобной замены системного файла, используется оператором для подготовки инструкции удалённому пользователю

Фильтрация лога SFC /scannow
Фильтрует строки лога SFC, убирая успешные операции проверки.

CheckDisk Log by Dragokas
Получение отчета проверки диска на ошибки

EventLog Errors
Формирует HTML отчеты со списком системных ошибок и предупреждений из журнала событий

GetCPUUsage
Получение отчета о % нагрузки CPU для всех процессов в системе

AntiHidden
Удаление последствий действия вредоносного ПО на съемном накопителе.

Codepage Repair
Восстановление русских шрифтов после сбоя, сброс настроек консоли

RegSystemLibraries
Восстановление регистрации системных библиотек.

RakhniDecryptor (Kaspersky) Benchmark
Подсчитывает производительность процессора на основе реальной задачи - дешифровка файла с помощью утилиты Kaspersky RakhniDecryptor.

RegJump MOD
Прыжок в ветку реестра, имя которой скопировано в буфер

Task Monitor
Простой мониторинг и протоколирование запускаемых/завершаемых процессов

Код розы :)
Цветная роза на основе собственных недокументированных приёмов кодинга в консоли Windows

Process Not Responding (консольная)
Отслеживание зависшего процесса и его перезапуск с указанным приоритетом

LimitRAM (консольная)
Ограничение максимального объема ОЗУ, используемой процессом.

Affinity (консольная)
Позволяет указать, на каких ядрах (в многоядерной системе) разрешено выполняться процессу (маска сходства).

RemoveDrive by Uwe Sieber (надстройка)
Быстрое отключение всех флешек с обесточиванием двойным кликом.

IP Location Checker by Dragokas & LAMM_-*-_VURDALAK
Определение страны, города, IP Range и маски подсети по указанному IP / web-адресу.

FTP Sender
Скрипт для отправки файлов на FTP/SFTP через Putty или Curl

Подключение виртуального жесткого диска VHD, как пустой папки с помощью симлинка

Registry Time Decoder
VBS-скрипт преобразования дат из Unix-Time, FILETIME, SYSTEMTIME => DD.MM.YYYY hh:mm:ss (обычно используемых в реестре).

ViruLogs Collector by Dragokas (проект заморожен)
Автоматическое обновление и сбор логов AVZ, RSIT, SITLog для разбора консультантами ассоциации VirusNet в разделе "Лечение компьютерных вирусов"

WinLock Defender [ W i L D ] (проект заморожен)
Автоматическое возобновление доступа к системе после заражения вирусами семейства WinLocker (SMS-трояны, вымогатели).

Исследования

Упаковка бинарных ресурсов в батник ("Cabinet's Batch inline" method by Dragokas)

Исследование макросов реестра Windows

Наиболее частые ошибки, заметки особенностей программинга BAT файлов, баги интерпретатора

Быстрая "распаковка" бинарного ресурса из HTA на основе ADO.Stream [ 50% завершено ]

Способы запуска приложений с использованием CLSID

Чужие статьи:
Просто захотелось дать на них ссылки.

Переменные среды в командной строке (специалист, Вадим Стеркин aka Vadikan)

Процесс conhost.exe - что это и для чего он запущен? (Bodya (http://osmaster.org.ua/))

Роль AppUserModelID в группировке ярлыков на панели задач

Dragokas — Mon, 04 May 2015 20:40:39 GMT

Роль AppUserModelID в группировке ярлыков на панели задач

Приветствую всех!!!

Сегодня я расскажу, как группировать несколько программ, разработчиком которых являетесь Вы, под один значок ярлыка в панели задач.
Метод работает для систем на базе ОС Windows 7/8/8.1/10.

Начиная с Windows 7, в систему введено понятие идентификатора AppUserModelID. Далее, я буду его называть коротко – AppID.
Он представляет из себя строку до 128 символов максимум в формате CompanyName.ProductName.SubProduct.Versi onInformation. Этот формат является рекомендованным, но не обязательным.

AppID может быть назначен:
– процессу;
– окну приложения;
– ярлыку LNK.

Сразу скажу: чтобы сгруппировать все приложения под один значок, Вы должны назначить этим процессам и ярлыку, закрепленному на панели задач, одинаковый AppID.

Это также повлияет на:
– порядок поиска ярлыка панели задач для приложения (если бинарный файл был перемещен, то закрепленный значок все равно будет найден при запуске приложения);
– скорость инициализации приложения;
– видимость ярлыков в меню ПУСК. Если Ваши ярлыки ведут к одному приложению и различаются только аргументами, то без AppID, в меню ПУСК будет виден только 1 ярлык, остальные – скрыты (актуально дли систем на базе ОС Windows 8/8.1/10)

Группировка нескольких программ под один значок может потребоваться по разным причинам. Например, Вы разрабатываете какое-нибудь хост-приложение, где порождается несколько дочерних процессов. При этом, данные процессы Вы не хотите скрывать, но и отображать миллион значков в панели задач для Вас тоже неприемлемо.

Рассмотрим как это сделать подробнее на примере браузера от Майкрософт – Project Spartan…

Бинарная структура предустановленного ярлыка Microsoft.Spartan.Spartan.lnk выглядит следующим образом:

Она показывает, что к LNK присоединен в качестве метаданных AppID приложения ProjectSpartan:
Microsoft.Windows.Spartan_cw5n1h2txyewy! Microsoft.Spartan.Spartan
(значение может изменяться от версии к версии).

Вы можете сделать тоже самое:

а) через инсталлятор приложения. Например, в AdminStudio через вкладу«Shell Properties»:

б) модифицировав готовый ярлык, используя библиотеку shell32.dll:

1) Сперва следует загрузить ярлык с помощью метода Load интерфейса IPersistFile, унаследованного от IShellLink.
2) Затем записать соответствующие метаданные с помощью интерфейса IPropertyStore, указав в качестве идентификатора GUID AppUserModel_ID – {9F4C2855-9F79-4B39-A8D0-E1D42DE1D5F3}

Подробнее в MSDN: https://msdn.microsoft.com/en-... s.85).aspx

Готовую программу на C++ с исходным кодом от David Roe Вы можете взять по адресу: https://code.google.com/p/win7appid/

в) Есть и неординарный способ (чисто ради эксперимента). Если Вашему процессу назначен AppID, после его запуска выберите из контекстного меню иконки в панели задач пункт «Закрепить программу в панели задач». Это создаст ярлык уже с метаданными.

Итак, записывать AppUserModelID в ярлык мы научились.

Часть 2. Для успеха нам требуется записать такой же AppID в само приложение.

В этом нам поможет API функция SetCurrentProcessExplicitAppUserModelID.
Подробнее в MSDN: https://msdn.microsoft.com/en-us/library/windows/desktop/dd378422(v=vs.85).aspx

Она принимает указатель на строку с AppUserModelID.

Эту функцию следует разместить перед прорисовкой формы приложения, т.е. в идеале – на этапе инициализации. Таким образом, мы явно назначаем AppID (он будет называться explicit AppUserModelID).

Если этого не сделать, ОС сама назначит приложению AppID, рассчитанный на основе специфических алгоритмов, на что будет потрачено некоторое время. Такой AppID будет называться неявным (implicit AppUserModelID).

Тест возможностей

Для демонстрации, я возьму 2 независимые программы, написанные на VB6:

– HiJackThis by Trend Micro
– ClearLNK by Alex Dragokas

Мне будет проще показать это на видео:

Как узнать AppID ?

Нет документированного способа узнать AppID чужого приложения, разве что внедриться в него и вызвать функцию GetCurrentProcessExplicitAppUserModelID (при этом AppID, заданный неявно (implicit), она все равно не покажет).

Однако, ОС умеет это делать иным способом. И если покопаться глубже, то вполне возможно, что Вам повезет :)

Я же только расскажу, где его можно посмотреть:

1) Нажимаем комбинацию клавиш Win + R, вводим: shell:AppsFolder
2) Откроется окно с установленными программами и компонентами.
3) В правом углу выберите режим преставления – табличный.
Нажмите левый ALT, появится меню, выберите View -> Choose Details…, поставьте галочку на пункте «AppUserModelID», ОК.

Результат:

…

Кстати, запустить любое приложение из этого меню, используя его AppID, можно таким образом:

Code
1
explorer.exe shell:AppsFolder\Microsoft.Windows.Spartan_cw5n1h2txyewy!Microsoft.Spartan.Spartan

Уточню, что этим способом можно запустить только установленное приложение или компонент системы.

Зачем еще используется AppID ?

1) Jump List.

Зная AppID, Вы можете получить доступ к списку переходов (Jump list), например, для перечисления списка недавно открытых файлов в какой-нибудь программе.

