Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2005.02.06;
Скачать: [xml.tar.bz2];

Вниз

Где бы взять драйвер, который возвращал бы информацию о процессах   Найти похожие ветки 

 
Piter ©   (2005-01-05 19:48) [0]

и брал бы ее из внутренних структур windows? Нужно для w2k/XP


 
GuAV ©   (2005-01-05 20:01) [1]

Piter ©   (05.01.05 19:48)

Тебе мало NtQueryХхх - функций ?


 
kaZaNoVa ©   (2005-01-05 20:31) [2]

Piter ©   (05.01.05 19:48)
Антитроян пишешь??  =)))))))))


 
kaZaNoVa ©   (2005-01-05 20:32) [3]

Piter ©   (05.01.05 19:48)
Process Explorer"a мало?  =))


 
Piter ©   (2005-01-05 23:16) [4]

GuAV ©   (05.01.05 20:01) [1]

Да. Нужно так, чтобы нельзя было перехватить.


 
Piter ©   (2005-01-05 23:17) [5]

kaZaNoVa ©   (05.01.05 20:32) [3]
Process Explorer"a мало


а при чем здесь PE?


 
kaZaNoVa ©   (2005-01-05 23:29) [6]

Piter ©   (05.01.05 23:16) [4]

> Нужно так, чтобы нельзя было перехватить.

на эту тему надо спросить ИШ =))


> а при чем здесь PE?

ну, он имхо даёт инфы более чем достаточно о процессах :)))))


 
GuAV ©   (2005-01-05 23:42) [7]

Piter ©   (05.01.05 23:16) [4]

http://delphimaster.net/view/4-1102446667/

Игорь Шевченко ©   (08.12.04 10:57) [12] - Не убедительно ?


 
Piter ©   (2005-01-06 02:22) [8]

GuAV ©   (05.01.05 23:42) [7]

да причем здесь это. Я хочу драйвер, который в обход  WinApi вернет информацию о процессах.


 
kaZaNoVa ©   (2005-01-06 06:46) [9]

Piter ©   (06.01.05 2:22) [8]
круто ... =)


 
Piter ©   (2005-01-06 15:13) [10]

Должен же быть такой драйвер... точно должен быть...


 
Игорь Шевченко ©   (2005-01-06 15:19) [11]

Piter ©   (06.01.05 15:13) [10]


> Должен же быть такой драйвер... точно должен быть...


Должен и есть - но нафига ?


 
TUser ©   (2005-01-06 15:22) [12]

В обход АПИ - это фишка для неслабых перцев ...


 
Piter ©   (2005-01-06 15:45) [13]

Игорь Шевченко ©   (06.01.05 15:19) [11]
Должен и есть - но нафига ?


ну как будто непонятно... чтобы не перехватили вызываемую мной функцию.

И если вы знаете линк или хотя бы название - почему не скажите? Разве тут какая-то секретность?


 
kaZaNoVa ©   (2005-01-06 15:56) [14]

Piter ©   (06.01.05 15:45) [13]

> И если вы знаете линк или хотя бы название - почему не
> скажите? Разве тут какая-то секретность?

ага, а вдруг ты сам и пишешь троян, имхо квалификация позволяет, вот и решел написать на основе драйвера :))))


 
Игорь Шевченко ©   (2005-01-06 15:59) [15]

Piter ©   (06.01.05 15:45) [13]


> ну как будто непонятно... чтобы не перехватили вызываемую
> мной функцию


Ну перехватят DeviceIoControl :)


> И если вы знаете линк или хотя бы название - почему не скажите?
>


Да мне просто интересно, нафига так извращаться.

Название автора знаю - Свен Шрайбер.


 
Piter ©   (2005-01-06 16:07) [16]

Игорь Шевченко ©   (06.01.05 15:59) [15]
Ну перехватят DeviceIoControl


А толку? Откуда они блин знают что я за информацию запрашиваю? Или я чего-то не понимаю?


 
Игорь Шевченко ©   (2005-01-06 16:13) [17]

Piter ©   (06.01.05 16:07) [16]

Странный ты. Хоть бы рассказал, для чего надо, существует много разных способов узнать списки процессов.


 
Piter ©   (2005-01-06 16:34) [18]

Да и вообще, разве DeviceIoControl единственный способ взаимодействовать с драйверами?


