OC

← →
Crusher (2005-10-30 05:26) [0]

Всем, хай!
Похожего тут я не нашел...
Короче, хотел спросить как мне загружаться вместе с ОС, но чтоб моей проги не было видно в диспетчере задач, все это в XP... Может приплестись к explore"y, и запускаться с ним...
Тогда обратный вопрос, как?
Плиз подскажите как лучше, и желательно с кодом...
Заранее благодарен!

← →
Crusher (2005-10-30 05:29) [1]

скорее, чтоб проги не было как в задачах, так и в процессах...

← →
gdaujk © (2005-10-30 06:14) [2]

Если вопрос в скрытии от Диспетчера, то могу предложить сл. вариант.
1) Пишешь DLL со своим кодом. При загрузке твоя DLL должна создавать поток (CreateTread), выполняющий твой код.
2) Пишешь программу, которая создаёт в Explorer"е с помощью CreateRemoteTread поток, главной процедурой которого делаешь LoadLibrary, которая в свою очередь грузит твою DLL. То есть что-то типа:
StrAddr := VirtualAllocEx(hProcess, nil, ByteLen, MEM_COMMIT, PAGE_READWRITE);//hProcess - прцесс Explorer"а WriteProcessMemory(hProcess, StrAddr, адрес_твоей_DLL, ByteLen, Num) ThreadProc := GetProcAddress(GetModuleHandle(kernel32), "LoadLibrary"); CreateRemoteThread(hProcess, nil, 0, @ThreadProc, StrAddr, 0, TID);
При загрузке твоя DLL должна создать ещё один поток (см. пункт 1) и вернуть управление (иначе возможно зависание Explorer"а). В итоге в Explorer"e выполняется поток с твоим кодом, а в диспетчере это всё выглядит как Explorer :-).
Подробнее у Джеффри Рихтера "Windows для профессионалов"

PS: помни: вирусописательство - зло!!!

← →
gdaujk © (2005-10-30 06:22) [3]

А вот на счет "загружаться вместе с ОС" - вопрос интересный. На ум приходит только 2 варианта:

1) через Run в реестре (самое примитивное);
2) как сервис (но для этого надо писать сервис:-).

Оба варианта легко обнаруживаются мользователем посредствам просмотра реестра или списка сервисов.

Ой, я забыл про автозагрузку, которая в пуске...

Может кто ещё способы знает?

← →
Anatoly Podgoretsky © (2005-10-30 10:47) [4]

В чем дело, почему такое желание спрятаться от пользователя, это его право видеть и иметь возможность снять любую задачу или процесс если у него есть достаточные права. Прячуются вирусу и трояны, но таких писателей бьют.

← →
gdaujk © (2005-10-30 15:33) [5]

to Anatoly Podgoretsky
Бывает просто интересно узнать, как эти вирусы и трояны работают. Осведомлён - значит защищён. А про их авторов полностью согласен.

← →
Anatoly Podgoretsky © (2005-10-30 15:38) [6]

С чего бы ты вруг оказываешься защищеным :-)
Каждый день появляется свыше 100 новых вируса, в которых нет ничего нового.

← →
OldNaum © (2005-10-30 16:41) [7]

<offtop>
>> Anatoly Podgoretsky
:)) ну как думаете, латентный ли Crusher?
</offtop>

← →
Anatoly Podgoretsky © (2005-10-30 16:57) [8]

А разве есть сомнения :-)

← →
gdaujk © (2005-10-30 20:08) [9]

...а Crusher в это время пишет наверное 101 вирус, в котором есть что-то новое :-)))

← →
gdaujk © (2005-10-30 20:09) [10]

...например новое название :-)))

← →
Crusher (2005-11-03 04:20) [11]

За помощь спасибо, но люди, почему вы на первого встречного с таким вопросом кидаетесь? Если я пытаюсь скрыться значит, я обязательно вирус пишу?

На самом же деле, после того, когда какой-то троян убил мою винду, мне стало интересно, где, и под чем он может прятаться...

А вирусмейкеров я не уважаю, тех кто их делает, тоже люблю поколотить... :)

← →
Crusher (2005-11-04 05:18) [12]

Кстати, а можно ли, этот поток онаружить?

← →
Crusher (2005-11-04 05:44) [13]

gdaujk, что там за всякие разные переменные?
Я с потоками не сталкивался, поэтому и спрашиваю...
Вот например, ByteLen, Num, Tid...
StrAddr вроде pointer...
THreadProc вроде FarProc...

А Вот остальное?

Страна может спать спокойно, этот вирус появится еще не скоро.

← →
Котик Бегемотик (2005-11-04 10:52) [15]

Помниться был тут товарищь который называл себя "Сракишь" и интересовался подобным - это не он случайно ???

Читайте правила.

← →
Crusher (2005-11-05 05:47) [17]

Нет не он. А вот я знаю, что здесь бывает котик, который очень хочет в ротик... :-)

Crusher (03.11.05 04:20) [11]
Отомстить мечтаешь?

OC Найти похожие ветки