Подробнее о Jump list в видео на MSDN: http://windows.microsoft.com/e... -and-items

2) Запуск приложения без указания полного пути.

Microsoft в новых ОС использует AppID, чтобы идентифицировать приложение.
Например, если Вы посмотрите на листинг структуры ярлыка Spartan, выложенный ранее, то не увидите прямых путей (разве что путь к каталогу).

AppID связан с Application Class примерно так:

Кликните здесь для просмотра всего текста

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\AppX6k1pws1pa7jjhchyzw9jce3e6hg6vn8d]

[HKEY_CLASSES_ROOT\AppX6k1pws1pa7jjhchyzw 9jce3e6hg6vn8d\Application]
"ApplicationName"="@{Microsoft.Windows.S partan_0.11.10074.0_neutral_neutral_cw5n 1h2txyewy?ms-resource://Microsoft.Windows.Spartan/Resources/AppName}"
"ApplicationCompany"="Microsoft Corporation"
"ApplicationIcon"="@{Microsoft.Windows.S partan_0.11.10074.0_neutral_neutral_cw5n 1h2txyewy?ms-resource://Microsoft.Windows.Spartan/Files/Assets/SmallLogo.png}"
"ApplicationDescription"="ms-resource:AppDescription"
"AppUserModelID"="Microsoft.Windows.Spar tan_cw5n1h2txyewy!Microsoft.Spartan.Spar tan"

[HKEY_CLASSES_ROOT\AppX6k1pws1pa7jjhchyzw 9jce3e6hg6vn8d\DefaultIcon]
@="@{Microsoft.Windows.Spartan_0.11.1007 4.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.Spartan/Files/Assets/SmallLogo.png}"

[HKEY_CLASSES_ROOT\AppX6k1pws1pa7jjhchyzw 9jce3e6hg6vn8d\Shell]
@="open"

[HKEY_CLASSES_ROOT\AppX6k1pws1pa7jjhchyzw 9jce3e6hg6vn8d\Shell\Open]
"ActivatableClassId"="Microsoft.Spartan. Spartan.AppXg7kxxh26qff97eq30vmjc45gmf27 9j0y.mca"
"ContractId"="Windows.File"
"PackageId"="Microsoft.Windows.Spartan_0 .11.10074.0_neutral_neutral_cw5n1h2txyew y"
"DesiredInitialViewState"=dword:0000 0000

[HKEY_CLASSES_ROOT\AppX6k1pws1pa7jjhchyzw 9jce3e6hg6vn8d\Shell\Open\command]
"DelegateExecute"="{4ED3A719-CEA8-4BD9-910D-E252F997AFC2}"

Соответственно, в Windows 10 (как в 8/8.1 не проверял), некоторым ассоциациям файлов также назначены Application Class вместо полного пути к приложению.

3) Особая защита

На примере Project Spartan: нельзя просто взять и запустить браузер, открыв файл:
C:\Windows\SystemApps\Spartan_cw5n1h2txy ewy\spartan_edge.exe

Просто, ничего не произойдет. Хотя открытие ярлыка, связанного с AppID, запускает именно процесс spartan_edge.exe.

P.S. Если Вы знаете, как преобразовать Application Class (тот, который AppX6k1pws1pa7jjhchyzw9jce3e6hg6vn8d) в полный путь к приложению, я буду Вам очень благодарен за комментарий.

Спасибо за внимание !!!

Подготовил: Польшин Стас.

Использованы материалы:
Aaron Tan. AppUserModelID & Disappearing Shortcuts in Windows 8
Gaurav Kale. Exclusive: How to start a Modern app from desktop without going to the Metro Start Screen
MSDN - Application User Model IDs
MSDN - System.AppUserModel.ID property
MSDN - SetCurrentProcessExplicitAppUserModelID function
MSDN - GetCurrentProcessExplicitAppUserModelID function
win7appid by David Roe

Компиляция проекта Visual Basic 6 с указанием версии или автоинкрементом + UPX + Backup + Manifect + иконка

Dragokas — Tue, 21 Oct 2014 12:41:09 GMT

Компиляция проекта VB6 с указанием версии или автоинкрементом (опционально)
ver. 1.1

Как использовать:
- распаковать архив в папку Вашего проекта
- запустить _Make+Ver+Backup+Manifest+Ico+UPX.cmd

Где настраивать:
Все настройки хранятся в .CMD файле. Правый клик -> изменить.

Что умеет:
1) указание версии программы при компиляции (видно в свойствах файла):
На Ваш выбор:
- жмем ENTER - это автоинкремент (в настройках можно задать +1 к чему Major, Minor или Revision)
По-умолчанию set IncField=Revision
- жмем прочерк и ENTER - оставить номер старой версии.
- или указываем конкретную версию, какую хотим.

2) Добавление манифеста
Укажите в настройках файл с манифестом:
set Manifest=Tools\ManifestByTheTrick\manife st_asInvoker.txt
:: Допустимые значения:
:: Tools\ManifestByTheTrick\manifest_asInvo ker.txt
:: Tools\ManifestByTheTrick\manifest_highes tAvailable.txt
:: Tools\ManifestByTheTrick\manifest_requir eAdministrator.txt
:: Tools\ManifestByTheTrick\manifest_asInvo ker_with_Common-Controls.txt
:: Tools\ManifestByTheTrick\manifest_highes tAvailable_with_Common-Controls.txt
:: Tools\ManifestByTheTrick\manifest_requir eAdministrator_with_Common-Controls.txt
Знающие разберутся.

3) Упаковка в UPX с максимальным стандартным сжатием.
Отключается опцией:
set NoUPX=true

4) Создание бекапа скомпилированной версии.
Путь к папке архива задается в:
set ArcFolder=Archive

5) Смена иконки (наиболее актуально для приложения без формы, где нельзя указать ее в проекте).
set icoFile=Icons\my.ico

Особенности:
Имя файла программы можно задать в:
set AppName=myApp.exe

Файл проекта находится автоматически.
Файлы для бекапа собираются из зависимостей в файле .VBP + те, что Вы указали в настройке:
set arcList=*.vbp *.vbw *.res *.exe *.frx *.lvw *.cmd *.csi *.csv "Здесь можно еще указать имя папки, которую тоже нужно включить в архив"

Если проект не был закрыт до начала компиляции, будет отправлен безопасный сигнал о его закрытии.
Если проект содержит ошибки, будет предложено вернуть старый номер версии в файл VBP по нажатию ENTER
-> + откроется сам проект.

Требования:
Установленная среда VB6.

Предистория:
Не нравится мне встроенный в VB6 IDE автоинкремент.
Ну вот хочу я в следующей версии изменить уже не Revision, а Major или Minor.
Лезть для этого в опции далеко и лень. Каждый раз править в файле .VBP аналогично.

Решение - положить файлик _Make+Ver+Backup+Manifest+Ico+UPX.cmd в папку проекта и запустить.

Примечание:
Чтобы вывести в окно формы версию программы, воспользуйтесь свойствами объекта App:

Visual Basic
1
AppVer = App.Major & "." & App.Minor & ".0." & App.Revision

Авторские права:
В составе скрипта используются программы других разработчиков:
:: Icon Changer by anny05
:: Manifest by The Trick (модифицирован Dragokas)
:: UPX by Markus Oberhumer, Laszlo Molnar & John Reiser
:: 7Zip by Igor Pavlov

Вложение: http://dragokas.com/tools/_Mak... co+UPX.zip

Удаление файлов/папок с зарезервированными именами

Dragokas — Sat, 15 Sep 2012 19:43:39 GMT

Bash
1
2
\\?\
\\.\

Отключает на время выполнения команды API-функции, накладывающие следующие запреты:

- операции с файлами/папками с зарезервированными именами.
- обращение к разделу напрямую через точку монтирования.

А также:

Bash
1
\\?\

- для обхода ограничения на максимальную общую длину каталога в 256 символов.
- отключает парсинг большинства спецсимволов.

For file I/O, the "\\?\" prefix to a path string tells the Windows APIs to disable all string parsing and to send the string that follows it straight to the file system. For example, if the file system supports large paths and file names, you can exceed the MAX_PATH limits that are otherwise enforced by the Windows APIs.
…
Because it turns off automatic expansion of the path string, the "\\?\" prefix also allows the use of ".." and "." in the path names, which can be useful if you are attempting to perform operations on a file with these otherwise reserved relative path specifiers as part of the fully qualified path.

Bash
1
\\.\

- для обращения к устройствам напрямую в обход файловой системы.

