Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2005.02.06;
Скачать: [xml.tar.bz2];

Вниз

Где бы взять драйвер, который возвращал бы информацию о процессах   Найти похожие ветки 

 
Piter ©   (2005-01-05 19:48) [0]

и брал бы ее из внутренних структур windows? Нужно для w2k/XP


 
GuAV ©   (2005-01-05 20:01) [1]

Piter ©   (05.01.05 19:48)

Тебе мало NtQueryХхх - функций ?


 
kaZaNoVa ©   (2005-01-05 20:31) [2]

Piter ©   (05.01.05 19:48)
Антитроян пишешь??  =)))))))))


 
kaZaNoVa ©   (2005-01-05 20:32) [3]

Piter ©   (05.01.05 19:48)
Process Explorer"a мало?  =))


 
Piter ©   (2005-01-05 23:16) [4]

GuAV ©   (05.01.05 20:01) [1]

Да. Нужно так, чтобы нельзя было перехватить.


 
Piter ©   (2005-01-05 23:17) [5]

kaZaNoVa ©   (05.01.05 20:32) [3]
Process Explorer"a мало


а при чем здесь PE?


 
kaZaNoVa ©   (2005-01-05 23:29) [6]

Piter ©   (05.01.05 23:16) [4]

> Нужно так, чтобы нельзя было перехватить.

на эту тему надо спросить ИШ =))


> а при чем здесь PE?

ну, он имхо даёт инфы более чем достаточно о процессах :)))))


 
GuAV ©   (2005-01-05 23:42) [7]

Piter ©   (05.01.05 23:16) [4]

http://delphimaster.net/view/4-1102446667/

Игорь Шевченко ©   (08.12.04 10:57) [12] - Не убедительно ?


 
Piter ©   (2005-01-06 02:22) [8]

GuAV ©   (05.01.05 23:42) [7]

да причем здесь это. Я хочу драйвер, который в обход  WinApi вернет информацию о процессах.


 
kaZaNoVa ©   (2005-01-06 06:46) [9]

Piter ©   (06.01.05 2:22) [8]
круто ... =)


 
Piter ©   (2005-01-06 15:13) [10]

Должен же быть такой драйвер... точно должен быть...


 
Игорь Шевченко ©   (2005-01-06 15:19) [11]

Piter ©   (06.01.05 15:13) [10]


> Должен же быть такой драйвер... точно должен быть...


Должен и есть - но нафига ?


 
TUser ©   (2005-01-06 15:22) [12]

В обход АПИ - это фишка для неслабых перцев ...


 
Piter ©   (2005-01-06 15:45) [13]

Игорь Шевченко ©   (06.01.05 15:19) [11]
Должен и есть - но нафига ?


ну как будто непонятно... чтобы не перехватили вызываемую мной функцию.

И если вы знаете линк или хотя бы название - почему не скажите? Разве тут какая-то секретность?


 
kaZaNoVa ©   (2005-01-06 15:56) [14]

Piter ©   (06.01.05 15:45) [13]

> И если вы знаете линк или хотя бы название - почему не
> скажите? Разве тут какая-то секретность?

ага, а вдруг ты сам и пишешь троян, имхо квалификация позволяет, вот и решел написать на основе драйвера :))))


 
Игорь Шевченко ©   (2005-01-06 15:59) [15]

Piter ©   (06.01.05 15:45) [13]


> ну как будто непонятно... чтобы не перехватили вызываемую
> мной функцию


Ну перехватят DeviceIoControl :)


> И если вы знаете линк или хотя бы название - почему не скажите?
>


Да мне просто интересно, нафига так извращаться.

Название автора знаю - Свен Шрайбер.


 
Piter ©   (2005-01-06 16:07) [16]

Игорь Шевченко ©   (06.01.05 15:59) [15]
Ну перехватят DeviceIoControl


А толку? Откуда они блин знают что я за информацию запрашиваю? Или я чего-то не понимаю?


 
Игорь Шевченко ©   (2005-01-06 16:13) [17]

Piter ©   (06.01.05 16:07) [16]

Странный ты. Хоть бы рассказал, для чего надо, существует много разных способов узнать списки процессов.