 
Piter ©   (2005-01-06 16:35) [19]

Игорь Шевченко ©   (06.01.05 16:13) [17]
Хоть бы рассказал, для чего надо


просто нужно узнать достоверную информацию о процессах. Чтобы какой-нибудь троян 100% не смог помешать узнать мне эту информацию...


 
Игорь Шевченко ©   (2005-01-06 16:44) [20]

Piter ©   (06.01.05 16:34) [18]


> Да и вообще, разве DeviceIoControl единственный способ взаимодействовать
> с драйверами?


Ты знаешь еще какие-то ?


> Чтобы какой-нибудь троян 100% не смог помешать узнать мне
> эту информацию...


Не понимаю - зачем. Мне, например, достаточно узнать факт наличия того, что мне мешают узнать всю информацию о процессах, и после этого уже принимать меры. Узнать же можно вызовом NtQuerySystemInformation - обычно этого вызова достаточно.


 
kaZaNoVa ©   (2005-01-06 16:45) [21]

Piter ©   (06.01.05 16:35) [19]

> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...

установи чистую систему, и будешь 100% уверен, что нет трояна :))

иначе, нельзя быть уверенным :))

и вообще, зачем процессы?
есть длл, потоки и масса ещё чего интересного =)


 
GuAV ©   (2005-01-06 17:46) [22]


>  Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...


Если у автора скрывающегося процесса будет твоя программа во время написания скрывающегося процесса, то он найдёт способ написать так чтоб твоя программа не нашла. Это к тому, что 100% - никак.

Если страдаешь паранойей, жестко пропиши адрес NtQuerySystemInformation. В более тяжелом случае даже наверное можно перенести начало NtQuerySystemInformation в свою программу, оттуда JMP на продолжение :-)


 
Игорь Шевченко ©   (2005-01-06 17:50) [23]


> В более тяжелом случае даже наверное можно перенести начало
> NtQuerySystemInformation в свою программу, оттуда JMP на
> продолжение


Не выйдет. В разных версиях системы разная реализация.


 
GuAV ©   (2005-01-06 17:52) [24]

Игорь Шевченко ©   (06.01.05 17:50) [23]

Я понимаю. Более того адрес наверное тоже может менятся (не уверен меняется ли, но может :-) ).

Но я понял Piter для себя пишет, т.к. вряд ли кто-то ещё таким страдает ;-)


 
Игорь Шевченко ©   (2005-01-06 17:54) [25]

GuAV ©   (06.01.05 17:52) [24]

Адрес меняется гарантировано :) В том числе от сервис-пака к сервис-паку :)

С уважением,


 
Piter ©   (2005-01-06 19:01) [26]

Ну да, естественно адрес меняется. А хотелось бы таки что-нибудь поуниверсальнее...

К тому же вот какой вопрос - а что мешает злоумышленнику переписать начало функции в ВАП процесса? Тогда если я и по жесткому адресу буду вызывать - будет вызываться левая функция...


 
GuAV ©   (2005-01-06 20:19) [27]


> Ну да, естественно адрес меняется. А хотелось бы таки
> что-нибудь поуниверсальнее...

при установке записывай адрес в файл или реестр.


> К тому же вот какой вопрос - а что мешает
> злоумышленнику переписать начало функции в ВАП
> процесса?


>  В более тяжелом случае даже наверное можно перенести
> начало NtQuerySystemInformation в свою программу,
> оттуда JMP на продолжение :-)

опять же, начало оригинальной процедуры в свой файл или в реестр.


 
Piter ©   (2005-01-06 20:49) [28]

при установке записывай адрес в файл или реестр

а откуда я его возьму, этот адрес, при установке?

опять же, начало оригинальной процедуры в свой файл или в реестр

не понял способа. А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?

Игорь Шевченко ©   (06.01.05 15:59) [15]
Название автора знаю - Свен Шрайбер


а точнее больше ничего нету, какие-нибудь ключевые слова? Или хотя бы как точно пишется по английски имя Свена Шрайбера?


 
kaZaNoVa ©   (2005-01-06 21:09) [29]

Piter ©   (06.01.05 19:01) [26]

> а что мешает злоумышленнику переписать начало функции
> в ВАП процесса?

а что мешает подменить загрузчик и загрузить тот же  DOS к примеру ???

паранойя, однако ...  