The "\\.\" prefix will access the Win32 device namespace instead of the Win32 file namespace. This is how access to physical disks and volumes is accomplished directly, without going through the file system, if the API supports this type of access. You can access many devices other than disks this way (using the CreateFile and DefineDosDevice functions, for example).
…
Another example of using the Win32 device namespace is using the CreateFile function with "\\.\PhysicalDiskX" (where X is a valid integer value) or "\\.\CdRomX". This allows you to access those devices directly, bypassing the file system. This works because these device names are created by the system as these devices are enumerated, and some drivers will also create other aliases in the system. For example, the device driver that implements the name "C:\" has its own namespace that also happens to be the file system.

Примеры практического использования:

1) Обращение к разделу напрямую через точку монтирования:

Bash
1
2
type \\?\Volume{98fc8064-566a-11d9-82a2-806d6172696f}\out.txt
type \\.\Volume{98fc8064-566a-11d9-82a2-806d6172696f}\out.txt

К примеру, если разделу не назначено имя диска.
Список таких точек можно получить штатной утилитой MOUNTVOL.exe без параметров.
Примеры также можете почитать в статьях Криса Касперского - один, два.
И в этой теме: https://www.cyberforum.ru/visu... 05974.html

2) Создание виртуального жесткого диска VHD и подключение его как пустой папки через точку монтирования.

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
@echo off
SetLocal EnableExtensions
call :Invoke_UAC %*
 
set vdisk=c:\vdisk.vhd
 
mountvol /E
For /F "delims=" %%? in ('mountvol ^| find "\\?\"') do set Array.%%?=true
(
  echo create vdisk file="%vdisk%" maximum=512 type=fixed
  echo select vdisk file="%vdisk%"
  echo attach vdisk
  echo convert mbr
  echo create partition primary
  echo format fs=NTFS label="VDisk" quick
) | diskpart
For /F "delims=" %%? in ('mountvol ^| find "\\?\"') do if not defined Array.%%? set MountPoint=%%?
mklink /d c:\VDisk\ %MountPoint%
pause
Exit
 
:Invoke_UAC :: Затребование диалога UAC повышения прав
  ver |>nul find "6." && if "%1"=="" (
    Echo new ActiveXObject^('Shell.Application'^).ShellExecute ^(WScript.Arguments^(0^),'UAC','','runas',1^);>"%~dp0Invoke_UAC.js"
    cscript.exe //nologo //e:jscript "%~dp0Invoke_UAC.js" "%~f0"& Exit
  ) else (>nul del "%~dp0Invoke_UAC.js"& chdir /d "%~dp0")
Exit /B

Обсуждается в теме: https://www.cyberforum.ru/cmd-... 41976.html

3) Удаление рекурсивно всех папок (в т.ч. с некорректными именами, например концевым пробелом, точками, названиями системных устройств).
Каждое удаление сопровождается обязательным подтверждением действия от пользователя.
Бат-файл поместить в папку, в которой нужно удалить все каталоги. Из нее и запускать.

Bash
1
2
3
4
5
6
7
8
@echo off
chcp 1251
for /f "delims=" %%i in ('dir /b /a:d') do (
  chcp 866
  rmdir /s "\\.\%%i\"
  chcp 1251
)
pause>nul

Другие ссылки по теме:

Path (computing) - Wikipedia
MSDN - Naming Files, Paths, and Namespaces
MSDN - Naming a Volume

wiki.drweb.com/index.php/Каталог_E2E2~1
MSKB - Невозможно удалить файл или папку в томе с файловой системой NTFS
MSKB - Удаление файлов с зарезервированными именами в Windows XP

Регистрация ActiveX-DLL без прав администратора (UAC включен)

Dragokas — Sun, 09 Sep 2012 22:45:18 GMT

Итак, с целью спрятать пароль подключения к базе данных (поверхностное шифрование) у меня дошли руки к созданию Active-X библиотеки.

Благодаря замечательной статье COM в действии Catstail-a все удалось с первого раза.

За исключением проблем при регистрации DLL через Regsvr32, которой обычных прав оказалось недостаточно,
ведь она записывает значения в реестр в ветку HKLM.
А как известно, без регистрации подключить библиотеку к проекту ни поздним, ни ранним связыванием не получится.

Выходов из ситуации было 2:
1) Делать установщик, которому прописывать манифест повышенных прав (иконка со щитом), либо повторный запуск процесса от имени другого пользователя через runas. В любом случае буду получать предупреждения системы защиты.
2) Прописать вручную ветки реестра для текущего пользователя (HKCU), т.к. утилита Regsvr32 такой роскоши нам не дает.

Вторым способом я и занялся.

Шаг 1. Регистрация DLL с правами администратора, например через (.cmd) Batch-файл, или через запуск консоли CMD в строке поиска Ctrl+Shift+Enter.

Bash
1
2
Regsvr32.exe C:\Alex\Desktop\ActXTest\Calc.dll
::Ключ /s - Тихий режим

Шаг 2. Получение ключей реестра.
Вторая часть статьи Catstail-а описывает, кроме всего прочего особенности хранения ключей в реестре при регистрации DLL, а также в приложении программу, которая находит в реестре GUID, CLSID, Inerface и TypeLib-ы созданного класса.
Но все же я решил вручную просканировать изменения в реестре (для этого воспользовался бесплатной программой RegShot).

Получен список новых ключей:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Calc.myCalc]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Calc.myCalc\Clsid]
@="{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\InprocServer32]
@="C:\\Users\\Alex\\Desktop\\ActXTest\\C alc.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\ProgID]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\TypeLib]
@="{4D922142-997D-4403-A002-2387BCF4A07F}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\VERSION]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\InprocServer32]
@="C:\\Users\\Alex\\Desktop\\ActXTest\\C alc.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\ProgID]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\TypeLib]
@="{4D922142-997D-4403-A002-2387BCF4A07F}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\VERSION]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{25E88292-036E-479D-B010-82EFB67A1001}]
@="_myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{25E88292-036E-479D-B010-82EFB67A1001}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{25E88292-036E-479D-B010-82EFB67A1001}\TypeLib]
@="{4D922142-997D-4403-A002-2387BCF4A07F}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D922142-997D-4403-A002-2387BCF4A07F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0]
@="Calc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\0\win32]
@="C:\\Users\\Alex\\Desktop\\ActXTest\\C alc.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\FLAGS]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\HELPDIR]
@="C:\\Users\\Alex\\Desktop\\ActXTest"

Для работы DLL на самом деле используются значения ключей в ветке HKEY_CLASSES_ROOT (HKCR)
Математика такая:
HKCR получается путем сложения ключей, которые находятся в ветках HKLM + HKCU.
Если ветка HKCU содержит другие значения, чем HKLM, то HKCU имеет приоритет.

Шаг 3. Модификация ключей Reg-файла.
Делаем автозамену веток HKEY_LOCAL_MACHINE на HKEY_CURRENT_USER

И убеждаемся, что у нас все работает:

Отменяем регистрацию DLL:
Bash
1
Regsvr32.exe /u C:\Alex\Desktop\ActXTest\Calc.dll
(требует прав администратора через раз %-)). А иначе выдает ошибку "Не удалось выполнить вызов DllRegisterServer. Код ошибки 0х80004005."
Запускаем модифицированный Reg-файл

Перезапускаем процесс, откуда тестируем DLL (я использовал Excel VBA), код аналогичен и для VB6:

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
'Для раннего связывания -> Tools (VBA) Project (VB) -> Preferences -> Calc (поставить птичку)
Sub Command1_Click()
On Error GoTo ErrH
'Dim C As Calc.myCalc 'раннее связывание
Dim C As Object 'позднее связывание
Dim v
 
'Set C = New Calc.myCalc 'раннее связывание
 
Set C = CreateObject("calc.mycalc") 'позднее связывание
 
v = C.Calculate(7, 8, "*")
 
Debug.Print v
 
'C.Top = C.Height
'C.Left = C.Width
 
'C.Show
 
Set C = Nothing
Exit Sub
 
ErrH:
Debug.Print Err.Description
End Sub

Убеждаемся, что присвоение объекта происходит корректно.
Ошибок чаще всего бывает две:
1) Automation error. Не найден указанный модуль. - Это значит, что библиотека зарегистрирована, но указано неверное расположение файла DLL, либо он был переименован.
2) ActiveX component can't create object - DLL не зарегистрирована, или зарегистрирована некорректно.

Шаг 4. Избавляемся от лишних ссылок на 32-битные ветки реестра в Reg-файле

Как можно заметить из содержимого Reg-файла, система у меня х64-битная. И это Windows 7 с максимальным уровнем защиты UAC.

Итак, сервер регистрации прописал DLL в реестре на все случаи.
Но зачем?
Не секрет, что в 64-х системах существует механизм переадресации запросов 32-битных приложений в ветку Wow6432Node. Процесс чем-то схожий с файловыми переадресациями, о которых я не так давно писал в этой теме.
По этому вопросу есть неплохая статья от Jochen Kalmbach.

Итак, удаляем дублирующие ветки реестра из Reg-файла, а в остальных удаляем часть "Wow6432Node\":

Эти ветки нам не нужны:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\InprocServer32]
@="C:\\Users\\Alex\\Desktop\\ActXTest\\C alc.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\ProgID]
@="Calc.myCalc"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\TypeLib]
@="{4D922142-997D-4403-A002-2387BCF4A07F}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\VERSION]

Одно но! После такой экзекуции, нам нельзя вручную (двойным кликом) вносить Reg-файл в реестр.
Система примет такой запрос как от имени х64-процесса и переадресация не сработает.
Поэтому нам нужно это делать из любого 32-битного приложения, коим есть VB6, например так:

Visual Basic
1
Shell "cmd /c reg.exe import e:\Dll.reg", vbHide

Команда выполнялась под учетной записью с ограниченными правами,
а также успешно испытана на свежеустановленной Windows XP x32-bit.

В приложении: скомпилированная библиотека, Reg-файл, Excel-файл и VB-проект (на выбор) с Shell-ом регистрации и процедурой вызова методов и свойств объекта Calc.dll.
VBS-скрипт у меня не заработал :(, не знаю почему.
Для корректной регистрации

измените в Reg-файле путь

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Classes\Calc. myCalc]
@="Calc.myCalc"

[HKEY_CURRENT_USER\SOFTWARE\Classes\Calc. myCalc\Clsid]
@="{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}"

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}]
@="Calc.myCalc"

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories]

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}]

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\InprocServer32]
@="C:\\Users\\Alex\\Desktop\\ActXTest\\Cal c.dll"
"ThreadingModel"="Apartment"

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\ProgID]
@="Calc.myCalc"

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\Programmable]

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\TypeLib]
@="{4D922142-997D-4403-A002-2387BCF4A07F}"

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID \{54319578-F5A1-4BEF-B8A4-20E6F89ABB4A}\VERSION]
@="1.0"

[HKEY_CURRENT_USER\SOFTWARE\Classes\Inter face\{25E88292-036E-479D-B010-82EFB67A1001}]
@="_myCalc"

[HKEY_CURRENT_USER\SOFTWARE\Classes\Inter face\{25E88292-036E-479D-B010-82EFB67A1001}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_CURRENT_USER\SOFTWARE\Classes\Inter face\{25E88292-036E-479D-B010-82EFB67A1001}\TypeLib]
@="{4D922142-997D-4403-A002-2387BCF4A07F}"
"Version"="1.0"

[HKEY_CURRENT_USER\SOFTWARE\Classes\TypeL ib\{4D922142-997D-4403-A002-2387BCF4A07F}]

[HKEY_CURRENT_USER\SOFTWARE\Classes\TypeL ib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0]
@="Calc"

[HKEY_CURRENT_USER\SOFTWARE\Classes\TypeL ib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\0]

[HKEY_CURRENT_USER\SOFTWARE\Classes\TypeL ib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\0\win32]
@="C:\\Users\\Alex\\Desktop\\ActXTest\\Cal c.dll"

[HKEY_CURRENT_USER\SOFTWARE\Classes\TypeL ib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\FLAGS]
@="0"

[HKEY_CURRENT_USER\SOFTWARE\Classes\TypeL ib\{4D922142-997D-4403-A002-2387BCF4A07F}\1.0\HELPDIR]
@="C:\\Users\\Alex\\Desktop\\ActXTest"

"C:\\Users\\Alex\\Desktop\\ActXTest"
на месторасположение файла Calc.dll на Вашем компьютере, на забывая при этом про двойные слеши \\.

Стоит заметить, что при перекомпиляции DLL в среде VB6 происходит автоматическая регистрация библиотеки. Кроме того, все GUID и др. значения изменяются. Т.о. Reg-файл нужно создавать заново.

В дальнейшем если версия DLL будет меняться планирую автоматизировать весь этот процесс написанием программы. Благо, исходник сканера уже есть :)

Может конечно вся статья и зря, и есть более простой способ зарегистрировать Active-X Dll в среде текущего пользователя. С удовольствием выслушаю Ваши варианты и комментарии.

Вложения

ActXTest.rar (43.6 Кб, 690 просмотров)

Стих "Весна"

Dragokas — Tue, 21 Aug 2012 17:41:58 GMT

"Весна"
======
Пришла весна... Зеленым цветом
Вонзила в землю якоря.
И ты идешь встречать с рассветом
Босой ногою у ручья,
Ступая вдоль душистою тропы,
Впитать в себя дары природы.

Блестящие капельки росы
Спадают с молодой листвы.
По ним летают воробьи.
С восходом утренней зари
Лелеют, нежаться в тени.
Поют нам песню о любви.

И легкий ветер тебя обвивает -
столь нежный, столь свежий и теплый.
Почувствовать юной тебя заставляет -
Веселой, свободной от мыслей, такой беззаботной.

Любовь к природе тебя наполняет,
Когда ты глядишь на гармонию красок, движений и их остроты,
Когда белая бабочка к тебе подлетает,
Милуется в светлых лучах она, как и ты.
_____
A.D.
22.04.12

Быстрое отключение всех флешек с обесточиванием (VB, C++, exe+src)

Dragokas — Tue, 14 Aug 2012 11:20:15 GMT

Последняя версия утилиты доступна в конце темы по ссылке: https://www.cyberforum.ru/cmd-... 99180.html

Преимущества:

В OS Vista, Windows 7 не только отключает, но и обесточивает Flash Drive.
Показывает имя приложения, которое не дает безопасно отключить уст-во (блокирует его файловую систему).
Ожидает до тех пор, пока блокировка не будет снята, затем самостоятельно повторяет попытку безопасного отключения.
Двойной клик - флешка отключена (никаких сообщений, ничего лишнего :))
Возможность отключить отдельное уст-во, если их более 1 (отображает информацию о них).
Имеет исходный код.

Итак, если устройств подключено несколько, отображается диалоговое окно с информацией о:
1. Метках флешек.
2. Общем объеме.
3. Имени раздела.
Нажатие "Ок" отключает все съемные накопители.
Ввод порядкового номера устройства отключает конкретный драйв.

Авто-определение букв накопителей, диалоговое окно и вызов консольной утилиты написано на Visual Basic.
Основная часть: freeware-программа RemoveDrive - на С++ (Автор: Uwe Sieber - www.uwe-sieber.de)
Ее упрощенный Source-код.

C++ Demo (щелк^_^)

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
//
// RemoveDriveByLetter.cpp by Uwe Sieber - [url]www.uwe-sieber.de[/url]
//
// Simple demonstration how to prepare a disk drive for save removal
//
// Works with removable and fixed drives under W2K, XP, W2K3, Vista
//
// Console application - expects the drive letter of the drive to remove as parameter
//
// you are free to use this code in your projects
//
 
 
#include "stdafx.h"
#include 
 
#include 
 
#include 
#include 
#include 
#include 
 
//-------------------------------------------------
DEVINST GetDrivesDevInstByDeviceNumber(long DeviceNumber, UINT DriveType, char* szDosDeviceName);
//-------------------------------------------------
 
 
 
//-------------------------------------------------
int main(int argc, char* argv[])
{
 
    if ( argc != 2 ) {
        return 1;       
    }
 
    char DriveLetter = argv[1][0];
    DriveLetter &= ~0x20; // uppercase
 
    if ( DriveLetter < 'A' || DriveLetter > 'Z' ) {
        return 1;
    }
 
    char szRootPath[] = "X:\";   // "X:"  -> for GetDriveType
    szRootPath[0] = DriveLetter;
 
    char szDevicePath[] = "X:";   // "X:"   -> for QueryDosDevice
    szDevicePath[0] = DriveLetter;
 
    char szVolumeAccessPath[] = "\\\\.\\X:";   // "\\.\X:"  -> to open the volume
    szVolumeAccessPath[4] = DriveLetter;
 
    long DeviceNumber = -1;
 
    // open the storage volume
    HANDLE hVolume = CreateFile(szVolumeAccessPath, 0, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, NULL, NULL);
    if (hVolume == INVALID_HANDLE_VALUE) {
        return 1;
    }
 
