Где бы взять драйвер, который возвращал бы информацию о процессах

← →
Piter © (2005-01-05 19:48) [0]

и брал бы ее из внутренних структур windows? Нужно для w2k/XP

← →
GuAV © (2005-01-05 20:01) [1]

Piter © (05.01.05 19:48)

Тебе мало NtQueryХхх - функций ?

← →
kaZaNoVa © (2005-01-05 20:31) [2]

Piter © (05.01.05 19:48)
Антитроян пишешь?? =)))))))))

← →
kaZaNoVa © (2005-01-05 20:32) [3]

Piter © (05.01.05 19:48)
Process Explorer"a мало? =))

← →
Piter © (2005-01-05 23:16) [4]

GuAV © (05.01.05 20:01) [1]

Да. Нужно так, чтобы нельзя было перехватить.

← →
Piter © (2005-01-05 23:17) [5]

kaZaNoVa © (05.01.05 20:32) [3]
Process Explorer"a мало

а при чем здесь PE?

← →
kaZaNoVa © (2005-01-05 23:29) [6]

Piter © (05.01.05 23:16) [4]

> Нужно так, чтобы нельзя было перехватить.

на эту тему надо спросить ИШ =))

> а при чем здесь PE?

ну, он имхо даёт инфы более чем достаточно о процессах :)))))

← →
GuAV © (2005-01-05 23:42) [7]

Piter © (05.01.05 23:16) [4]

http://delphimaster.net/view/4-1102446667/

Игорь Шевченко © (08.12.04 10:57) [12] - Не убедительно ?

← →
Piter © (2005-01-06 02:22) [8]

GuAV © (05.01.05 23:42) [7]

да причем здесь это. Я хочу драйвер, который в обход WinApi вернет информацию о процессах.

← →
kaZaNoVa © (2005-01-06 06:46) [9]

Piter © (06.01.05 2:22) [8]
круто ... =)

← →
Piter © (2005-01-06 15:13) [10]

Должен же быть такой драйвер... точно должен быть...

← →
Игорь Шевченко © (2005-01-06 15:19) [11]

Piter © (06.01.05 15:13) [10]

> Должен же быть такой драйвер... точно должен быть...

Должен и есть - но нафига ?

← →
TUser © (2005-01-06 15:22) [12]

В обход АПИ - это фишка для неслабых перцев ...

← →
Piter © (2005-01-06 15:45) [13]

Игорь Шевченко © (06.01.05 15:19) [11]
Должен и есть - но нафига ?

ну как будто непонятно... чтобы не перехватили вызываемую мной функцию.

И если вы знаете линк или хотя бы название - почему не скажите? Разве тут какая-то секретность?

← →
kaZaNoVa © (2005-01-06 15:56) [14]

Piter © (06.01.05 15:45) [13]

> И если вы знаете линк или хотя бы название - почему не
> скажите? Разве тут какая-то секретность?

ага, а вдруг ты сам и пишешь троян, имхо квалификация позволяет, вот и решел написать на основе драйвера :))))

← →
Игорь Шевченко © (2005-01-06 15:59) [15]

Piter © (06.01.05 15:45) [13]

> ну как будто непонятно... чтобы не перехватили вызываемую
> мной функцию

Ну перехватят DeviceIoControl :)

> И если вы знаете линк или хотя бы название - почему не скажите?
>

Да мне просто интересно, нафига так извращаться.

Название автора знаю - Свен Шрайбер.

← →
Piter © (2005-01-06 16:07) [16]

Игорь Шевченко © (06.01.05 15:59) [15]
Ну перехватят DeviceIoControl

А толку? Откуда они блин знают что я за информацию запрашиваю? Или я чего-то не понимаю?

← →
Игорь Шевченко © (2005-01-06 16:13) [17]

Piter © (06.01.05 16:07) [16]

Странный ты. Хоть бы рассказал, для чего надо, существует много разных способов узнать списки процессов.

← →
Piter © (2005-01-06 16:34) [18]

Да и вообще, разве DeviceIoControl единственный способ взаимодействовать с драйверами?

← →
Piter © (2005-01-06 16:35) [19]

Игорь Шевченко © (06.01.05 16:13) [17]
Хоть бы рассказал, для чего надо

просто нужно узнать достоверную информацию о процессах. Чтобы какой-нибудь троян 100% не смог помешать узнать мне эту информацию...

← →
Игорь Шевченко © (2005-01-06 16:44) [20]

Piter © (06.01.05 16:34) [18]

> Да и вообще, разве DeviceIoControl единственный способ взаимодействовать
> с драйверами?

Ты знаешь еще какие-то ?

> Чтобы какой-нибудь троян 100% не смог помешать узнать мне
> эту информацию...