 
Piter ©   (2005-01-06 16:34) [18]

Да и вообще, разве DeviceIoControl единственный способ взаимодействовать с драйверами?


 
Piter ©   (2005-01-06 16:35) [19]

Игорь Шевченко ©   (06.01.05 16:13) [17]
Хоть бы рассказал, для чего надо


просто нужно узнать достоверную информацию о процессах. Чтобы какой-нибудь троян 100% не смог помешать узнать мне эту информацию...


 
Игорь Шевченко ©   (2005-01-06 16:44) [20]

Piter ©   (06.01.05 16:34) [18]


> Да и вообще, разве DeviceIoControl единственный способ взаимодействовать
> с драйверами?


Ты знаешь еще какие-то ?


> Чтобы какой-нибудь троян 100% не смог помешать узнать мне
> эту информацию...


Не понимаю - зачем. Мне, например, достаточно узнать факт наличия того, что мне мешают узнать всю информацию о процессах, и после этого уже принимать меры. Узнать же можно вызовом NtQuerySystemInformation - обычно этого вызова достаточно.


 
kaZaNoVa ©   (2005-01-06 16:45) [21]

Piter ©   (06.01.05 16:35) [19]

> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...

установи чистую систему, и будешь 100% уверен, что нет трояна :))

иначе, нельзя быть уверенным :))

и вообще, зачем процессы?
есть длл, потоки и масса ещё чего интересного =)


 
GuAV ©   (2005-01-06 17:46) [22]


>  Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...


Если у автора скрывающегося процесса будет твоя программа во время написания скрывающегося процесса, то он найдёт способ написать так чтоб твоя программа не нашла. Это к тому, что 100% - никак.

Если страдаешь паранойей, жестко пропиши адрес NtQuerySystemInformation. В более тяжелом случае даже наверное можно перенести начало NtQuerySystemInformation в свою программу, оттуда JMP на продолжение :-)


 
Игорь Шевченко ©   (2005-01-06 17:50) [23]


> В более тяжелом случае даже наверное можно перенести начало
> NtQuerySystemInformation в свою программу, оттуда JMP на
> продолжение


Не выйдет. В разных версиях системы разная реализация.


 
GuAV ©   (2005-01-06 17:52) [24]

Игорь Шевченко ©   (06.01.05 17:50) [23]

Я понимаю. Более того адрес наверное тоже может менятся (не уверен меняется ли, но может :-) ).

Но я понял Piter для себя пишет, т.к. вряд ли кто-то ещё таким страдает ;-)


 
Игорь Шевченко ©   (2005-01-06 17:54) [25]

GuAV ©   (06.01.05 17:52) [24]

Адрес меняется гарантировано :) В том числе от сервис-пака к сервис-паку :)

С уважением,


 
Piter ©   (2005-01-06 19:01) [26]

Ну да, естественно адрес меняется. А хотелось бы таки что-нибудь поуниверсальнее...

К тому же вот какой вопрос - а что мешает злоумышленнику переписать начало функции в ВАП процесса? Тогда если я и по жесткому адресу буду вызывать - будет вызываться левая функция...


 
GuAV ©   (2005-01-06 20:19) [27]


> Ну да, естественно адрес меняется. А хотелось бы таки
> что-нибудь поуниверсальнее...

при установке записывай адрес в файл или реестр.


> К тому же вот какой вопрос - а что мешает
> злоумышленнику переписать начало функции в ВАП
> процесса?


>  В более тяжелом случае даже наверное можно перенести
> начало NtQuerySystemInformation в свою программу,
> оттуда JMP на продолжение :-)

опять же, начало оригинальной процедуры в свой файл или в реестр.


 
Piter ©   (2005-01-06 20:49) [28]

при установке записывай адрес в файл или реестр

а откуда я его возьму, этот адрес, при установке?

опять же, начало оригинальной процедуры в свой файл или в реестр

не понял способа. А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?

Игорь Шевченко ©   (06.01.05 15:59) [15]
Название автора знаю - Свен Шрайбер


а точнее больше ничего нету, какие-нибудь ключевые слова? Или хотя бы как точно пишется по английски имя Свена Шрайбера?


 
kaZaNoVa ©   (2005-01-06 21:09) [29]

Piter ©   (06.01.05 19:01) [26]

> а что мешает злоумышленнику переписать начало функции
> в ВАП процесса?