    // get the volume's device number
    STORAGE_DEVICE_NUMBER sdn;
    DWORD dwBytesReturned = 0;
    long res = DeviceIoControl(hVolume, IOCTL_STORAGE_GET_DEVICE_NUMBER, NULL, 0, &sdn, sizeof(sdn), &dwBytesReturned, NULL);
    if ( res ) {
        DeviceNumber = sdn.DeviceNumber;
    }
    CloseHandle(hVolume);
 
    if ( DeviceNumber == -1 ) {
        return 1;
    }
 
    // get the drive type which is required to match the device numbers correctely
    UINT DriveType = GetDriveType(szRootPath);
 
    // get the dos device name (like \device\floppy0) to decide if it's a floppy or not - who knows a better way?
    char szDosDeviceName[MAX_PATH];
    res = QueryDosDevice(szDevicePath, szDosDeviceName, MAX_PATH);
    if ( !res ) {
        return 1;
    }
 
    // get the device instance handle of the storage volume by means of a SetupDi enum and matching the device number
    DEVINST DevInst = GetDrivesDevInstByDeviceNumber(DeviceNumber, DriveType, szDosDeviceName);
 
    if ( DevInst == 0 ) {
        return 1;
    }
 
    PNP_VETO_TYPE VetoType = PNP_VetoTypeUnknown; 
    WCHAR VetoNameW[MAX_PATH];
    VetoNameW[0] = 0;
    bool bSuccess = false;
 
    // get drives's parent, e.g. the USB bridge, the SATA port, an IDE channel with two drives!
    DEVINST DevInstParent = 0;
    res = CM_Get_Parent(&DevInstParent, DevInst, 0); 
 
    for ( long tries=1; tries<=3; tries++ ) { // sometimes we need some tries...
 
        VetoNameW[0] = 0;
 
        // CM_Query_And_Remove_SubTree doesn't work for restricted users
        //res = CM_Query_And_Remove_SubTreeW(DevInstParent, &VetoType, VetoNameW, MAX_PATH, CM_REMOVE_NO_RESTART); // CM_Query_And_Remove_SubTreeA is not implemented under W2K!
        //res = CM_Query_And_Remove_SubTreeW(DevInstParent, NULL, NULL, 0, CM_REMOVE_NO_RESTART);  // with messagebox (W2K, Vista) or balloon (XP)
        
        res = CM_Request_Device_EjectW(DevInstParent, &VetoType, VetoNameW, MAX_PATH, 0);
        //res = CM_Request_Device_EjectW(DevInstParent, NULL, NULL, 0, 0); // with messagebox (W2K, Vista) or balloon (XP)
 
        bSuccess = (res==CR_SUCCESS && VetoType==PNP_VetoTypeUnknown);
        if ( bSuccess )  { 
            break;
        }
 
        Sleep(500); // required to give the next tries a chance!
    }
 
    if ( bSuccess ) {
        printf("Success\n\n");
        return 0;
    }
 
    printf("failed\n");
    
    printf("Result=0x%2X\n", res);
 
    if ( VetoNameW[0] ) {
        printf("VetoName=%ws)\n\n", VetoNameW);
    }   
    return 1;
}
//-----------------------------------------------------------
 
 
 
//----------------------------------------------------------------------
// returns the device instance handle of a storage volume or 0 on error
//----------------------------------------------------------------------
DEVINST GetDrivesDevInstByDeviceNumber(long DeviceNumber, UINT DriveType, char* szDosDeviceName)
{
    bool IsFloppy = (strstr(szDosDeviceName, "\\Floppy") != NULL); // who knows a better way?
 
    GUID* guid;
 
    switch (DriveType) {
    case DRIVE_REMOVABLE:
        if ( IsFloppy ) {
            guid = (GUID*)&GUID_DEVINTERFACE_FLOPPY;
        } else {
            guid = (GUID*)&GUID_DEVINTERFACE_DISK;
        }
        break;
    case DRIVE_FIXED:
        guid = (GUID*)&GUID_DEVINTERFACE_DISK;
        break;
    case DRIVE_CDROM:
        guid = (GUID*)&GUID_DEVINTERFACE_CDROM;
        break;
    default:
        return 0;
    }
 
    // Get device interface info set handle for all devices attached to system
    HDEVINFO hDevInfo = SetupDiGetClassDevs(guid, NULL, NULL, DIGCF_PRESENT | DIGCF_DEVICEINTERFACE);
 
    if (hDevInfo == INVALID_HANDLE_VALUE)   {
        return 0;
    }
 
    // Retrieve a context structure for a device interface of a device information set
    DWORD dwIndex = 0;
    long res;
 
    BYTE Buf[1024];
    PSP_DEVICE_INTERFACE_DETAIL_DATA pspdidd = (PSP_DEVICE_INTERFACE_DETAIL_DATA)Buf;
    SP_DEVICE_INTERFACE_DATA         spdid;
    SP_DEVINFO_DATA                  spdd;
    DWORD                            dwSize;
    
    spdid.cbSize = sizeof(spdid);
 
    while ( true )  {
        res = SetupDiEnumDeviceInterfaces(hDevInfo, NULL, guid, dwIndex, &spdid);
        if ( !res ) {
            break;
        }
 
        dwSize = 0;
        SetupDiGetDeviceInterfaceDetail(hDevInfo, &spdid, NULL, 0, &dwSize, NULL); // check the buffer size
 
        if ( dwSize!=0 && dwSize<=sizeof(Buf) ) {
 
            pspdidd->cbSize = sizeof(*pspdidd); // 5 Bytes!
 
            ZeroMemory(&spdd, sizeof(spdd));
            spdd.cbSize = sizeof(spdd);
 
            long res = SetupDiGetDeviceInterfaceDetail(hDevInfo, &spdid, pspdidd, dwSize, &dwSize, &spdd);
            if ( res ) {
 
                // in case you are interested in the USB serial number:
                // the device id string contains the serial number if the device has one,
                // otherwise a generated id that contains the '&' char...
                /*
                DEVINST DevInstParent = 0;
                CM_Get_Parent(&DevInstParent, spdd.DevInst, 0); 
                char szDeviceIdString[MAX_PATH];
                CM_Get_Device_ID(DevInstParent, szDeviceIdString, MAX_PATH, 0);
                printf("DeviceId=%s\n", szDeviceIdString);
                */
 
                // open the disk or cdrom or floppy
                HANDLE hDrive = CreateFile(pspdidd->DevicePath, 0, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL);
                if ( hDrive != INVALID_HANDLE_VALUE ) {
                    // get its device number
                    STORAGE_DEVICE_NUMBER sdn;
                    DWORD dwBytesReturned = 0;
                    res = DeviceIoControl(hDrive, IOCTL_STORAGE_GET_DEVICE_NUMBER, NULL, 0, &sdn, sizeof(sdn), &dwBytesReturned, NULL);
                    if ( res ) {
                        if ( DeviceNumber == (long)sdn.DeviceNumber ) {  // match the given device number with the one of the current device
                            CloseHandle(hDrive);
                            SetupDiDestroyDeviceInfoList(hDevInfo);
                            return spdd.DevInst;
                        }
                    }
                    CloseHandle(hDrive);
                }
            }
        }
        dwIndex++;
    }
 
    SetupDiDestroyDeviceInfoList(hDevInfo);
 
    return 0;
}
//-----------------------------------------------------------

Скомпилированный EXE и исходник VB в архиве.

Обновление 15.12.2012
Исправлен баг с определением кардридера (или дисковода), как флешки.

___________________
В нашей орг-ции часто приходится передавать результаты работы через флешку, поэтому актуально.
Кроме того, когда-то моя флешка не выдержала необдуманного отключения (во времена, когда интернет был плохой - пользовались в интернет-клубах. А там бац - "Ваше время истекло". Нечего делать - выдернул флеху. Домой - а она не работает.

