{"id":805,"date":"2008-05-28T14:04:04","date_gmt":"2008-05-28T14:04:04","guid":{"rendered":"http:\/\/6teen.ru\/?p=699"},"modified":"2008-05-28T14:04:04","modified_gmt":"2008-05-28T14:04:04","slug":"10517","status":"publish","type":"post","link":"http:\/\/pblog.ru\/lab\/?p=805","title":{"rendered":"\u0421\u043a\u0440\u044b\u0442\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043f\u043e\u0434 NT\/2K\/XP"},"content":{"rendered":"<p>\u0421\u043a\u0440\u044b\u0442\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043f\u043e\u0434 NT\/2K\/XP<br \/>\n<!--more--><\/p>\n<pre class=\"alt2\" style=\"margin:0px; padding:6px; border:1px inset; width:580px; height:320px; overflow:auto\"><div>\u0421\u043a\u0440\u044b\u0442\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043f\u043e\u0434 NT\/2K\/XP\n\n\u0412 \u043d\u0430\u0448\u0435\u043c \u0440\u0443\u043d\u0435\u0442\u0435 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0441\u0442\u0430\u0442\u044c\u0438 \u043f\u043e \u0441\u043a\u0440\u044b\u0442\u0438\u044e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u043e\u043d\u0438 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043c\u0435\u0442\u043e\u0434\u0438\u043a\u0438 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u0435\u043d\u0438\u044f \u044d\u0442\u043e\u0433\u043e. \u0421\u0440\u0435\u0434\u0438 \u043d\u0438\u0445 \u0435\u0441\u0442\u044c \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a: \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435 \u0441\u0432\u043e\u0435\u0433\u043e \u043a\u043e\u0434\u0430 \u0432 \u0447\u0443\u0436\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0432 \u0447\u0430\u0441\u044b explorer'\u0430; \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0445\u0443\u043a\u043e\u0432 \u043d\u0430 \u0430\u043f\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438 \u043d\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044e ntquerysysteminformation, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0433\u043b\u0430\u0432\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0435\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u044e\u0449\u0438\u0445 \u0441\u043f\u0438\u0441\u043e\u043a \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432(task manager), \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u0430 \u0438 \u0442.\u0434.\n\n\u0412 \u043c\u043e\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044f \u0440\u0435\u0448\u0438\u043b \u044d\u0442\u0443 \u0437\u0430\u0434\u0430\u0447\u0443 \u0434\u0440\u0443\u0433\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c. \u0414\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043d\u0443\u0436\u043d\u043e\u0433\u043e \u043c\u043d\u0435 \u043a\u043e\u0434\u0430 \u0432\u0435\u0434\u044c \u0441\u043e\u0432\u0441\u0435\u043c \u043d\u0435 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b, \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c dll \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 :)\n\n\u0418\u0442\u0430\u043a, \u043f\u043e\u0441\u043b\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f dll'\u043a\u0438 \u043d\u0443\u0436\u043d\u043e \u0435\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c :) \u0422\u0443\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043c\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u043e\u0432, \u044f \u043e\u043f\u0438\u0448\u0443 3 \u0438\u0437 \u043d\u0438\u0445:\n\n1. \u0441\u0430\u043c\u043e\u0435 \u043f\u0440\u043e\u0441\u0442\u043e\u0435 \u0447\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c - \u044d\u0442\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c: rundll32.exe dllname,functionname\n\n2. \u043f\u0440\u0438\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u0435 \u043a winlogon.exe - \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0438 \u043f\u0440\u043e\u0434\u0432\u0438\u043d\u0443\u0442\u044b\u0439 \u0441\u043f\u043e\u0441\u043e\u0431. \u0412\u0441\u0435 \u0447\u0442\u043e \u043d\u0443\u0436\u043d\u043e \u044d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c dll \u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e \u0435\u0435 \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u0442\u044c. \u0412 \u043a\u043b\u044e\u0447\u0435 \"hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogonnotify\" \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u043f\u043e\u0434\u043a\u043b\u044e\u0447 \u0441 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u043c \u0438\u043c\u0435\u043d\u0435\u043c, \u0432 \u043d\u0435\u043c \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f:\n\n\"asynchronous\"=dword:00000001\n\"dllname\"=\"\u043f\u0443\u0442\u044c_\u043a_\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435\"\n\"logon\"=\"\u0438\u043c\u044f_\u0444\u0443\u043d\u043a\u0446\u0438\u0438_\u043f\u0440\u0438_logon'\u0435\"\n\"impersonate\"=dword:00000000\n\n\u0412 dll'\u043a\u0435 \u043a\u0430\u043a\u0443\u044e-\u043d\u0438\u0431\u0443\u0434\u044c \u0444\u0443\u043d\u043a\u0446\u0438\u044e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u043d\u0430 \u044d\u043a\u0441\u043f\u043e\u0440\u0442:\n\nexports some_func;\n\n3. \u043f\u0440\u0438\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u0435 \u043a explorer.exe - \u043b\u0443\u0447\u0448\u0438\u0439 \u0441\u043f\u043e\u0441\u043e\u0431. \u0427\u0435\u043c \u043e\u043d \u043b\u0443\u0447\u0448\u0435 \u0447\u0435\u043c 2\u0439, \u0430 \u0442\u0435\u043c \u0447\u0442\u043e winlogon \u0445\u043e\u0442\u044c \u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0441 \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u044f\u043c\u0438 system, \u043d\u043e \u043e\u043d \u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u0435\u043d, \u0442\u043e \u0435\u0441\u0442\u044c ftp server \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u043c\u043e\u0436\u043d\u043e, \u0430 \u0432\u043e\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043e\u043a\u043d\u0430\u043c \u0438\u043b\u0438 \u0437\u0430\u0434\u0430\u0447\u0430\u043c \u043d\u0435\u043b\u044c\u0437\u044f \u0438\u0437 \u0442\u0430\u043a\u043e\u0439 dll'\u043a\u0438, \u043d\u0435\u043b\u044c\u0437\u044f \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043f\u0440\u043e\u0441\u0442\u0435\u0439\u0448\u0438\u0439 messagebox. \u0410 \u0432\u043e\u0442 explorer \u0440\u0430\u0431\u043e\u0442\u0430\u044f \u0441 \u0443\u0440\u043e\u0432\u043d\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0437\u0430\u043b\u043e\u0433\u0438\u043d\u0435\u0432\u0448\u0435\u0433\u043e\u0441\u044f \u043c\u043e\u0436\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u043e\u043a\u043d\u0430\u043c\u0438 \u0438 \u0432 \u043e\u0431\u0449\u0435\u043c \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u0435\u043d. \u042d\u0442\u043e \u043b\u0443\u0447\u0448\u0438\u0439 \u0441\u043f\u043e\u0441\u043e\u0431 \u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f \u043e\u043d \u043f\u0440\u043e\u043f\u0438\u0441\u043a\u043e\u0439 \u0432 \u0440\u0435\u0435\u0441\u0442\u0440\u0435; \u0432 \u043a\u043b\u044e\u0447\u0435 \"hkey_local_machinesoftwaremicrosoftwindowscurrentversionshellserviceobjectdelayload\" \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0435 \u0441\u0442\u0440\u043e\u043a\u043e\u0432\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c clsid, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0441\u0441\u044b\u043b\u043a\u0443 \u043d\u0430 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443. \u0422\u043e \u0435\u0441\u0442\u044c \u043d\u0443\u0436\u043d\u043e \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0442\u044c clsid, \u043f\u043e\u0442\u043e\u043c \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0432 \u043a\u043b\u044e\u0447\u0435 \"hkey_classes_rootclsid\" \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043f\u043e\u0434\u043a\u043b\u044e\u0447 \u0441 \u044d\u0442\u0438\u043c \u0441\u0433\u0435\u043d\u0435\u0440\u0435\u043d\u043d\u044b\u043c, \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043f\u043e\u0434\u043a\u043b\u044e\u0447 \u0432 \u044d\u0442\u043e\u043c \u043a\u043b\u044e\u0447\u0435 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c \"inprocserver32\" \u0438 \u0432 \u043d\u0435\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u043f\u0443\u0442\u044c \u043a \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435.\n\n\u041a\u0430\u043a \u0441\u043e\u0437\u0434\u0430\u0442\u044c clsid? \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u0444\u0443\u043d\u043a\u0446\u0438\u0438 cocreateguid, stringfromclsid.\n\n\n\nfunction createclassid: string;\nvar\nclassid: tclsid;\np: pwidechar;\nbegin\ncocreateguid(classid);\nstringfromclsid(classid, p);\nresult := p;\ncotaskmemfree(p);\nend;\n\n\n\n\u041d\u0443 \u0438 \u043f\u043e\u044f\u0441\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u0440\u043e\u043f\u0438\u0441\u044b\u0432\u0430\u043d\u0438\u044f:\n\n\n\nprocedure add2reg;\nvar\nreg:tregistry;\nclsid:string;\nbegin\nreg:=tregistry.create;\ntry\nreg.rootkey:=hkey_local_machine;\nreg.openkey('softwaremicrosoftwindowscurrentversionshellserviceobjectdelayload', true);\nclsid:=createclassid;\nreg.writestring('\u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0435_\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435',clsid);\nreg.closekey;\nreg.rootkey:=hkey_classes_root;\nreg.openkey ('clsid'+clsid+'inprocserver32', true);\nreg.writestring('','some_dll.dll');\nreg.closekey;\nfinally\nreg.free;\nend;\nend;\n\n\u041d\u0435 \u043b\u044e\u0431\u0430\u044f \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 \u043f\u043e\u0434\u043e\u0439\u0434\u0435\u0442 \u0434\u043b\u044f \u0442\u0430\u043a\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f. \u041f\u0440\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435 \u0442\u0430\u043a\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 \u043e\u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0438 \u0443\u0436\u0435 \u043d\u0435 \u043e\u0442\u0434\u0430\u0435\u0442. \u041f\u0443\u0442\u0435\u043c \u043f\u0440\u043e\u0431 \u0438 \u043e\u0448\u0438\u0431\u043e\u043a \u044f \u0432\u044b\u044f\u0441\u043d\u0438\u043b \u0447\u0442\u043e \u043f\u0440\u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u0441\u043c\u0435\u0448\u043d\u043e\u043c \u043a\u043e\u0434\u0435 \u0432\u0441\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442:\n\nlibrary lib1;\n\nuses\nforms,\nwindows,\nunit1 in 'unit1.pas';\n\nbegin\napplication.initialize;\napplication.createform(tform1, form1);\nhalt;\napplication.run;\nend.\n\n\n\u0420\u0430\u0431\u043e\u0442\u0430 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0438, \u0442\u043e \u0435\u0441\u0442\u044c \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0435 oncreate.\n\n\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0432 \u0437\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u0445\u043e\u0442\u0435\u043b \u0431\u044b \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u0447\u0442\u043e \u043f\u043e\u0442\u043e\u043a \u043a\u043e\u043d\u0435\u0447\u043d\u043e \u0437\u0430\u043c\u0435\u0442\u0438\u043c \u0438 \u043b\u0435\u0432\u0443\u044e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 \u0437\u0430\u043c\u0435\u0442\u0438\u043c, \u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u043d\u043e\u0432\u044b\u0445.\n\u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a:\nhttp:\/\/www.verf.ru\/delphi\/\n<\/div><\/pre>\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0421\u043a\u0440\u044b\u0442\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043f\u043e\u0434 NT\/2K\/XP<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[448,453],"tags":[1163,942,1731],"_links":{"self":[{"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=\/wp\/v2\/posts\/805"}],"collection":[{"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=805"}],"version-history":[{"count":0,"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=\/wp\/v2\/posts\/805\/revisions"}],"wp:attachment":[{"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=805"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/pblog.ru\/lab\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}