а что мешает подменить загрузчик и загрузить тот же  DOS к примеру ???

паранойя, однако ...  

//Piter, не обижайся, но имхо так :))))


 
GuAV ©   (2005-01-06 21:27) [30]

Piter ©   (06.01.05 20:49) [28]
а откуда я его возьму, этот адрес, при установке?

А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?
Да, из dll на диске. Как - руками, как ещё, используя справку по PE. Относительно легко, учитывая что relocation не требуется.


 
Piter ©   (2005-01-06 22:09) [31]

kaZaNoVa ©   (06.01.05 21:09) [29]
а что мешает подменить загрузчик и загрузить тот же  DOS к примеру ???


не понял

GuAV ©   (06.01.05 21:27) [30]

а сколько байт копировать?
И все таки остался вопрос - а как я узнаю истиный адрес NtQuerySystemInformation?

P.S. Кстати, драйвер все таки ищется :)


 
Игорь Шевченко ©   (2005-01-06 22:18) [32]


> Или хотя бы как точно пишется по английски имя Свена Шрайбера?


Sven B. Schreiber


 
GuAV ©   (2005-01-06 22:20) [33]


> а сколько байт копировать?


несколько инструкций, а потом JMP на оригинал.
или целиком до ret.
если получится - сообщи.


> а как я узнаю истиный адрес NtQuerySystemInformation?

Анализируя Таблицу Экспорта файла.


 
kaZaNoVa ©   (2005-01-06 23:18) [34]

Piter ©   (06.01.05 22:09) [31]

>kaZaNoVa ©   (06.01.05 21:09) [29]
> а что мешает подменить загрузчик и загрузить тот же  
>DOS к примеру ???
>
> не понял

а то, что можно бесконечно (имхо) так углубляться внутрь системы, в надежде найти что-то "более внетреннее" - имхо тогда вирус может просто заменить винду (в теории) - например, записаться на дискету, если она вставлена, и сделать её зарузочной + в биосе постевить загрузку с неё ...


 
Игорь Шевченко ©   (2005-01-06 23:54) [35]


> тогда вирус может просто заменить винду (в теории) - например,
> записаться на дискету, если она вставлена, и сделать её
> зарузочной + в биосе постевить загрузку с неё ...


MS каждый год такие вирусы пишет.


 
Piter ©   (2005-01-06 23:54) [36]

GuAV ©   (06.01.05 22:20) [33]
Анализируя Таблицу Экспорта файла


ntdll?

kaZaNoVa ©   (06.01.05 23:18) [34]

я тебя все равно не понимаю...


 
GuAV ©   (2005-01-07 00:25) [37]

Piter ©   (06.01.05 23:54) [36]

Нет, mforum.exe. Где нужная функция, там и анализируй.


 
Piter ©   (2005-01-07 00:27) [38]

Игорь Шевченко ©   (06.01.05 22:18) [32]

нашел: http://www.orgon.com/w2k_internals/cd.html

Скачал оттуда: w2k_spy.sys, http://www.orgon.com/w2k_internals/w2k_internals.zip

Но там ни описания, ничего... как использовать то?


 
Piter ©   (2005-01-07 00:28) [39]

GuAV ©   (07.01.05 0:25) [37]
Нет, mforum.exe


бла, бла, бла :)
Может я дурак - объяснить что ли нельзя? :)


 
Игорь Шевченко ©   (2005-01-07 00:37) [40]

Piter ©   (07.01.05 00:27) [38]


> Но там ни описания, ничего... как использовать то?


Ну вот смотри, я потратил в свое время 250 рублей, купил книжку Свена Шрайбера, прочитал ее...Почему бы не проделать для удовлетворения собственных потребностей аналогичный путь ? Я не совсем понимаю.


 
Piter ©   (2005-01-07 02:06) [41]

Игорь Шевченко ©   (07.01.05 0:37) [40]
Я не совсем понимаю


Игорь, правда нужно объяснять?
Во-первых, у меня нету 250 рублей. Во-вторых, поблизости ее не продают. И самое главное - мне не нужна вся книжка, мне нужен просто пример использования...

Ну вот смотри, я потратил в свое время 250 рублей

все таки я предлагаю не доводить до абсурда. Вам не кажется, что НА ЛЮБОЙ ВОПРОС в этом форуме можно ответить также? Вот зайду я в основную и в каждой ветке буду писать:

"Вот я в свое время за 500 рублей купил книжку Тейксера и Пачеко (Кэнту, Фаронова, Рихтера, Соломона ...) и прочитал ее. Почему бы не вам не сделать тоже самое?"

Причем что обидно - на вопрос по запуздыриванию иконки ответ сразу скажут, а вот такая интересная фигня как у меня не поощряется...

Игорь Шевченко ©   (07.01.05 0:37) [40]
купил книжку Свена Шрайбера


а как книжка то хоть? Стоящая? В стиле Соломона и Руссиновича?


 
Gero ©   (2005-01-07 02:11) [42]


> на вопрос по запуздыриванию иконки ответ сразу скажут

Неудачный пример :)


 
kaZaNoVa ©   (2005-01-07 12:55) [43]

Piter ©   (06.01.05 23:54) [36]

> я тебя все равно не понимаю...

спорит не буду :))
имхо с тронами надо бороться административными методами, а не искать их, когда уже есть :))
профилактика рулит!


 
kaZaNoVa ©   (2005-01-07 12:56) [44]

kaZaNoVa ©   (07.01.05 12:55) [43]

> тронами

троянами конечно, (меня что-то глючит)


 
Piter ©   (2005-01-07 15:05) [45]

Gero ©   (07.01.05 2:11) [42]
Неудачный пример :)


почему? То, что тему могут закрыть?
А это происходит в 1/3 случаев. В 2/3 ответ дают. И более того, зачастую еще тема разрастается до 50 постов...


 
kaZaNoVa ©   (2005-01-07 16:29) [46]

Piter ©   (07.01.05 15:05) [45]
да, тот пример неудачен ...


 
Piter ©   (2005-01-07 19:33) [47]

почему?


 
Gero ©   (2005-01-07 23:04) [48]


> Piter ©   (07.01.05 19:33)

Потому что тема и вправду зачастую разрастается до 50 постов, а ответ говорят далеко не сразу…


 
Piter ©   (2005-01-08 00:33) [49]

Gero ©   (07.01.05 23:04) [48]
а ответ говорят далеко не сразу


зато говорят


 
Gero ©   (2005-01-08 00:35) [50]


> Piter ©   (08.01.05 00:33)

Но не сразу.


 
kaZaNoVa ©   (2005-01-08 00:38) [51]

ЛОЛ, флейм пошёл :))


 
Piter ©   (2005-01-08 00:50) [52]

Gero ©   (08.01.05 0:35) [50]
Но не сразу


но ведь говорят? :)


 
Gero ©   (2005-01-08 00:51) [53]


> на вопрос по запуздыриванию иконки ответ сразу скажут

Вот поэтому я и говорю, что пример неудачен.


 
GuAV ©   (2005-01-08 00:53) [54]

По крайней мере тема разраслась до 50 постов.


 
Piter ©   (2005-01-08 01:31) [55]

Точно. Может, скоро и ответ дадут? :)

P.S. ИГОРЬ! А как в целом книжка Свена Шрайбера? Стоящая вещь?


 
Piter ©   (2005-01-15 17:44) [56]

Может у кого есть пример использования?



Страницы: 1 2 вся ветка

Форум: "Потрепаться";
Текущий архив: 2005.02.06;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.59 MB
Время: 0.041 c
1-1106653981
Sour Smile
2005-01-25 14:53
2005.02.06
Две иконки в exe


6-1100601123
Alex_Petr
2004-11-16 13:32
2005.02.06
TidSMTP. Ошибка: failed to run checks


14-1105901304
Dvemer
2005-01-16 21:48
2005.02.06
Превращение - 3


6-1101274782
leonidus
2004-11-24 08:39
2005.02.06
Переход с Indy 8 на Indy 9


14-1105215575
Чеширский_Кот
2005-01-08 23:19
2005.02.06
Кто-нибудь мне может объяснить...





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский