Программа для защиты от WinLock`ов - Anti WinLock 3.0

@~~asen~~ · 13.09.2011, 15:20. **Показов** 9538. **Ответов** 30

Author24 — интернет-сервис помощи студентам

Представляю вам программу, которая защитит ваш компьютер от злобных винлокеров - Anti WinLock.
Программа была спроектированна в системе Delphi 7. Тестировалась на Win 7/Xp/Vista.
Все работает нормально, без каких-либо багов.

Надеюсь, всем вам известно, что чаще всего винлокер начинает работать после перезагрузки системы. Принцип работы Anti WinLock`а заключается в том, что каждые пять секунд сканируется автозагрузка на появление в ней новых элементов. Если они обнаруженны, то они удаляются( а вдруг winlock!? ).То есть winlock умрет, так и не дождавшисья своего выступления!

Но даже если он уже запустился, то после перезагрузки он все равно умрет!

Anti Winlock работает в фоне.

@anonimus · 13.09.2011, 15:26

Сообщение от asen

пять секунд сканируется автозагрузк

какие места?
просто далеко не все вирусы (в том числе винлокеры) прописываются в автозагрузку по стандартному пути

@Ciberst · 13.09.2011, 15:29

А за модификациями системных файлов тоже следит? А то есть такие винлоки, которые делают подмену системных файлов.

@~~asen~~ · 13.09.2011, 17:12 **[ТС]**

Программа рыскает по HKLM и HKCU ключам автозагрузки)

Ведь вся опасность типичных WinLock`ов заключается в том, что он сидит в автозагрузке.
А Anti WinLock не разрешает программам туда прописываться...

Чтобы прописать в автозагрузку новый ключ, надо сперва выключить защиту, впрочем
это написано в инструкции, прилагаемой к программе.

@anonimus · 13.09.2011, 17:17

Программа рыскает по HKLM и HKCU ключам автозагрузки)

а точнее?
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

это далеко не все способы автозапуска.

@Ciberst · 13.09.2011, 17:18

Сообщение от asen

Ведь вся опасность типичных WinLock`ов заключается в том, что он сидит в автозагрузке. А Anti WinLock не разрешает программам туда прописываться...

устаревшая информация. сейчас более новые методы у WinLock.

magirus · 13.09.2011, 17:18

а еще появились бутовые винлоки не так давно, то есть окно его выскакивает ДО загрузки ОС.

@~~asen~~ · 13.09.2011, 17:36 **[ТС]**

Да, согласен, но таких умных винлоков и винлоко-писателей очень мало!
Саааамый распространенный WinLock - это стандартное окошко размеров(600х600)
с какими-нибудь некрасивыми картинками ,БЛОКИРУЮЩЕЕ мышь и клаву и иногда
безопасный режим.

@anonimus · 13.09.2011, 17:39

asen, ты так и не ответил в каких ветках реестра производится поиск?

@Ciberst · 13.09.2011, 17:41

asen, лучше бы не мониторинг реестра каждые 5 секунд, а блокировщик на изменения winlogon'а, например как у Антивируса Касперского, насколько мне извесно там используются недокументированные возможности API , скорее всего Native API, или обычные хуки на реестр, я точно не знаю.

@~~asen~~ · 13.09.2011, 17:44 **[ТС]**

Anonimus, Поиск производится, совершенно верно вы написали, в

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ветках реестра Windows.

Evg · 13.09.2011, 17:48

Сообщение от asen

что каждые пять секунд сканируется автозагрузка на появление в ней новых элементов

В итоге твоя нанопрограмма будет блокировать автозагрузку нормальных приложений. В итоге пользователь вместо борьбы с винлоком будет бороться с твоей программой. А программы, работающие по такому же принципу, уже есть (WinPatrol, например), и они куда более продвинутые, чем тупое сканирование двух веток реестра. Ради интереса запусти да посмотри, как они работают.

@~~asen~~ · 13.09.2011, 17:51 **[ТС]**

Спасибо, я знаком с Native APi, но не владею ими, хотя с виндосовскими API общаюсь на "ты"

Добавлено через 3 минуты
А какой же метод борьбы предложите вы? Моя программа не блокирует запуск программ из автозагрузки,
а сканирует её на появление новых элементов. Я опять повторюсь, что в документации написано, что
перед установкой, надо вырубать защиту.