//Piter, не обижайся, но имхо так :))))


 
GuAV ©   (2005-01-06 21:27) [30]

Piter ©   (06.01.05 20:49) [28]
а откуда я его возьму, этот адрес, при установке?

А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?
Да, из dll на диске. Как - руками, как ещё, используя справку по PE. Относительно легко, учитывая что relocation не требуется.


 
Piter ©   (2005-01-06 22:09) [31]

kaZaNoVa ©   (06.01.05 21:09) [29]
а что мешает подменить загрузчик и загрузить тот же  DOS к примеру ???


не понял

GuAV ©   (06.01.05 21:27) [30]

а сколько байт копировать?
И все таки остался вопрос - а как я узнаю истиный адрес NtQuerySystemInformation?

P.S. Кстати, драйвер все таки ищется :)


 
Игорь Шевченко ©   (2005-01-06 22:18) [32]


> Или хотя бы как точно пишется по английски имя Свена Шрайбера?


Sven B. Schreiber


 
GuAV ©   (2005-01-06 22:20) [33]


> а сколько байт копировать?


несколько инструкций, а потом JMP на оригинал.
или целиком до ret.
если получится - сообщи.


> а как я узнаю истиный адрес NtQuerySystemInformation?

Анализируя Таблицу Экспорта файла.


 
kaZaNoVa ©   (2005-01-06 23:18) [34]

Piter ©   (06.01.05 22:09) [31]

>kaZaNoVa ©   (06.01.05 21:09) [29]
> а что мешает подменить загрузчик и загрузить тот же  
>DOS к примеру ???
>
> не понял

а то, что можно бесконечно (имхо) так углубляться внутрь системы, в надежде найти что-то "более внетреннее" - имхо тогда вирус может просто заменить винду (в теории) - например, записаться на дискету, если она вставлена, и сделать её зарузочной + в биосе постевить загрузку с неё ...


 
Игорь Шевченко ©   (2005-01-06 23:54) [35]


> тогда вирус может просто заменить винду (в теории) - например,
> записаться на дискету, если она вставлена, и сделать её
> зарузочной + в биосе постевить загрузку с неё ...


MS каждый год такие вирусы пишет.


 
Piter ©   (2005-01-06 23:54) [36]

GuAV ©   (06.01.05 22:20) [33]
Анализируя Таблицу Экспорта файла


ntdll?

kaZaNoVa ©   (06.01.05 23:18) [34]

я тебя все равно не понимаю...


 
GuAV ©   (2005-01-07 00:25) [37]

Piter ©   (06.01.05 23:54) [36]

Нет, mforum.exe. Где нужная функция, там и анализируй.


 
Piter ©   (2005-01-07 00:27) [38]

Игорь Шевченко ©   (06.01.05 22:18) [32]

нашел: http://www.orgon.com/w2k_internals/cd.html

Скачал оттуда: w2k_spy.sys, http://www.orgon.com/w2k_internals/w2k_internals.zip

Но там ни описания, ничего... как использовать то?


 
Piter ©   (2005-01-07 00:28) [39]

GuAV ©   (07.01.05 0:25) [37]
Нет, mforum.exe


бла, бла, бла :)
Может я дурак - объяснить что ли нельзя? :)


 
Игорь Шевченко ©   (2005-01-07 00:37) [40]

Piter ©   (07.01.05 00:27) [38]


> Но там ни описания, ничего... как использовать то?


Ну вот смотри, я потратил в свое время 250 рублей, купил книжку Свена Шрайбера, прочитал ее...Почему бы не проделать для удовлетворения собственных потребностей аналогичный путь ? Я не совсем понимаю.



Страницы: 1 2 вся ветка

Форум: "Потрепаться";
Текущий архив: 2005.02.06;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.55 MB
Время: 0.037 c
4-1103122941
Александер
2004-12-15 18:02
2005.02.06
Общение с окном чужого приложения


1-1106167593
Blaster
2005-01-19 23:46
2005.02.06
В чом ошыбка?


4-1103374683
Zodchi
2004-12-18 15:58
2005.02.06
Получение списка устройств системы


1-1106497812
Wahnsinng
2005-01-23 19:30
2005.02.06
Базы данных


1-1106390098
Mikel
2005-01-22 13:34
2005.02.06
Как сделать поиск в таблице....





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский