Драстье всем !
Злые и нехорошие дядьки у нас решили на некоторые компы поставить некую программу,делающую скриншоты экрана и отсылающую к ним куда-то. Так сказать борьба буржуазии с пролетарской свободой :D
Прогу мы еще не видели, возможно скоро узнаем как называется и кто писал, возможно испробуем на тестовом компе.

Задача - запретить ей заниматься подобной гадостью. 1 решение - заблокировать другой прогой IP-адреса куда она может теоритически посылать данные (подсеть логова врагов, как минимум, известна)

2 вариант: Если знать, ложит-ли эта программа файлы скриншотов на винт в промежуточном варианте, то или тупо мочить в этой папке файлы, или таким же автоматическим образом пихать туда заранее подготовленные "правильные" скриншоты .

3 вариант (вот он меня че-то торкнул): Как-то в самой ОСи запретить делать скриншоты !
Как это возможно, пока представляю смутно. Скажем так: Можно неким образом пропатчить файлы ядра, дабы исключить АПИ-ф-ции, которые и вызываются системой и приложениями, для сотворения скриншотов ?????????????!
В принципе, если знать АПИ-шку, которая используется... можно ли как-то затереть в соответствующей системной ДЛЛ-ке ссылки на нее родимую ?

В общем вопрос, можно ли заюзать 3 вариант ? Как по мне, не видя проги (возможно мы ее не увидим и не попользуем в тестах), самый рабочий вариант !

Кто что посоветует ??!

Псевдо-моральный вопрос ("А как же вы так можете!") настоятельно прошу не рассматривать!
Это наши заботы.

Спасибо за внимание. Ждем рекомендаций. Можно писать куски кода на С++ .

Старый волкВадимиус, а не проще убить вирусяку шпиончатого из автозагрузки и не заниматься бредом?
если вы ничегошеньки не знаете о шпионе, то он может и не скриншотить вовсе экран.

касательно ваших IP, поставьте себе обыкновенную следилку ну скажем фаервол какой нить.
Та нууу... Совсем не думаю, что все так просто ! По рассказам коллег, кто-то из них ходил на те компы, где уже всунули бяку, и даже в процессах ничего подозрительного не обнаружил !
Думаю, если программа прописывается в автозагрузку - это полный шлак.
Скорее всего сделано не так.
На счет скриншотов - есть информация такая. Пока не могу ее ни опровергнуть, ни подтвердить. Скажем так, РАБОЧИЙ вариант...

Файер конечно поставим, но вопрос остается . Вопрос более, чем академический

Dimitry Sibiryakov
Старый волк
касательно ваших IP, поставьте себе обыкновенную следилку ну скажем
фаервол какой нить.

Или ещё проще - пусть выдернут шнур из сетевой карты.


Нет, это не вариант, хотя бы потому, что во-первых некрасиво, сложно (лезть под стол и дергать туда-сюда по многу раз !) Сеть и инет должны работать как ни в чем не бывало.
Ответ про фаер, мы конечно же тоже рассматриваем, но слишком у многих прийдется его ставить, обучать и тп.

Мой вопрос пока открыт. МОЖНО ЛИ запретить именно скриншотить ?
Все таки красиво и совершенно невычисляемо:
"- а че программа наша не работает и скриншоты не делает ?
- а хрен его знает !!! МЫ юзеры, и о скриншотах понятия не имеем " :D

Старый волкDimitry Sibiryakov, еще как вариант опять же не бредить и не испытывать никаких шпионов. Или чего там автор хочет помимо обезвреживания?

Шпионов мы не хотим испытывать :( Мы готовимся к возможной засаде ! Т.е. чисто обезвреживание. Я бы сказал, красивое и оригинальное обезвреживание ;)

MozokВадимиус,

хук на GetDC из user32.dll. Все равно все скриншотеры рано или поздно приходят к ней.

О! Это уже что-то ;-) А по-подробнее ? Можно ли из данной ДЛЛ-ки просто выкусить упоминание о GetDC и чем может грозить еще такое выкусывание для безобидных прог ?
Чем можно поставить хук ?

TREYВадимиус,
Ахах )) Мы на работе писали и пользуемся таким же)) (шоб х_ней юзеры не занимались). Прога запускается под админом, и ложется в папку которую видит только админ и права на очистку имеет тоже только он .

Ага, но для того, чтобы прогу проинсталлить и запустить нужны права админа. Т.е. нужно личное присутствие на данной машине ВРАГА на 5 минут ? А без знание логина+пасса админа ВРАГ не пройдет по сети для удаленной инсталляции ? (машины НЕ в домене, чистая лок. сеть с рабочими группами)

Старый волкВадимиусв процессах ничего подозрительного не обнаружил !
это не удивительно.
Вадимиус
Думаю, если программа прописывается в автозагрузку - это полный шлак.
А вы подумали о том что она как-то запускается? И вы похоже других автозагрузок как в ПУСК-е не знаете.

Автор, и какие нафиг куски кода на С++ вам давать если вы ничерта не смыслите в компьютерах?

Говоря про автозагрузку, я имел в виду АВТОЗАПУСК (Пуск-программы-автозагрузка). Милостиво прошу извинить, если не так меня поняли :-)))) Про множество других способов запуска, я к Вашему удивлению, как ни странно, тоже знаю. Про секцию RUN (RUNONCE etc) в реестре, я достаточно осведомлен ;-) Ровно как и про запуск программ в режиме служб со скрытием оных в списке запущеных приложений и процессов. Так что, не спешите с выводами. ;-)

Старый волкMozok, а если видео память рыскать без GetDC?

Автор, решено, удаляйте user32.dll. =))

Вай спасибо ! Именно так и сделаю ! =)) =)) =)) :D

Проехали: Еще варинты есть ? Какие нибудь твикеры способны на такое ?

Dimitry Sibiryakov
Вадимиус
А без знание логина+пасса админа ВРАГ не пройдет по сети для удаленной
инсталляции ?

Пройдёт без проблем если, конечно, он админ, а не погулять вышел.


В логове ВРАГОВ нету админов знающих логины и пароли на удаленных машинах. Свои тачки мы настраиваем сами и по ходу только МЫ знаем свои же пороли админов :-)

To Старый Волк: msconfig я знаю еще со времен 98 Жжёшь, однако