Любителям "скрыть процесс" под NT посвящается...

← →
kaZaNoVa © (2006-02-21 19:38) [0]

----------------------------- Process Hunter -------------------------- Process Hunter предназначен для обнаружения скрытых руткитами процессов и реализует несколько различных методов детекта. Программа работает во всех версиях Windows 2000 и Windows XP. При тестировании программы на некоторых машинах были обнаружены проблемы с методами Syscall Hooking и SwapContext Hooking, поэтому используйте эти методы с осторожностью (хотя если раз заработает, то всегда будет работать). С остальными методами детекта проблем никогда не возникало, так что их использование вполне беопасно, да и для обнаружения большинства руткитов вполне достаточно. О принципах детекта примененных в программе вы можете прочитать в моей статье "Обнаружение скрытых процессов". О найденных багах и пожеланиях пожеланиях по улучшению программы сообщайте по адресу Ms-Rem@yandex.ru

статья о программе http://www.wasm.ru/article.php?article=hiddndt

сама прога+исходник: http://www.wasm.ru/pub/21/files/phunter.rar

Прога оч понравилась ;)

навеяно старой темой:
http://delphimaster.net/view/4-1107328870/ Любителям "скырть процесс" под NT посвящается... Игорь Шевченко © (02.02.05 10:21) Небольшой код, позволяющий определить, есть ли в системе потенциально вредоносный процесс, скрывающий себя от Task Manager"а, Process Explorer"а и прочих просмотрщиков списка процессов. В сочетании с включенным аудитом процессов поможет выявить поделки доморощенных пакостников. Проверено на Windows 2000 и Windows XP.

← →
TUser © (2006-02-21 20:46) [1]

А ни у кого, кстати, та ветка не сохранилась? Была в WinApi примерно летом.

← →
Игорь Шевченко © (2006-02-21 20:46) [2]

> "скрыть процесс"

скырть.

← →
Внук © (2006-02-21 21:04) [3]

>>Игорь Шевченко © (21.02.06 20:46) [2]
Да, скырть. И непременно роцесс, батенька, именно роцесс :)

← →
kaZaNoVa © (2006-02-21 21:06) [4]

TUser © (21.02.06 20:46) [1]
не ручаюсь за полноту ветки, у меня сохранилось 49 сообщений с неё
http://sys.h14.ru/Un_Hide_nt.html

← →
kaZaNoVa © (2006-02-21 21:07) [5]

Внук © (21.02.06 21:04) [3]
когда-то еще хотели файлы скрывать:))

но процессы популярнее :))

← →
Lamer@fools.ua © (2006-02-21 21:26) [6]

Какие процессы? Какие файлы? Давно известно, что лучше скрывать доходы :-))

← →
DillerXX © (2006-02-21 21:34) [7]

Я не качал но по-моему там очень старая версия... последняя версия обнаруживает вообще ВСЕ методы скрытия , за исключением нескольких очень как бы сказать секретных :) тоесть даже скрытие на уровне нулевого кольца она (программа) может обнаружить

← →
kaZaNoVa © (2006-02-21 21:36) [8]

DillerXX © (21.02.06 21:34) [7]
за исключением нескольких очень как бы сказать секретных :)

что за методы? Вы их знаете?) расскажите:)))

← →
Игорь Шевченко © (2006-02-21 21:37) [9]

А что, http://www.sysinternals.com Rootkit Revealer уже не моден ?

← →
DillerXX © (2006-02-21 21:40) [10]

> что за методы? Вы их знаете?) расскажите:)))

знаю лишь теоретический способ, как реализовать не представляю... ксате вас в аське нету, новый номер чтоли, или инвизибл вечный? Единственный простой способ это инжектинг в любой не защищёный процесс. Тогда никакие проги не смогут ничего обнаружить :) главное правильно написать такую программу, которяа будет работать в потоке чужого приложения.

← →
Игорь Шевченко © (2006-02-21 21:41) [11]

> Тогда никакие проги не смогут ничего обнаружить

Сказочник

← →
kaZaNoVa © (2006-02-21 21:42) [12]

DillerXX © (21.02.06 21:40) [10]
8049550

← →
DillerXX © (2006-02-21 21:43) [13]

> Сказочник

Ну хорошо, смогут.. я не настаиваю :)

← →
kaZaNoVa © (2006-02-21 21:45) [14]

DillerXX © (21.02.06 21:40) [10]
в потоке чужого приложения
я когда-то пробовал ... получалось что-то), но глючило ужас..)))

← →
Игорь Шевченко © (2006-02-21 21:50) [15]

Не стоит думать, что Windows писала команда наивных романтиков. Бесправный пользователь не сможет сделать ничего сверх того, что ему разрешено. А если иметь права администратора и привилегии отладки, то тогда вся вина ложится на того, кто эти права дал, то есть, на человеческий фактор.

← →
vidiv © (2006-02-22 04:50) [16]

> Бесправный пользователь не сможет сделать ничего сверх того,
> что ему

Помнится както вы писали, что достаточно просто получить права администратора на локальной машине.

← →
7BB (2006-02-22 10:50) [17]

vidiv © (22.02.06 04:50) [16]
достаточно иметь машину в прямой видимости в реале и системную дискетку, обезьяна с гранатой всегда круче чем сверх специ ))

← →
ПЛОВ © (2006-02-22 10:56) [18]

Расслабтесь, граждане... НЕ РАБОТАЕТ ваша супер-пупер программа :)
Ну скрыл я процесс. И шо? Она его не видит...
гггг

← →
kaZaNoVa © (2006-02-22 11:01) [19]

ПЛОВ © (22.02.06 10:56) [18]
Как скрыли?)
у меня видела .. :)

← →
kaZaNoVa © (2006-02-22 11:02) [20]

vidiv © (22.02.06 4:50) [16]
достаточно просто получить права администратора на локальной машине

любой рабочий пример такого - это "эксплоит", юзающий недоработку разработчиков системы .. а такие вещи, как правило, закрывают, исправляют и т.д. ..:)

> Как скрыли?)

Сам ниче не придумывал, все тут - http://www.wasm.ru/article.php?article=apihook_1
Кстати, там же есть и программа обнаружения скрытых процессов, но в отличии от этой "поделки" она рабочая...

Это поделка того же человека, который писал статью :) (судя по названию, хотя я не скачивал). А та прога что к статье - это лишь обход user-mode хуков...

> Это поделка того же человека, который писал статью :) (судя
> по названию, хотя я не скачивал). А та прога что к статье
> - это лишь обход user-mode хуков...

Думаю, обычный юзверь не будет вникать в такие подробности. Факт то что процесс от нее можно скрыть.

ПЛОВ © (22.02.06 10:56) [18]
Ну скрыл я процесс. И шо? Она его не видит...
только что проверил - всё видит (!) - находит и помечает как скрытый.. - Вы наверное не отметили там не одну опцию обраружения .. вот она ничего и не нашла ... (по умолчанию не одна опция не отмечена)

ПЛОВ © (22.02.06 13:03) [23]
Факт то что процесс от нее можно скрыть
не факт .. (см [24])

а вообще, думаю всё-таки скрытть полностью процесс нельзя .. можно обмануть/перехватить/подделать одну функцию, выдающуую инфу о процессах, другую .. но рано или поздно это можно так или иначе обнаружить.. :))

и имхо правильнее говорить - не "спрятать процесс" а спрятать процесс от отпределенной программы .. :))

Тайное становится явным. Всегда.

> Вы наверное не отметили там не одну опцию обраружения

Не отмечал... Лень было разбираться :)

vidiv © (22.02.06 04:50) [16]

> Помнится както вы писали, что достаточно просто получить
> права администратора на локальной машине.

"Съесть-то он съест, да кто ж ему даст"

Любителям "скрыть процесс" под NT посвящается... Найти похожие ветки