Как корректно (принудительно) в нештатной ситуации закрыть процесс, созданный. даже окно дос-сессии умирает без единого писка . Я хочу принудительно закрыть окно стороннего приложения имея его handle. Большое количество информации и примеров с использованием функций WinAPI можно найти в MSDN.. Пишу на C#, на раздел по WinAPI есть только в разделе C++. Программа ( не вирус) должна закрывать все окна, кроме Нужно узнать любой способ быстрого принудительного закрытия всех ненужных окон без. 3.4. Закрытие конкретного экземпляра формы с помощью Windows API. Для того чтобы закрыть форму с помощью Windows API, в стандартном модуле надо добавить строки Тогда такой код закроет окно экземпляра формы.
ПЕРВЫЕ ШАГИ. ru : : 1. Разрушение окна. Вообще, прикладная программа должна уничтожать все окна, которые она создает.
Она делает это, используя функцию Destroy. Window. Когда окно разрушается, система скрывает его, если оно видимо, а затем удаляет любые внутренние данные, связанные с окном. Это действие лишает законной силы дескриптор окна, который больше не может использоваться прикладной программой. Прикладная программа уничтожает многие из окон, которые она создает, вскоре после их создания. Например, прикладная программа обычно уничтожает окно блока диалога, как только прикладная программа получит достаточно вводимой информации от пользователя, чтобы продолжить выполнение своей задачи. Прикладная программа, в конечном счете, уничтожает основное окно прикладной программы (при завершении работы).
Перед разрушением окна, прикладная программа должна сохранить или удалить любые данные, связанные с окном, а также она должно освободить любые ресурсы системы, распределенные для окна. Если прикладная программа не освобождает ресурсы, Windows освободит любые ресурсы, не освобожденные прикладной программой.
Разрушение окна не воздействует на класс окна, из которого оно создано. Новые окна могут все еще создаваться, используя этот класс, а любые существующие окна этого класса продолжают функционировать. Разрушение окна также уничтожает порожденные им окна. Функция Destroy. Window посылает сообщение WM_DESTROY сначала окну, а затем его дочерним и порожденным окнам. Таким образом, все порожденные окна разрушаемого окна также разрушаются. Когда пользователь выбирает команду Закрыть (Close), окно с меню окна принимает сообщение WM_CLOSE.
Обрабатывая это сообщение, прикладная программа может запрашивать пользователя о подтверждении этого действия перед разрушением окна. Если пользователь подтверждает, что окно должно быть разрушено, прикладная программа может вызывать функцию Destroy. Window, чтобы уничтожить окно.
Есть программа на WinApi состоящая из родительского и дочернего окон (hWnd и hWnd1). Когда мы открываем это дочернее окно - hWnd1 (допустим выбрав его в созданном нами файловом меню),и потом должны его закрыть при этом используя альтернативный способ..
Если разрушаемое окно - активное, то и активность, и состояние фокуса перемещаются в другое окно. Окно, которое становится активным - следующее окно, как определено комбинацией клавиш ALT+ESC. Новое активное окно затем определяет, какое окно принимает фокус клавиатуры.
Новый троян с валидной цифровой подписью LLC Mail. Ru маскируется под обновления популярных программ / Хабрахабр.
Тема: DelphiScript: как принудительно закрыть форму? Архивариус Новичок. Зарегистрирован: 06.07.2011 04:57:42 Сообщений: 34 Оффлайн. to Александр надо еще выставлять задержку для показа окна, иначе окно просто мелькнет и пропадет.
Тихим субботним вечером моя мама мирно серфила Youtube на предмет ухода за цикламенами и внезапно слева от видео образовался баннер (к сожалению, скриншота не будет, т. Skype. После клика на него произошел редирект на _http: //easyupdate. Моя мама — не очень опытный пользователь и фразы в духе «Ваша версия Skype устарела, его поддержка закончится 0. Вы больше не сможете общаться по Skype» её очень пугают, поэтому она нажала «Отмена» и позвонила мне. Поначалу я решил, что речь пойдёт о банальном обновлении Skype и со вздохом подключился по Teamviewer, собираясь просто ткнуть пару кнопок и отключиться.
К своему стыду, при всём своём многолетнем опыте я даже умудрился запустить скачавшийся с easyupdate. LLC Mail. Ru», а не Skype, в последний момент запретил выполнение и понял, что вечер будет интересным и длинным. Похвалив маму за бдительность, я приступил к изучению свежей схемы наполнения ботнета. Загадка цифровой подписи. Итак, первым делом посмотрим свойства файла: Странно, всего 7.
Кб, как- то маловато даже для web- инсталлера. Смотрим цифровую подпись, что это за «LLC Mail. Ru» такое, может кто- то опять протащил через Thawte схожее название юрлица? Странно, сертификат цифровой подписи очень похож на настоящий от Mail. Ru: У них одинаковый срок действия, с 0. Агента Mail. ru есть подписи других сторон: Symantec Time Stamping Services Signer.
Все exe файлы подписываются на лету перед отдачей на загрузку браузеру, об этом говорит динамически изменяющееся время подписания файла. Итого, имеем три варианта: 1. Это настоящая цифровая подпись Mail. Это настоящая цифровая подпись Mail. Mail. ru почему- либо использует для подписания малвари. Это поддельная цифровая подпись Mail. RSA 2. 04. 8 бит)Загуглив easyupdate.