@anonimus · 13.09.2011, 18:04

Сообщение от asen

Anonimus, Поиск производится, совершенно верно вы написали, в

ветках реестра Windows.

ну тогда толк от твоей программы я извиняюсь, как от козла молока.
Человек который пишет винлокер, естественно заинтересован в том что бы его программу трудно было удалить, он на нем деньги зарабатывает.

Добавлено через 1 минуту
можно приписать что бы винлокер запускался вместо explorer или вместо userinit

Evg · 13.09.2011, 18:42

Сообщение от asen

А какой же метод борьбы предложите вы?

Я тебе уже предложил. Потрудись установить WinPatrol и посмотри, как лаконично они обошли эту ситуацию

Сообщение от asen

Я опять повторюсь, что в документации написано, что
перед установкой, надо вырубать защиту

А кому нужна такая защита, которую нужно отрубать при установке программы, если основная масса вирусов просачивается именно в процессе установки программ?

@~~asen~~ · 13.09.2011, 23:50 **[ТС]**

Тут ты уже сам соображать должен- если диск пиратский, то не вырубай)))

@t1m0n · 14.09.2011, 01:01

Не по теме:

программа которая сканирует 2 ветки реестра и весит 1 мегабайт :wall:

Evg · 14.09.2011, 08:31

Сообщение от asen

Тут ты уже сам соображать должен- если диск пиратский, то не вырубай)))

Значит программа с этого диска не будет должным образам функционировать. Потому что твоя нанопрограмма прибьёт автозапуск нормальной программы.

В нормальном состоянии программа должна подстраиваться под удобство пользователя. А в твоём случае пользователь должен подстраиваться под капризы и недоделки программы. У такой программы нет будущего (проверено годами). Не говоря уж о том, что твоя программа практически не приносит пользы (но это отдельный разговор)

@Андрей Борисови · 14.09.2011, 08:46

Использую Comodo файервол. Бесплатен. Автообновляем и делает все, что и ваша программа, + еще 3 вагона.
Как желание "попробоать/научиться" ваша программа хороша. Весит правда много

@anonimus · 14.09.2011, 10:09

в принципе до ума можно довести эту прогу, если она будет сканировать больше мест для автозапуска и при обнаружении новой записи в правом нижнем углу сообщать пользователю, такая-то программа добавилась, удалить?

@~~asen~~ Заблокирован
	13.09.2011, 23:50 [ТС]	16
	Тут ты уже сам соображать должен- если диск пиратский, то не вырубай))) 0

@Андрей Борисови 714 / 402 / 33 Регистрация: 04.10.2009 Сообщений: 1,686
	14.09.2011, 08:46	19
	Использую Comodo файервол. Бесплатен. Автообновляем и делает все, что и ваша программа, + еще 3 вагона. Как желание "попробоать/научиться" ваша программа хороша. Весит правда много 0

@anonimus 2184 / 1254 / 143 Регистрация: 28.04.2010 Сообщений: 4,592
	13.09.2011, 15:26	2
	Сообщение от asen пять секунд сканируется автозагрузк какие места? просто далеко не все вирусы (в том числе винлокеры) прописываются в автозагрузку по стандартному пути 0

@Ciberst 559 / 436 / 21 Регистрация: 16.12.2010 Сообщений: 953
	13.09.2011, 15:29	3
	А за модификациями системных файлов тоже следит? А то есть такие винлоки, которые делают подмену системных файлов. 1

@~~asen~~ Заблокирован
	13.09.2011, 17:12 [ТС]	4
	Программа рыскает по HKLM и HKCU ключам автозагрузки) Ведь вся опасность типичных WinLock`ов заключается в том, что он сидит в автозагрузке. А Anti WinLock не разрешает программам туда прописываться... Чтобы прописать в автозагрузку новый ключ, надо сперва выключить защиту, впрочем это написано в инструкции, прилагаемой к программе. 0

@anonimus 2184 / 1254 / 143 Регистрация: 28.04.2010 Сообщений: 4,592
	13.09.2011, 17:17	5
	Программа рыскает по HKLM и HKCU ключам автозагрузки) а точнее? HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run это далеко не все способы автозапуска. 1