Не понимаю - зачем. Мне, например, достаточно узнать факт наличия того, что мне мешают узнать всю информацию о процессах, и после этого уже принимать меры. Узнать же можно вызовом NtQuerySystemInformation - обычно этого вызова достаточно.

← →
kaZaNoVa © (2005-01-06 16:45) [21]

Piter © (06.01.05 16:35) [19]

> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...

установи чистую систему, и будешь 100% уверен, что нет трояна :))

иначе, нельзя быть уверенным :))

и вообще, зачем процессы?
есть длл, потоки и масса ещё чего интересного =)

← →
GuAV © (2005-01-06 17:46) [22]

> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...

Если у автора скрывающегося процесса будет твоя программа во время написания скрывающегося процесса, то он найдёт способ написать так чтоб твоя программа не нашла. Это к тому, что 100% - никак.

Если страдаешь паранойей, жестко пропиши адрес NtQuerySystemInformation. В более тяжелом случае даже наверное можно перенести начало NtQuerySystemInformation в свою программу, оттуда JMP на продолжение :-)

← →
Игорь Шевченко © (2005-01-06 17:50) [23]

> В более тяжелом случае даже наверное можно перенести начало
> NtQuerySystemInformation в свою программу, оттуда JMP на
> продолжение

Не выйдет. В разных версиях системы разная реализация.

← →
GuAV © (2005-01-06 17:52) [24]

Игорь Шевченко © (06.01.05 17:50) [23]

Я понимаю. Более того адрес наверное тоже может менятся (не уверен меняется ли, но может :-) ).

Но я понял Piter для себя пишет, т.к. вряд ли кто-то ещё таким страдает ;-)

← →
Игорь Шевченко © (2005-01-06 17:54) [25]

GuAV © (06.01.05 17:52) [24]

Адрес меняется гарантировано :) В том числе от сервис-пака к сервис-паку :)

С уважением,

← →
Piter © (2005-01-06 19:01) [26]

Ну да, естественно адрес меняется. А хотелось бы таки что-нибудь поуниверсальнее...

К тому же вот какой вопрос - а что мешает злоумышленнику переписать начало функции в ВАП процесса? Тогда если я и по жесткому адресу буду вызывать - будет вызываться левая функция...

← →
GuAV © (2005-01-06 20:19) [27]

> Ну да, естественно адрес меняется. А хотелось бы таки
> что-нибудь поуниверсальнее...

при установке записывай адрес в файл или реестр.

> К тому же вот какой вопрос - а что мешает
> злоумышленнику переписать начало функции в ВАП
> процесса?

> В более тяжелом случае даже наверное можно перенести
> начало NtQuerySystemInformation в свою программу,
> оттуда JMP на продолжение :-)

опять же, начало оригинальной процедуры в свой файл или в реестр.

← →
Piter © (2005-01-06 20:49) [28]

при установке записывай адрес в файл или реестр

а откуда я его возьму, этот адрес, при установке?

опять же, начало оригинальной процедуры в свой файл или в реестр

не понял способа. А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?

Игорь Шевченко © (06.01.05 15:59) [15]
Название автора знаю - Свен Шрайбер

а точнее больше ничего нету, какие-нибудь ключевые слова? Или хотя бы как точно пишется по английски имя Свена Шрайбера?

← →
kaZaNoVa © (2005-01-06 21:09) [29]

Piter © (06.01.05 19:01) [26]

> а что мешает злоумышленнику переписать начало функции
> в ВАП процесса?

а что мешает подменить загрузчик и загрузить тот же DOS к примеру ???

паранойя, однако ...

//Piter, не обижайся, но имхо так :))))

← →
GuAV © (2005-01-06 21:27) [30]

Piter © (06.01.05 20:49) [28]
а откуда я его возьму, этот адрес, при установке?
А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?
Да, из dll на диске. Как - руками, как ещё, используя справку по PE. Относительно легко, учитывая что relocation не требуется.

← →
Piter © (2005-01-06 22:09) [31]

kaZaNoVa © (06.01.05 21:09) [29]
а что мешает подменить загрузчик и загрузить тот же DOS к примеру ???

не понял

GuAV © (06.01.05 21:27) [30]

а сколько байт копировать?
И все таки остался вопрос - а как я узнаю истиный адрес NtQuerySystemInformation?

P.S. Кстати, драйвер все таки ищется :)

← →
Игорь Шевченко © (2005-01-06 22:18) [32]

> Или хотя бы как точно пишется по английски имя Свена Шрайбера?

Sven B. Schreiber

← →
GuAV © (2005-01-06 22:20) [33]

> а сколько байт копировать?