Вложения

FlashEject.rar (31.3 Кб, 1048 просмотров)

Существует ли файл в папке Windows\System32 на 64-разрядной ОС (или обход механизма File System Redirector)

Dragokas — Sun, 12 Aug 2012 01:56:23 GMT

Проведем эксперимент, если Вы владелец 64-разрядной версии ОС Windows:

1. Откройте стандартный поиск, или проводник (если ver. OS > XP).
Пишем в строке поиска MSG.exe
Результат: найден в папке windows\system32
2. Запускаем любой 32-битный файловый менеджер (например, Total Commander)
Можем просто пролистать файлы в папке System32,
а можем указать во встроенном поиске (ALT+F7) MSG.exe
Результат: найдено 0 файлов. Вот так сюрприз. :)

Кроме того, попытавшись сделать тоже самое

средствами любимого Visual Basic,

Это моя коллекция 7 способов проверок наличия файла, так что сильно не пугайтесь объемом кода :D

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
Private Declare Function PathFileExists Lib "shlwapi.dll" Alias "PathFileExistsA" _
    (ByVal pszPath As String) As Long
Private Declare Function GetFileAttributes Lib "kernel32.dll" Alias "GetFileAttributesA" _
    (ByVal lpFileName As String) As Long
 
Const FILE_ATTRIBUTE_DIRECTORY = &H10
Const INVALID_HANDLE_VALUE = &HFFFFFFFF
 
Private Declare Function FindFirstFile Lib "kernel32" Alias "FindFirstFileA" _
    (ByVal lpFileName As String, lpFindFileData As WIN32_FIND_DATA) As Long
Private Declare Function FindClose Lib "kernel32" (ByVal hFindFile As Long) As Long
 
Const MAX_PATH As Long = 260
 
Private Type FILETIME
   dwLowDateTime As Long
   dwHighDateTime As Long
End Type
 
Private Type WIN32_FIND_DATA
   dwFileAttributes As Long
   ftCreationTime As FILETIME
   ftLastAccessTime As FILETIME
   ftLastWriteTime As FILETIME
   nFileSizeHigh As Long
   nFileSizeLow As Long
   dwReserved0 As Long
   dwReserved1 As Long
   cFileName As String * MAX_PATH
   cAlternate As String * 14
End Type
 
Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" _
    (ByVal lpFileName As String, _
    ByVal dwDesiredAccess As Long, _
    ByVal dwShareMode As Long, _
    lpSecurityAttributes As SECURITY_ATTRIBUTES, _
    ByVal dwCreationDisposition As Long, _
    ByVal dwFlagsAndAttributes As Long, _
    ByVal hTemplateFile As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
 
Const FILE_SHARE_READ = &H1
Const FILE_SHARE_WRITE = &H2
Const FILE_FLAG_SEQUENTIAL_SCAN = &H8000000
Const FILE_FLAG_NO_BUFFERING = &H20000000
Const OPEN_EXISTING = 3
 
Private Type SECURITY_ATTRIBUTES
        nLength As Long
        lpSecurityDescriptor As Long
        bInheritHandle As Long
End Type
 
Option Explicit
 
Private Sub Command1_Click()
Dim exe As String, oFSO As Object, ret As Long
 
exe = Environ("windir") & "\system32\msg.exe" 'C:\Windows\System32\MSG.exe
 
'Встроенная функция Dir
If Dir$(exe, vbReadOnly Or vbSystem Or vbHidden) <> vbNullString Then MsgBox "With Dir$ - msg.exe Exists!"
 
'Объект WSH FilesystemObject
Set oFSO = CreateObject("Scripting.FilesystemObject")
If oFSO.FileExists(exe) Then MsgBox "With FSO - msg.exe Exists!"
Set oFSO = Nothing
 
'Встроенная функция проверки атрибутов
On Error Resume Next
ret = GetAttr(exe)
If Err.Number = 0 Then MsgBox "With Attributes Check - msg.exe Exists!"
On Error GoTo 0
 
'API-функция PathFileExists
If PathFileExists(exe) = 1 Then MsgBox "With API PathFileExists - msg.exe Exists!"
 
'API-функция GetFileAttributes
ret = GetFileAttributes(exe)
If ret <> INVALID_HANDLE_VALUE And (0 = (ret And FILE_ATTRIBUTE_DIRECTORY)) Then
    MsgBox "With API GetFileAttributes - msg.exe Exists!"
End If
 
'API-функция FindFirstFile
Dim WFD As WIN32_FIND_DATA, hFile As Long
hFile = FindFirstFile(exe, WFD)
Call FindClose(hFile)
If hFile <> INVALID_HANDLE_VALUE Then MsgBox "With API FindFirstFile - msg.exe Exists!"
 
'API-функция CreateFile
Dim Security As SECURITY_ATTRIBUTES
hFile = CreateFile(exe, 0, FILE_SHARE_READ Or FILE_SHARE_WRITE, Security, OPEN_EXISTING, _
    FILE_FLAG_NO_BUFFERING Or FILE_FLAG_SEQUENTIAL_SCAN, 0)
If hFile <> INVALID_HANDLE_VALUE Then
    CloseHandle (hFile)
    MsgBox "With API CreateFile - msg.exe Exists!"
End If
 
End Sub

мы получим также нулевой результат.

На эту удочку я недавно попался при отладке Batch-сценария.
Виновником оказался так называемый механизм перенаправления файловых запросов в 64-разрядной версии ОС Windows (File System Redirector), о котором рассказывает Microsoft.

То есть на самом деле запросы 32-битных приложений при попытке обратится к системной директории System32
файловая система автоматически переадресовывает в папку SysWOW64.
Почему так сделано, можно почитать здесь.

Но как же нам обойти систему виртуализации.
Вот реализация на VB принципа, указанного в статье MS:

Способ 1. Временное отключение механизма перенаправления файловых запросов.

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Private Declare Function Wow64EnableWow64FsRedirection Lib "kernel32.dll" _
    (ByVal IsEnable As Boolean) As Boolean
 
Option Explicit
 
Sub System32file_Exists()
Dim ret_redir As Boolean
Dim exists As Boolean
Dim exe As String
 
exe = Environ("windir") & "\system32\msg.exe"
 
ret_redir = Wow64EnableWow64FsRedirection(False)
If Dir$(exe, vbReadOnly Or vbSystem Or vbHidden) <> vbNullString Then exists = True
ret_redir = Wow64EnableWow64FsRedirection(True)
 
If exists Then MsgBox exe & " is Exists!"
End Sub

Способ 2. Обращаемся к папке System32 через алиас "Sysnative".

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
Option Explicit
 
Sub System32file_Exists()
Dim exe As String
 
exe = Environ("windir") & "\system32\msg.exe"
exe = Replace(exe, "system32", "Sysnative", , vbTextCompare)
 
If Dir$(exe, vbReadOnly Or vbSystem Or vbHidden) <> vbNullString Then
    MsgBox exe & " is Exists!"
End If
End Sub

Недостатки способа № 1:
1. Относительная небезопасность: реактивацию перенаправления ФС нужно сделать как можно быстрее,
чтобы не прервать работу c 64-битными библиотеками в этом потоке.
2. Еще есть информация о предупреждении UAC при попытке снять режим File System Redirection.
Запуск примера на ОС Win 7 x64 Ultimate с максимальным уровнем UAC показал, что защита молчит во время этой манипуляции.
3. Также данная API-функция будет работать только на 64-разрядной версии ОС,
поэтому разрядность тоже

нужно проверять.

Проверка разрядности ОС. Вот пару вариантов от меня:

1. Проверяем наличие системной папки с использованием переадресации через тот самый алиас "Sysnative".

Visual Basic
1
2
3
4
Public Function Is64system() As Boolean
On Error Resume Next
Is64system = GetAttr(Environ("windir") & "\Sysnative") And vbDirectory
End Function

2. Через WSH читаем переменные среды окружения.

Visual Basic
1
2
3
4
5
6
7
8
9
10
Public Function Is64system() As Boolean
On Error Resume Next 'PROCESSOR_ARCHITEW6432 on x32 is NOT DEFINED
Dim WshShell As Object
Set WshShell = CreateObject("WScript.Shell")
If WshShell.Environment("PROCESS")("PROCESSOR_ARCHITECTURE") = "AMD64" Or _
   WshShell.Environment("PROCESS")("PROCESSOR_ARCHITEW6432") = "AMD64" Then
    Is64system = True
End If
Set WshShell = Nothing
End Function

Стоит добавить, что подобная ситуация также касается ветки реестра HKLM\Software\Wow6432Node
Для обхода этого также существует специальный алиас.

Не по теме:

Хотелось бы знать, можно ли заставить систему думать, что запрос к файловой системе исходит от 64-битного приложения?

Комментарии?

Вложения

	File_system_Redirector_bypass.XLS.xls (44.5 Кб, 769 просмотров)
	FSRedirector_bypass_VB.zip (2.6 Кб, 583 просмотров)

Парсинг предложения на отдельные слова (VB)

Dragokas — Mon, 09 Jul 2012 21:55:16 GMT

Наиболее универсальный для VB алгоритм, имхо:

1) Заменяем все "не-буквы" (кроме знака дефис "-") на пробел.
2) Заменяем сочитание " - " на пробел.
3) Удаляем в строке слева и справа все пробелы.
4) Заменяем все двойные пробелы на одиночные (пока такие встречаются).
5) Выполняем команду разбиения предложения на слова по пробелам Arr=Split(St) в масив (Variant-переменную).

Этот код демонстрирует подсчет количества указанного пользователем слова в заранее заданном предложении.
Алгоритм завершается:
5) обратной заменой всех одиночных пробелов на двойные;
6) вставкой слева и справа строки одиночного пробела
- с целью быстрого подсчета кол-ва слов командой Replace с маской " слово "

Код VB с поддержкой украинского алфавита:

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Option Explicit
 
Sub Words_Count()
Dim L As String * 1, St$, What$, i%
St = InputBox("Введите предложение:", , "Привет! Чмок! Приветики! Чмок! Приветики! Чмок! Поки-Поки! Поки!")
What = InputBox("Введите слово для поиска: ")
For i = 1 To Len(St)
    L = Mid$(St, i, 1)
    If L Like "[!A-Za-zА-яҐЁЄЇіґёєї'‘’-]" Then Mid$(St, i, 1) = " "
Next
St = Replace$(St, " - ", " ")
St = Trim(St)
Do
    i = Len(St)
    St = Replace$(St, "  ", " ")
Loop Until i = Len(St)
St = Replace$(St, " ", "  ")
St = " " + St + " "
MsgBox "В указанном тексте слово """ + What + """ встречается " & _
    (Len(St) - Len(Replace$(LCase$(St), " " + LCase$(What) + " ", ""))) / (Len(What) + 2) & " раз(а)."
End Sub

Танцы с дефисом предназначены как ни странно для случаев, когда слово пишется через дефис и считается как единое целое.
Единственное, что может не сработать: ошибка в исходном предложении, когда дефис ("-") написан слитно с началом или концом слова (я намеренно не усложнял код).

P.S. Практическая польза также может состоять в возможности сравнения данных, в которых предполагается наличие ошибок (например:

разный регистр букв;
лишние знаки (пробелы, точки и пр.)

Как я ищу нужную мне тему на форуме

Dragokas — Mon, 09 Jul 2012 18:10:09 GMT

Вариант 1
- открываем поиск на форуме (самая верхняя синяя полоса), нажимаем "Поиск", далее "Расширенный поиск" - это 2-й пункт), далее "Ключевое слово" - 1, 2 или три слова (пробуйте несколько раз в разных падежах и синонимах), далее "Поиск в разделах", листаем и выбираем, например VBA, нажимаем "Начать поиск" (если знаете никнейм автора - можете также указать его в отдельном окне).
(кроме того, по моей просьбе окошко с разделами теперь стало шире, т.о. увеличилась "юзабельность"). Спасибо нашему администратору mik-a-el
Альтернатива: Заходим в нужный раздел на форуме, 2-я (сверху) синяя полоса, нажимаем "Поиск в разделе", вводим искомую фразу или словосочитание.

Вариант 2
- Открываем в браузере Google.com и пишем:
[Раздел] [Ключевые слова] site:cyberforum.ru
например: VBA проверить существование папки site:cyberforum.ru

Вариант 3
- В каждом разделе есть прикрепленные темы (выделены жирным и всегда наверху) - я иногда их сам не читаю, а ведь там бывают образцы кода, которые именно сейчас позарез нужны.
И действительно, открываю - бери и пользуйся (за тебя все написано).

Вариант 4
- Воспользоваться оглавлением справочника (практикума) любой свободной электронной книги по нужному языку программирования (список рекомендованных часто прикреплен, как "Важная" тема в самом верху соответствующего раздела форума).

Вариант "Ы"
- Вариант "ы" для MS Excel, Word... (запись макроса)
Сервис -> Макрос -> Начать запись, выполнить требуемые от макроса действия -> Stop запись -> левый Alt+F11 -> Смотрим готовый код.

Вариант Ziro
- Использовать сторонние скрипто-само-записывающие программы, например,
для инструментария WMI под Visual Basic, Pyton, Perl, JScript от Microsoft

есть готовые решения:

Раз Scriptomatic 2.0
Два WMI Code Creator v1.0
Выбираете ветвь и код генерится сам. Нажимаете Run, получаете описания всех свойств устройств прямо в браузере.

На всякий случай дерево классов, с описанием всех значений: WMI Win32 Classes

Для имитации клавиатурных нажатий и кликов мышью - бесплатная отечественная Ghost Automizer, после записи которой Вы можете подредактировать координаты путем редактирования сгенерированного кода.
Тоже самое можно сделать на языке AutoIT с помощью ScriptWriter-а.

Прочие инструкции:
Как загрузить вложение на форум.

Стать владельцем папки/файла (One-Click)

Dragokas — Thu, 22 Mar 2012 18:31:25 GMT

Добавляет в контекстное меню Windows пункт "Сбросить права ACL".
P.S. Используются только стандартные программы Windows из набора Resourse kit.

Установка:
Распаковать.
Запустить Setup.bat

Использование:
Правый клик по нужному файлу/папке, выбрать "Сбросить права ACL".

Предназначение:
Назначает Вас владельцем указанной папки (файла).
"Сбрасывает" его/ее ACL-таблицу.

Показания к применению:
При попытке файловой операции над файлом/папкой появляется сообщение "У Вас недостаточно прав для выполнения данной операции". Бывает, когда копируете данные с другого компьютера.
Прим.: данное средство не позволяет переназначить права, если требуемый файл находится вне целевого компьютера (в локальной сети).

Удаление
Запустить delete.bat

Nizaury Reg-Key Листинг:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT\*\shell\runas]
@="Стать владельцем и задать полный доступ к объекту"
"NoWorkingDirectory"=""
 
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant администраторы:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant администраторы:F"
 
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="Стать владельцем и задать полный доступ к объекту"
"NoWorkingDirectory"=""
 
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant администраторы:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant администраторы:F /t"

Вложения

	ResetACL.zip (61.2 Кб, 1358 просмотров)
	Full_access_by_Nizaury_Regfile.zip (403 байт, 1224 просмотров)

CMD убирает фейковые ярлыки папок USB Flash и создает защитный Autorun.inf

Dragokas — Thu, 22 Mar 2012 17:41:34 GMT

Актуальная версия теперь в теме: https://www.cyberforum.ru/cmd-... 99180.html

Обновлено до v.1.4.1 (10.08.12)

Использование:
Скопировать в корень съемного диска (USB Flash Drive).
Запустить.

Показания к применению:
Ваша флешка побывала на компьютере с вирусом, скрывающим папки, а вместо них - теперь ярлыки.
Вы хотите, чтобы на флешке нельзя было создать autorun.inf, который дает команду на запуск паразитов.

Функционал:
1. Удаление файлов с расширением *.lnk (ярлыки), соответствующих именам папок.
2. Снятие атрибутов с корневых папок (скрытый, системный).
3. Удаление модифицированных системных папок "recycled", "recycler", "System Volume Information".
4. Удаление файла автозапуска "autorun.inf".
5. Создание папки "autorun.inf", внутри которой находяться папки с системными именами.
6. Удаление всех файлов с расширением *.exe в папке %appdata%
7. Учитываются особенности работы с именами, где используются буквы украинского алфавита.
Upd. 1.3.
7. Поиск и удаление всех вирусных файлов host.exe
8. Снятие атрибутов только у папок/файлов, которые имеют +Hidden, +System без повторов (а не всех подряд как было раньше).
Upd 1.4
Удаление только ярлыков, которые имеют соответствующие имена папок.
Установка владельцем.
Назначение прав администратора.
Проверка на существование защитной папки перед ее созданием.
Зануление всех сообщений об операциях в т.ч. предупреждений об ошибках.
Удаление дополнительных вирусных файлов (System, Game.cpl) в режиме подтверждения.
Цветовая индикация части этапов работы.
Отменено ожидание ввода пользователем.
Проверка атрибутов папок только по параметру "Скрытый".
Upd 1.4.1 (только UA-версия)
Сам не знаю :)

FAQ:
Как удалить созданную программой папку Autorun.inf
- Отформатировать флешку:)

Программа работает слишком долго:
- Вероятно много папок/файлов или за Вами очень внимательно следит антивирус :)

Зачем удалять программы в корне папки %appdata% ?
- Некоторые вирусы, скрывающие папки, хранят свое тело в папке %appdata%
Другие User или системные программы в корне этой папки не хранятся.

Листинг исходного кода:

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
@echo off
title Anti Hidden Fast - Видалення наслiдкiв вiрусної дiяльностi ver.1.4.1
color 1a
echo                                        Maded by Alex Drago.kas -=2012=-
echo   Anti Hidden Fast v.1.4.1                     -= Зроблено в Українi :)
echo.
echo   Етап 1. Вiдновлення властивостей корневих папок.
echo.
echo   Будуть встановленi такi параметри:
echo   - не "Прихований"
echo   - не "Системний"
echo   + стати власником
echo   + надати повнi права
echo.
echo   Для прискорення операцiї можна тимчасово вимкнути антивiрусне ПЗ.
chcp 1251>nul
for /f "delims=" %%i in ('dir /b /a:d') do (
for /f "delims={;}" %%s in ('attrib "%%i"') do (call :oper "%%s" "%%i")
)
chcp 866>nul
echo.
echo   Етап 2. Видалення зайвих ярликiв.
::специальный алгоритм поиска ярлыков
chcp 1251>nul
for /f "delims=" %%i in ('dir /b /a:d') do if exist %%i.lnk call :killfile %%i.lnk
chcp 866>nul
::echo.
echo   Етап 3. Блокування стороннiх активних процесiв та видалення їх джерела.
if exist %appdata%\*.exe (
for /f "delims=" %%i in ('dir %appdata%\*.exe /b /a') do taskkill /im "%%i" /t /f
call :killfile %appdata%\*.exe
)
::echo.
echo   Етап 4. Видалення файлу автозапуску.
if not exist autorun.inf\ if exist autorun.inf call :killfile autorun.inf
::echo.
echo   Етап 5. Видалення модифiкованих системних папок i чужорiдних файлiв.
for %%a in ("recycled" "recycler" "System Volume Information") do (
if exist %%a (takeown /f %%a /r /d y&echo y|cacls %%a /g %username%:f&attrib -s -h %%a&rd /s /q %%a)
) 1>nul 2>&1
for %%a in (game.cpl system) do (if exist %%a (
echo.
echo Знайдено пiдозрiлий файл - %%a. 
echo Для видалення натиснiть "Y" та кнопку {ENTER}
(takeown /f %%a&echo y|cacls %%a /g %username%:f) 1>nul 2>&1
del /f /p /A %%a
))
echo.
color 1b
::echo   Етап 5.1. Пошук i видалення файлiв host.exe. Будь ласка, чекайте...
tasklist |1>nul 2>&1 FindStr /B /L /I /C:host.exe&&taskkill /im "host.exe" /t /f
(for /f "tokens=*" %%a in ('Dir /b /s /a:-d host.exe') Do (
attrib -s -h "%%a" 1>nul 2>&1
del /f /q "%%a" 1>nul 2>&1
)) 2>nul
::echo.
::echo Операцiю завершено.
::echo.
::echo   Натиснiсть будь-яку клавiшу, щоб створити захисну папку проти автозапуску
::echo   або хрестик, щоб закрити вiкно.
::pause >nul
::echo.
color 1a
echo   Етап 6. Створення захисного файлу автозапуску, що не видаляється
echo           штатними засобами.
if not exist autorun.inf\ mkdir autorun.inf 1>nul 2>&1
if not exist autorun.inf\Dragokas..\ mkdir autorun.inf\Dragokas..\ 1>nul 2>&1
if not exist autorun.inf\com1\ mkdir "\\?\%~d0\autorun.inf\com1" 1>nul 2>&1
if not exist autorun.inf\defence (
mkdir autorun.inf\defence 1>nul 2>&1
echo y|1>nul 2>&1 cacls autorun.inf\defence /d Все
echo y|1>nul 2>&1 cacls autorun.inf\defence /d All
)
echo.
echo Процедуру проведено. Програму буде закрито.
ping -n 3 localhost 1>nul 2>&1
color 07
goto :eof
 
:oper
echo %1|>nul FindStr /BIR ".....H."&&attrib -s -h %2 1>nul 2>&1
echo %1|>nul FindStr /BIR ".....H."&&(
takeown /f %2 /r /d y 1>nul 2>&1
echo y|>nul cacls %2 /g %username%:f
attrib -s -h %2 1>nul 2>&1
)
exit /b
::&&exit /b
::echo %1|>nul FindStr /BIR "....S.."&&attrib -s -h %2
::exit /b
 
:killfile
(attrib -s -h %1
del /F /Q %1||(takeown /f %1&echo y|cacls %1 /g %username%:f&&del /F /Q /A %1)
) 1>nul 2>&1
exit /b

Add. Из уважения к участникам, которые не понимают украинского языка, выкладываю скрипт с переводом на русский.

Листинг (с переводом).

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
@echo off
title Anti Hidden Fast - Удаление следов вирусной деятельности ver.1.4
color 1a
echo                                        Maded by Alex Drago.kas -=2012=-
echo   Anti Hidden Fast v.1.4                       -= Сделано в Украине :)
echo.
echo   Этап 1. Возобновление свойств корневых папок.
echo.
echo   Будут установлены такие параметры:
echo   - не "Скрытый"
echo   - не "Системный"
echo   + стать собственником
echo   + предоставить полные права
echo.
echo   Для ускорения операции можно временно отключить антивирусное ПО.
chcp 1251>nul
for /f "delims=" %%i in ('dir /b /a:d') do (
for /f "delims={;}" %%s in ('attrib "%%i"') do (call :oper "%%s" "%%i")
)
chcp 866>nul
echo.
echo   Этап 2. Удаление лишних ярлыков.
::специальный алгоритм поиска ярлыков
chcp 1251>nul
for /f "delims=" %%i in ('dir /b /a:d') do if exist %%i.lnk call :killfile %%i.lnk
chcp 866>nul
::echo.
echo   Этап 3. Блокирование сторонних активных процессов и удаление их источника.
if exist %appdata%\*.exe (
for /f "delims=" %%i in ('dir %appdata%\*.exe /b /a') do taskkill /im "%%i" /t /f
call :killfile %appdata%\*.exe
)
::echo.
echo   Этап 4. Удаление файла автозапуска.
if not exist autorun.inf\ if exist autorun.inf call :killfile autorun.inf
::echo.
echo   Этап 5. Удаление модифицированных системных папок и инородных файлов.
for %%a in ("recycled" "recycler" "System Volume Information") do (
if exist %%a (takeown /f %%a /r /d y&echo y|cacls %%a /g %username%:f&attrib -s -h %%a&rd /s /q %%a)
) 1>nul 2>&1
for %%a in (game.cpl system) do (if exist %%a (
echo.
echo Найдено подозрительный файл - %%a. 
echo Для удаления нажмите "Y" и кнопку {ENTER}
(takeown /f %%a&echo y|cacls %%a /g %username%:f&&attrib -s -h %%a) 1>nul 2>&1
del /f /p %%a
))
echo.
color 1b
::echo   Этап 5.1. Поиск и удаление файлов host.exe. Пожалуйста, подождите...
tasklist |1>nul 2>&1 FindStr /B /L /I /C:host.exe&&taskkill /im "host.exe" /t /f
(for /f "tokens=*" %%a in ('Dir /b /s /a:-d host.exe') Do (
attrib -s -h "%%a" 1>nul 2>&1
del /f /q "%%a" 1>nul 2>&1
)) 2>nul
::echo.
::echo Операция завершена.
::echo.
::echo   Нажмите любую клавишу, чтобы создать защитную папку против автозапуска
::echo   или крестик, чтобы закрыть окно.
::pause >nul
::echo.
color 1a
echo   Этап 6. Создание защитного файла автозапуска, который не удаляется
echo           штатными средствами.
if not exist autorun.inf\ mkdir autorun.inf 1>nul 2>&1
if not exist autorun.inf\defence..\ mkdir autorun.inf\defence..\ 1>nul 2>&1
if not exist autorun.inf\com1\ mkdir "\\?\%~d0\autorun.inf\com1" 1>nul 2>&1
if not exist autorun.inf\123 (
mkdir autorun.inf\123 1>nul 2>&1
echo y|1>nul 2>&1 cacls "123" /d Все
echo y|1>nul 2>&1 cacls "123" /d All
)
echo.
echo Процедура проведена. Программа будет закрыта.
ping -n 3 localhost 1>nul 2>&1
color 07
goto :eof
 
:oper
echo %1|>nul FindStr /BIR ".....H."&&attrib -s -h %2 1>nul 2>&1
echo %1|>nul FindStr /BIR ".....H."&&(
takeown /f %2 /r /d y 1>nul 2>&1
echo y|>nul cacls %2 /g %username%:f
attrib -s -h %2 1>nul 2>&1
)
exit /b
::&&exit /b
::echo %1|>nul FindStr /BIR "....S.."&&attrib -s -h %2
::exit /b
 
:killfile
(attrib -s -h %1
del /F /Q %1||(takeown /f %1&echo y|cacls %1 /g %username%:f&&attrib -s -h %1&&del /F /Q %1)
) 1>nul 2>&1

Ссылки по теме:
https://www.cyberforum.ru/security/thread238290.html

Вложения

	Anti_Hidden_fast.zip (1.5 Кб, 911 просмотров)
	Anti_Hidden_fast(rus).zip (1.6 Кб, 1075 просмотров)