@Ciberst 559 / 436 / 21 Регистрация: 16.12.2010 Сообщений: 953
	13.09.2011, 17:18	6
	Сообщение от asen Ведь вся опасность типичных WinLock`ов заключается в том, что он сидит в автозагрузке. А Anti WinLock не разрешает программам туда прописываться... устаревшая информация. сейчас более новые методы у WinLock. 0

magirus Почетный модератор 28046 / 15779 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	13.09.2011, 17:18	7
	а еще появились бутовые винлоки не так давно, то есть окно его выскакивает ДО загрузки ОС. 1

@~~asen~~ Заблокирован
	13.09.2011, 17:36 [ТС]	8
	Да, согласен, но таких умных винлоков и винлоко-писателей очень мало! Саааамый распространенный WinLock - это стандартное окошко размеров(600х600) с какими-нибудь некрасивыми картинками ,БЛОКИРУЮЩЕЕ мышь и клаву и иногда безопасный режим. 0

@anonimus 2184 / 1254 / 143 Регистрация: 28.04.2010 Сообщений: 4,592
	13.09.2011, 17:39	9
	asen, ты так и не ответил в каких ветках реестра производится поиск? 0

@Ciberst 559 / 436 / 21 Регистрация: 16.12.2010 Сообщений: 953
	13.09.2011, 17:41	10
	asen, лучше бы не мониторинг реестра каждые 5 секунд, а блокировщик на изменения winlogon'а, например как у Антивируса Касперского, насколько мне извесно там используются недокументированные возможности API , скорее всего Native API, или обычные хуки на реестр, я точно не знаю. 1

@~~asen~~ Заблокирован
	13.09.2011, 17:44 [ТС]	11
	Anonimus, Поиск производится, совершенно верно вы написали, в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ветках реестра Windows. 0

	14.09.2011, 10:09

Evg 21280 / 8304 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	13.09.2011, 17:48	12
	Сообщение от asen что каждые пять секунд сканируется автозагрузка на появление в ней новых элементов В итоге твоя нанопрограмма будет блокировать автозагрузку нормальных приложений. В итоге пользователь вместо борьбы с винлоком будет бороться с твоей программой. А программы, работающие по такому же принципу, уже есть (WinPatrol, например), и они куда более продвинутые, чем тупое сканирование двух веток реестра. Ради интереса запусти да посмотри, как они работают. 0

@~~asen~~ Заблокирован
	13.09.2011, 17:51 [ТС]	13
	Спасибо, я знаком с Native APi, но не владею ими, хотя с виндосовскими API общаюсь на "ты" Добавлено через 3 минуты А какой же метод борьбы предложите вы? Моя программа не блокирует запуск программ из автозагрузки, а сканирует её на появление новых элементов. Я опять повторюсь, что в документации написано, что перед установкой, надо вырубать защиту. 0

@anonimus 2184 / 1254 / 143 Регистрация: 28.04.2010 Сообщений: 4,592
	13.09.2011, 18:04	14
	Сообщение от asen Anonimus, Поиск производится, совершенно верно вы написали, в ветках реестра Windows. ну тогда толк от твоей программы я извиняюсь, как от козла молока. Человек который пишет винлокер, естественно заинтересован в том что бы его программу трудно было удалить, он на нем деньги зарабатывает. Добавлено через 1 минуту можно приписать что бы винлокер запускался вместо explorer или вместо userinit 1

Evg 21280 / 8304 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	13.09.2011, 18:42	15
	Сообщение от asen А какой же метод борьбы предложите вы? Я тебе уже предложил. Потрудись установить WinPatrol и посмотри, как лаконично они обошли эту ситуацию Сообщение от asen Я опять повторюсь, что в документации написано, что перед установкой, надо вырубать защиту А кому нужна такая защита, которую нужно отрубать при установке программы, если основная масса вирусов просачивается именно в процессе установки программ? 1

@t1m0n
	14.09.2011, 01:01 #17
	Не по теме: программа которая сканирует 2 ветки реестра и весит 1 мегабайт :wall: 0

Evg 21280 / 8304 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	14.09.2011, 08:31	18
	Сообщение от asen Тут ты уже сам соображать должен- если диск пиратский, то не вырубай))) Значит программа с этого диска не будет должным образам функционировать. Потому что твоя нанопрограмма прибьёт автозапуск нормальной программы. В нормальном состоянии программа должна подстраиваться под удобство пользователя. А в твоём случае пользователь должен подстраиваться под капризы и недоделки программы. У такой программы нет будущего (проверено годами). Не говоря уж о том, что твоя программа практически не приносит пользы (но это отдельный разговор) 0