Просмотр процесса

← →
SGU (2003-10-01 11:44) [0]

Работает приложения в ОС Win98, разраб. в Delphi, без исход., который в определенное время выполняет какую то задачу.
В панели задач или в списке задач я не нашел этого приложения.
При включении компа, она сама загражается.
Обьясниете мне пожалуйста как прога работает и где он себя прописывает. Какие функции используется для скрытия.
Как мне обнаружать эту программу. Ест ли спец. утилиты.
Нужен для восстановления исходника.

← →
Song (2003-10-01 12:25) [1]

В w9x это вообще всё легко сделать.
Загружается из реестра.
Прячется через RegisterServiceProcess()

← →
SGU (2003-10-01 13:01) [2]

а где в реестре?
в RUN не нашел?

← →
Digitman (2003-10-01 13:30) [3]

сделай сквозной поиск по реестру с моделью поиска "ИмяФайлаПриложения"

← →
SGU (2003-10-01 13:58) [4]

делал не нашел

← →
Digitman (2003-10-01 14:14) [5]

так может оно (приложение) просто в меню автозагрузки фигурирует ? туда-то смотрел в 1-ю очередь ?

может еще и в секции Run какого-нить Win.ini или System.ini фигурировать, просто не помню

сделай скв.поиск по сист.разделу на предмет фоиска файлов, где фигурирует интересующее тебя имя файла и/или путь к нему

← →
SGU (2003-10-01 14:23) [6]

я везде (автозагрузка, Run,win.ini, панель задач) искал
без результатно
даже полный поиск на содержания такого текста

← →
Digitman (2003-10-01 14:34) [7]

В таком случае есть еще как минимум один вариант. Уже тревожащий, кстати.

Некое другое ,автоматически стартуемое тем или иным образом, приложение в ходе своей работы извлекает из своих ресурсов тело PE-модуля (зараза ?), записывает его во временный скрытый файл (который ты не находишь) и стартует его как процесс скрытого от глаз приложения, после чего последний регистрируется как сервис, а по завершению удаляет тот врем.файл, из которого он был стартован

следует призадуматься о проверке машины на "заразу"

← →
SGU (2003-10-01 14:55) [8]

эта производственная программа
так что там не должно быт вирусов

← →
Digitman (2003-10-01 15:08) [9]

> Работает приложения в ОС Win98

а счего ты взял, что это вообще "приложение" ?
и откуда ты знаешь что оно "работает" ? ты же не видишь его ни в панели задач ни в списке процессов ? а может это драйвер ?

← →
SGU (2003-10-02 05:45) [10]

само приложения та у меня есть,
он обрабатывает инф. и создает текстовый файл в определенное время.
но исх. потеряны.

← →
Anatoly Podgoretsky (2003-10-02 07:13) [11]

Молодой человек вешаете лапшу на уши.

SGU © (01.10.03 11:44)
Как мне обнаружать эту программу. Ест ли спец. утилиты.
Нужен для восстановления исходника.
SGU © (02.10.03 05:45) [10]
само приложения та у меня есть,

← →
Digitman (2003-10-02 08:33) [12]

Да, что-то лапшой отдает изрядно все это)

← →
SGU (2003-10-02 08:48) [13]

никакая эта не лапша
в данный эта программа работает, потому что он дает текстовые файлы
но он не виден в таскманеджере
когда я просто его запускаю он не скрывается

← →
Digitman (2003-10-02 10:19) [14]

> но он не виден в таскманеджере

кто "он" ? процесс приложения ?
ну и что ж что не виден ? что это тебя так заботит, если это заведомо не "зараза" ?

тебе что надо-то ? конкретно ? просвети уж нас тут, бестолковых)...

файл приложения есть у тебя ? сам говоришь - есть) ... ну и чего ж "обнаруживать" тогда ? мало ли как это приложение запускается ! главное что запускается из известного тебе файла и делает некое полезное дело)

ну а коль интересны "потроха", возьми дизассемблер, получи листинг и изучай его на здоровье, что, как и при каких условиях творится в процессе, стартуемом тем или иным образом из этого файла

← →
Digitman (2003-10-02 10:26) [15]

> даже полный поиск на содержания такого текста

не верю

а если даже это так, то значит данное приложение в динамике стартуется другим приложением, причем - неким хитрозадым спосом, при котором в теле стартующего приложения отсутствуют в явном виде текстовые ресурсы, содержащие ссылку на стартуемый файл ... а это уже крайне подозрительно)

← →
BFG (2003-10-02 14:32) [16]

Встречался с еще одним вариантом - приложение пишет ключ в реестре, отслеживает запуск редактора реестра (FindWindow) и временно удаляет его, а потом опять создает:) тупо, но работает. На всяк случай, просканнируй реестр программно.

Просмотр процесса Найти похожие ветки