несколько инструкций, а потом JMP на оригинал.
или целиком до ret.
если получится - сообщи.

> а как я узнаю истиный адрес NtQuerySystemInformation?

Анализируя Таблицу Экспорта файла.

← →
kaZaNoVa © (2005-01-06 23:18) [34]

Piter © (06.01.05 22:09) [31]

>kaZaNoVa © (06.01.05 21:09) [29]
> а что мешает подменить загрузчик и загрузить тот же
>DOS к примеру ???
>
> не понял

а то, что можно бесконечно (имхо) так углубляться внутрь системы, в надежде найти что-то "более внетреннее" - имхо тогда вирус может просто заменить винду (в теории) - например, записаться на дискету, если она вставлена, и сделать её зарузочной + в биосе постевить загрузку с неё ...

← →
Игорь Шевченко © (2005-01-06 23:54) [35]

> тогда вирус может просто заменить винду (в теории) - например,
> записаться на дискету, если она вставлена, и сделать её
> зарузочной + в биосе постевить загрузку с неё ...

MS каждый год такие вирусы пишет.

← →
Piter © (2005-01-06 23:54) [36]

GuAV © (06.01.05 22:20) [33]
Анализируя Таблицу Экспорта файла

ntdll?

kaZaNoVa © (06.01.05 23:18) [34]

я тебя все равно не понимаю...

← →
GuAV © (2005-01-07 00:25) [37]

Piter © (06.01.05 23:54) [36]

Нет, mforum.exe. Где нужная функция, там и анализируй.

← →
Piter © (2005-01-07 00:27) [38]

Игорь Шевченко © (06.01.05 22:18) [32]

нашел: http://www.orgon.com/w2k_internals/cd.html

Скачал оттуда: w2k_spy.sys, http://www.orgon.com/w2k_internals/w2k_internals.zip

Но там ни описания, ничего... как использовать то?

← →
Piter © (2005-01-07 00:28) [39]

GuAV © (07.01.05 0:25) [37]
Нет, mforum.exe

бла, бла, бла :)
Может я дурак - объяснить что ли нельзя? :)

Piter © (07.01.05 00:27) [38]

> Но там ни описания, ничего... как использовать то?

Ну вот смотри, я потратил в свое время 250 рублей, купил книжку Свена Шрайбера, прочитал ее...Почему бы не проделать для удовлетворения собственных потребностей аналогичный путь ? Я не совсем понимаю.

Игорь Шевченко © (07.01.05 0:37) [40]
Я не совсем понимаю

Игорь, правда нужно объяснять?
Во-первых, у меня нету 250 рублей. Во-вторых, поблизости ее не продают. И самое главное - мне не нужна вся книжка, мне нужен просто пример использования...

Ну вот смотри, я потратил в свое время 250 рублей

все таки я предлагаю не доводить до абсурда. Вам не кажется, что НА ЛЮБОЙ ВОПРОС в этом форуме можно ответить также? Вот зайду я в основную и в каждой ветке буду писать:

"Вот я в свое время за 500 рублей купил книжку Тейксера и Пачеко (Кэнту, Фаронова, Рихтера, Соломона ...) и прочитал ее. Почему бы не вам не сделать тоже самое?"

Причем что обидно - на вопрос по запуздыриванию иконки ответ сразу скажут, а вот такая интересная фигня как у меня не поощряется...

Игорь Шевченко © (07.01.05 0:37) [40]
купил книжку Свена Шрайбера

а как книжка то хоть? Стоящая? В стиле Соломона и Руссиновича?

> на вопрос по запуздыриванию иконки ответ сразу скажут

Неудачный пример :)

Piter © (06.01.05 23:54) [36]

> я тебя все равно не понимаю...

спорит не буду :))
имхо с тронами надо бороться административными методами, а не искать их, когда уже есть :))
профилактика рулит!

Gero © (07.01.05 2:11) [42]
Неудачный пример :)

почему? То, что тему могут закрыть?
А это происходит в 1/3 случаев. В 2/3 ответ дают. И более того, зачастую еще тема разрастается до 50 постов...

почему?

> Piter © (07.01.05 19:33)

Потому что тема и вправду зачастую разрастается до 50 постов, а ответ говорят далеко не сразу…

ЛОЛ, флейм пошёл :))

> на вопрос по запуздыриванию иконки ответ сразу скажут

Вот поэтому я и говорю, что пример неудачен.

По крайней мере тема разраслась до 50 постов.

Точно. Может, скоро и ответ дадут? :)

P.S. ИГОРЬ! А как в целом книжка Свена Шрайбера? Стоящая вещь?

Может у кого есть пример использования?

Где бы взять драйвер, который возвращал бы информацию о процессах Найти похожие ветки