Alerta en ejecucion de programas

[dec]

Hola,

¡Palo! ¡Palo! ¡Palo! Hasta que aprendan. Jo, jo, jo, jo.

[[seoane]]

Cita:

Empezado por dec

¡Palo! ¡Palo! ¡Palo! Hasta que aprendan.

No sabes cuantas veces quise aplicar este método ... pero me quede con las ganas

[dec]

Hola,

Cita:

Empezado por seoane

No sabes cuantas veces quise aplicar este método ... pero me quede con las ganas

Nada, hombre, hay que realizarse en la vida. ¡Si es palo pues palo! Y no se hable más.

[knife_sj]

Bueno, la verdad mil gracias por todas las respuestas y por las ideas
creo que faltaron aclarar un par de detalles como el del SO.

ArdiIIa: Con respecto al SO, como tu instinto lo dijo, tengo todas las PCS trabajando con Windows XP x86 SP2. Incluso había pensado lo mismo que pusiste, crear una lista y compararla con la blacklist y ya tenia un código, pero, el punto radicaba en el tema de renombrar los ejecutables (si yo lo renombro y lo ejecuto mi programa no se va a enterar que es :P)

Seoane: [Con respecto a lo de la whitelist que propusiste vos] el CyberControl 4.0 tiene una opción para activar una whitelist pero el tema es que no quiero estorbar al cliente de buena fe, por ejemplo, si este cliente baja algún soft para copiar sus mp3 a su reproductor y desea instalarlo, nosotros, al tener deep freeze lo tenemos permitido ya que este no deja rastro al reinicio... pero, si yo activo esa restricción, no solo voy a prevenir los "hackers" sino que también voy a molestar a los clientes.

Federico: el tema de restringir que se corran aplicaciones por el registro no es una vulnerabilidad para mi, ya que el CyberControl también tiene la opción de bloquear el regedit.exe, también bloquea el Administrador de Tareas, pero lo que yo quiero es saber exactamente QUIEN es esta persona, cosa de tomar una pequeña represalia y de paso hace una selección de los clientes, cosa de correr a los pibes que tiene 16 años y se creen hackers

en cuanto a lo de inyectar código lo veo medio jodido a eso para mi... pero lo del hash es una excelente idea!!

Puedo hacer:

1). Examino la lista de procesos.
2). Extraigo los nombre de los ejecutables y sus paths.
3). Calculo el MD5 y lo comparo con la blacklist.
4). Si se encuentra algún hash de los de la blacklist mando un comando de "alerta" al servidor y en el servidor reproduzco un sonido de alarma que se escuche en todo el cyber (total el Server tiene conectado el equipo de música) :]


Muchachos díganme si mi esquema para la aplicación quedo bueno o malo

Cita:

Empezado por dec

¿Hablamos de un "cíber"? Entonces, ¡palo! Al que se le ocurra instalar un programa se le ofrece la vara de avellano en las espaldas.

el tema aquí es que el cyber tiene 46 computadoras en 3 salas diferentes las cuales el operador no vigila (por mas que yo lo exija, nunca le dan bola a que esta haciendo cada cliente)..

Otra cosa mas, existe una aplicación de Windows que se llama taskkill, casi nadie conoce esta utilidad pero, el que la conoce puede deshabilitar con facilidad mi programa... hay alguna forma de hacer que no se pueda terminar mi programa? tuve un virus una vez que no podía detenerse desde el administrador de tareas, es esto posible?

Mil Gracias

[[ArdiIIa]]

Cita:

Empezado por knife_sj

Puedo hacer:

1). Examino la lista de procesos.
2). Extraigo los nombre de los ejecutables y sus paths.
3). Calculo el MD5 y lo comparo con la blacklist.
4). Si se encuentra algún hash de los de la blacklist mando un comando de "alerta" al servidor y en el servidor reproduzco un sonido de alarma que se escuche en todo el cyber (total el Server tiene conectado el equipo de música)
Mil Gracias

Fijate si ponemos tanta seguridad y el listo sale corriendo con el teclado...

Adicionalmente y como he leído atrás, también podrías controlar el tema de cambios o borrados de archivos monitorizando mediante ReadDirectoryChangesW

[[seoane]]

Yo lo que no entiendo es como vas a diferenciar los programas "buenos" de los "malos". Si como dices, esta permitido a cualquiera bajar y ejecutar programas, como sabrás cuando esta ejecutando un programa legitimo y cuando un keylogger, por ejemplo. No tiene mucho sentido tener una lista de de aplicaciones buenas y malas, cualquiera de las listas seria infinita.

La cosa esta clara, o permites o no permites que los usuarios ejecuten lo que quieran, aquí no hay soluciones intermedias. Incluso conociendo TODOS los ejecutables maliciosos, calculando su hash, y creando la lista negra, nada impediría a un aprendiz de hacker, comprimir el ejecutable con UPX, variando así su hash y volviéndolo indetectable.

[knife_sj]

seoane es muy sencilla la ecuacion... todo keylogger, virus, spyware (por le lado de la blacklist) o todo reproductor, cambio de hard, programa desinstalado, etc.. con el deep freeze se borra todo... pero, si el usuario con el fuck-deepfreeze desactiva el deep freeze obviamente todos estos programas que instale quedaran instalados hasta que yo note la anomalia

lo que quiero hacer es que este programa me sirva para detectar QUIEN es el que esta usando este soft para hacer daño, no me interesa si instala un keylogger, por que a mi no me afecta, a lo sumo robara un par de contraseñas o algo por el estilo

pero mi problema no seria que me instalen un keylogger o el VCN server como fue en este caso, mi problema es que el noob este desactive el deep freeze y le meta un virus a la maquina, en ese caso si me afectaria.. te explico por que?
es sencillo, cuando tenes 50 maquinas freezadas y entra un virus, desconectas las maquinas que no tenes freezadas (como ser los servidores de juegos y facturacion) y reinicias las demas
con esto borras el virus y adios problema.

pero si el virus esta instalado por debajo del deep freeze, por mas que reinicies las maquinas se te van a seguir contagiando, por eso quiero prevenir EXCLUSIVAMENTE el uso del fuck deep freeze, pero no solo quiero que no lo pueda usar, sino (les voy a ser sincero) reventarle la cara a trompadas al "vivo" este y evitar futuros problemas echandolo y prohibiendole el ingreso al cyber...

esa es basicamente la finalidad de este programa

edit / y bueno, si comprime el ejecutable con upx o algun sistema de encryptacion de ejecutable ya no tengo nada que hacer, por que en este caso ya no seria un pibe de 16 años dandose de hacker sino que seria alguien que sabe :S

[mamcx]

Aja, y pregunto pregunto...

Porque no usas un "CD Live" de Linux (o windows, tan bien se puede!) sacas el disco duro y compartes una unidad de red?

[knife_sj]

como se supone qeu voy a hacer un "live cd" para todas las maquinas?? si tengo maquinas que tienen mas de 50 juegos??

la imagen de las maquinas de juegos mas nuevas pesa 93.52 GB :S

no es mala la idea para las maquinas de internet en las cuales el uso de disco no es superior a un dvd... pero en las maquinas de juegos..................... es una idea alocada

"por favor, inserte el DVD #312 donde se encuentra "Internet Explorer" :P

Salu2

[mamcx]

Aaaaaa!

Con clientes asi nadie puede!

"Quiero una pagina para subir imagenes y mostrarlas"

Desarrollador: Ok. Muy facil

"Att. Flickr"

Ups!

[knife_sj]

Cita:

Empezado por mamcx

Aaaaaa!

Con clientes asi nadie puede!

"Quiero una pagina para subir imagenes y mostrarlas"

Desarrollador: Ok. Muy facil

"Att. Flickr"

Ups!

que?? no entendi

[[ArdiIIa]]

Cita:

Empezado por knife_sj

pero no solo quiero que no lo pueda usar, sino (les voy a ser sincero) reventarle la cara a trompadas al "vivo" este y evitar futuros problemas echandolo y prohibiendole el ingreso al cyber...

edit / y bueno, si comprime el ejecutable con upx o algun sistema de encryptacion de ejecutable ya no tengo nada que hacer, por que en este caso ya no seria un pibe de 16 años dandose de hacker sino que seria alguien que sabe :S

knife_sj, no se exactamente desde donde nos hablas, pero aquí en España, el primer punto sería un problemático para ti, y el segundo lo sería para el autor de la fechoría, dado que todas sus acciones están tipificadas como delito, aún así y todo.... buena caza...

[mamcx]

Cita:

Empezado por knife_sj

que?? no entendi

Que un "cibercafe" es muy distinto a un "lan party"!.

Pero en terminos generales, no puedes tener de todo sin quebrarte las pestañas. Es mejor la tranquilidad que la fuerza.

Crea un recurso compartido en red donde los usuarios puedan guardar sus cosas. Asi 1)Un solo lugar que chequear contra virus 2)Podras auditar de que maquinas sale todo 3) Podras monitoriar las descargas 4)Minimizas los riesgos

Luego, implemente un esquema MUUUY estricto y luego ve "liberando".

Mas importante, deja claro que la seguridad es en beneficio de los usuarios. Un sistema inseguro es un sistema inestable y asi nadie juega halo 2, ve....

[knife_sj]

bueno, despues de un rato largo de pruebas logre hacer que el programa funcione, estuve investigando el famoso fuck-deep freeze y no es muy dificil de detectar, ya que cuando lo ejecutas te crea una serie de archivos en la carpeta %temp% y desde ahi se ejecuta, es decir: el usuario no puede cambiar el nombre, de todas formas no creo que continue desarrollando este programejo por ahora, ya que salio la version nueva de deep freeze (6.10.220.1616) la cual no es soportada por ni fuck-deepfreeze, ni por deep unfreezer... por el momento es la solucion mas a mano que tengo (en este momento tengo mucho trabajo )


bueno amigos, muchas gracias por haberme ayudado

PD: si alguien se encuentra en la misma situacion solo avisen que yo les mando el codigo tal cual lo tengo ahora, esta muy basico, pero con un par de horitas de trabajo queda terminado. Salu2