Их очень роднит милое всплывающее javascript подтверждение, которое начинает скачивать exe файл, даже не удосужившись проверить, какую кнопку нажал пользователь, OK или Отмена. Virustotal. Таким образом, мы получили 5 образцов (ссылки ведут на результаты сканирования файлов Virustotal): chromesetup. Касперский почему- то единственный, кто классифицировал exe, как «не вирус»: «not- a- virus: HEUR: Downloader. Win. 32. LMN. a». Возможно на это решение положительно повлияла цифровая подпись, однако это лучше, чем решение встроенного в Windows антивируса от Microsoft, который в образцах не увидел вообще никакой угрозы. Для chromesetup. exe доступны сведения о поведении, видимо предоставленные какой- то из антивирусных компаний, в частности сетевая активность: Итак, у нас есть два странных домена и ссылка на поддомен Mail. Private person), эта услуга доступна и бесплатна у большинства российских регистраторов доменов.
В корне сайта нас встречает 4. Not Found. The resource requested could not be found on this server! Powered By Lite. Speed Web Server. Lite. Speed Technologies is not responsible for administration and contents of this web site!
Вторая ссылка, очевидно, использовала уязвимость типа URL redirect на одном из поддоменов Mail. Возможно злоумышленники решили, что такая ссылка легче пройдёт через firewall.
Домен dwnfile. ru зарегистрирован 1 февраля 2. В тексте страниц лендинга также присутствуют ссылки на следующие домены: uprgadotesbest. Privacy. Protect. Locked»uploadeasy. Все домены регистрировались через Reg. Кроме того, троян отключает в реестре использование прокси, что, очевидно, повлияет на работу IE и Chrome, у Firefox и Opera собственные настройки для прокси.
Партнерка. Далее, ссылка _http: //dwnfile. XML следующего содержания: < ? CDATA[chromesetup.
CDATA[http: //easyupdate. Chrome. Setup. exe]]> < /url>. CDATA[http: //dwnfile. GUID& sig=$__SIG& file_id=1. CDATA[http: //dwnfile. GUID& sig=$__SIG& sid=1.
CDATA[0]]> < /file_size>. CDATA[http: //dwnfile. GUID& sig=$__SIG& ovr=$__OVR& file_id=1. CDATA[9. 51. 6]]> < /mpcln>.
Любому при взгляде на это нехитрое содержимое, становится очевидно, что мы имеем дело с очередной партнёрской программой по так называемым «инсталлам», параметр guid — это уникальный идентификатор бота в будущем ботнете, а partner в данном контексте — это аффилиат, человек, зарегистрировавшийся в партнерской программе, получивший в её кабинете ссылки на файлы для распространения и распространяющий эти файлы в меру своей испорченности, получая при этом некоторый процент от доходов владельцев партнерской программы и ботнета из ничего не подозревающих пользователей. Погуглив идентификатор profitraf. Регистрация только по инвайтам, однако первый же попавшийся в гугле инвайт подошёл и я попал внутрь: Нас встречает приятный дизайн, статистика, баланс и даже реферальная система, всё очень канонично. В разделе «Установка кода» написано: Для работы с партнерской программой необходимо поменять ссылки на любой скачиваемый контент (mp. Ссылки меняются таким образом, что вместо вашего домена указывают на специальный загрузчик, расположенный на домене profidownload. В этой ссылке специальным образом прописывается исходная ссылка (которая до этого была на сайте).
По клику пользователя сначала загружается и запускается загрузчик, который и скачивает на компьютер пользователя исходный файл. Одновременно с загрузкой устанавливается тулбар и браузер. Для пользователя это происходит практически незаметно. Итак, можно подключить свой сайт, поменять там ссылки на указанные и получать прибыль. А вот и ещё одна цитата, на этот раз из огромного, на 2. Мы предлагаем абсолютно прозрачную, «белую» схему заработка — без SMS- подписок, платных архивов и прочих «серых» схем.
Мы распространяем браузер и тулбар (надстройку для браузеров) крупнейшей компании Ру. Нета — Mail. Ru. Каждый сайт проходит строгую модерацию и только после проверки нашими специалистами допускается к участию в программе. И вот тут мне, наконец, стало ясно, откуда взялась цифровая подпись Mail. В том, что это именно малварь, сомневаться не приходится, достаточно изучить результаты исследования образцов антивирусными компаниями. И эта зараза может получить очень широкое распространение, учитывая выбранные методы маскировки под обновления самых популярных программ для Windows.
Неутешительные итоги. Хотелось бы отметить, что лично мне очень обидно было обнаружить в финале своего домашнего расследования саму корпорацию Mail. Разумеется, даже если эта история станет достоянием гласности, официально вину спихнут на «недобросовестного» партнёра, но, по моему мнению, компания, которая предоставляет свою цифровую подпись каждому встречному для несанкционированной загрузки на компьютеры ничего не подозревающих пользователей троянского программного обеспечения, достойна звания «ботмастер» года. Куда там доморощенным вирусописателям без сертификатов, такой огромный ботнет, как у Mail. И кто знает, как вышеозначенная корпорация решит монетизировать своих незадачливых пользователей, когда у неё дела пойдут ещё хуже, чем сейчас. Обновление от 1. 2 марта. На сегодняшний день ни один домен злоумышленников уже не резолвится.
Возможно, это связано с тем, что этот топик даже в песочнице был проиндексирован гуглом и начал показываться в выдаче по запросу «easyupdate. Благодарю Mairon за приглашение.