Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2006.03.19;
Скачать: [xml.tar.bz2];

Вниз

Любителям "скрыть процесс" под NT посвящается...   Найти похожие ветки 

 
kaZaNoVa ©   (2006-02-21 19:38) [0]

----------------------------- Process Hunter --------------------------

Process Hunter предназначен для обнаружения скрытых руткитами процессов и реализует несколько различных методов детекта.
Программа работает во всех версиях Windows 2000 и Windows XP.
При тестировании программы на некоторых машинах были обнаружены
проблемы с методами Syscall Hooking и SwapContext Hooking, поэтому используйте эти методы с осторожностью (хотя если раз заработает, то всегда будет работать).
С остальными методами детекта проблем никогда не возникало, так что их использование вполне беопасно, да и для обнаружения большинства руткитов вполне достаточно.
О принципах детекта примененных в программе вы можете прочитать в моей статье "Обнаружение скрытых процессов".

О найденных багах и пожеланиях пожеланиях по улучшению программы сообщайте по адресу Ms-Rem@yandex.ru


статья о программе   http://www.wasm.ru/article.php?article=hiddndt

сама прога+исходник:  http://www.wasm.ru/pub/21/files/phunter.rar

Прога оч понравилась ;)

навеяно старой темой:

http://delphimaster.net/view/4-1107328870/
Любителям "скырть процесс" под NT посвящается...

Игорь Шевченко ©   (02.02.05 10:21)
Небольшой код, позволяющий определить, есть ли в системе потенциально вредоносный процесс, скрывающий себя от Task Manager"а, Process Explorer"а и прочих просмотрщиков списка процессов. В сочетании с включенным аудитом процессов поможет выявить поделки доморощенных пакостников.
Проверено на Windows 2000 и Windows XP.



 
TUser ©   (2006-02-21 20:46) [1]

А ни у кого, кстати, та ветка не сохранилась? Была в WinApi примерно летом.


 
Игорь Шевченко ©   (2006-02-21 20:46) [2]


>  "скрыть процесс"


скырть.


 
Внук ©   (2006-02-21 21:04) [3]

>>Игорь Шевченко ©   (21.02.06 20:46) [2]
 Да, скырть. И непременно роцесс, батенька, именно роцесс :)


 
kaZaNoVa ©   (2006-02-21 21:06) [4]

TUser ©   (21.02.06 20:46) [1]
не ручаюсь за полноту ветки, у меня сохранилось 49 сообщений с неё    
http://sys.h14.ru/Un_Hide_nt.html


 
kaZaNoVa ©   (2006-02-21 21:07) [5]

Внук ©   (21.02.06 21:04) [3]
когда-то еще хотели файлы скрывать:))

но процессы популярнее :))


 
Lamer@fools.ua ©   (2006-02-21 21:26) [6]

Какие процессы? Какие файлы? Давно известно, что лучше скрывать доходы :-))


 
DillerXX ©   (2006-02-21 21:34) [7]

Я не качал но по-моему там очень старая версия... последняя версия обнаруживает вообще ВСЕ методы скрытия , за исключением нескольких очень как бы сказать секретных :) тоесть даже скрытие на уровне нулевого кольца она (программа) может обнаружить


 
kaZaNoVa ©   (2006-02-21 21:36) [8]

DillerXX ©   (21.02.06 21:34) [7]
за исключением нескольких очень как бы сказать секретных :)


что за методы? Вы их знаете?) расскажите:)))


 
Игорь Шевченко ©   (2006-02-21 21:37) [9]

А что, http://www.sysinternals.com Rootkit Revealer уже не моден ?


 
DillerXX ©   (2006-02-21 21:40) [10]


> что за методы? Вы их знаете?) расскажите:)))

знаю лишь теоретический способ, как реализовать не представляю... ксате вас в аське нету, новый номер чтоли, или инвизибл вечный? Единственный простой способ это инжектинг в любой не защищёный процесс. Тогда никакие проги не смогут ничего обнаружить :) главное правильно написать такую программу, которяа будет работать в потоке чужого приложения.


 
Игорь Шевченко ©   (2006-02-21 21:41) [11]


> Тогда никакие проги не смогут ничего обнаружить


Сказочник


 
kaZaNoVa ©   (2006-02-21 21:42) [12]

DillerXX ©   (21.02.06 21:40) [10]
8049550


 
DillerXX ©   (2006-02-21 21:43) [13]


> Сказочник

Ну хорошо, смогут.. я не настаиваю :)


 
kaZaNoVa ©   (2006-02-21 21:45) [14]

DillerXX ©   (21.02.06 21:40) [10]
в потоке чужого приложения

я когда-то пробовал ...  получалось что-то), но глючило ужас..)))


 
Игорь Шевченко ©   (2006-02-21 21:50) [15]

Не стоит думать, что Windows писала команда наивных романтиков. Бесправный пользователь не сможет сделать ничего сверх того, что ему разрешено. А если иметь права администратора и привилегии отладки, то тогда вся вина ложится на того, кто эти права дал, то есть, на человеческий фактор.


 
vidiv ©   (2006-02-22 04:50) [16]


> Бесправный пользователь не сможет сделать ничего сверх того,
>  что ему

Помнится както вы писали, что достаточно просто получить права администратора на локальной машине.


 
7BB   (2006-02-22 10:50) [17]

vidiv ©   (22.02.06 04:50) [16]
достаточно иметь машину в прямой видимости в реале и системную дискетку, обезьяна с гранатой всегда круче чем сверх специ ))


 
ПЛОВ ©   (2006-02-22 10:56) [18]

Расслабтесь, граждане... НЕ РАБОТАЕТ ваша супер-пупер программа :)
Ну скрыл я процесс. И шо? Она его не видит...
гггг


 
kaZaNoVa ©   (2006-02-22 11:01) [19]

ПЛОВ ©   (22.02.06 10:56) [18]
Как скрыли?)
у меня видела .. :)


 
kaZaNoVa ©   (2006-02-22 11:02) [20]

vidiv ©   (22.02.06 4:50) [16]
достаточно просто получить права администратора на локальной машине


любой рабочий пример такого - это "эксплоит", юзающий недоработку разработчиков системы .. а такие вещи, как правило, закрывают, исправляют и т.д. ..:)


 
ПЛОВ ©   (2006-02-22 11:10) [21]


> Как скрыли?)

Сам ниче не придумывал, все тут - http://www.wasm.ru/article.php?article=apihook_1
Кстати, там же есть и программа обнаружения скрытых процессов, но в отличии от этой "поделки" она рабочая...


 
DillerXX ©   (2006-02-22 11:48) [22]

Это поделка того же человека, который писал статью :) (судя по названию, хотя я не скачивал). А та прога что к статье - это лишь обход user-mode хуков...


 
ПЛОВ ©   (2006-02-22 13:03) [23]


> Это поделка того же человека, который писал статью :) (судя
> по названию, хотя я не скачивал). А та прога что к статье
> - это лишь обход user-mode хуков...

Думаю, обычный юзверь не будет вникать в такие подробности. Факт то что  процесс от нее можно скрыть.


 
kaZaNoVa ©   (2006-02-22 13:50) [24]

ПЛОВ ©   (22.02.06 10:56) [18]
Ну скрыл я процесс. И шо? Она его не видит...

только что проверил - всё видит (!) - находит и помечает как скрытый.. - Вы наверное не отметили там не одну опцию обраружения .. вот она ничего и не нашла ...  (по умолчанию не одна опция не отмечена)


 
kaZaNoVa ©   (2006-02-22 13:54) [25]

ПЛОВ ©   (22.02.06 13:03) [23]
Факт то что  процесс от нее можно скрыть

не факт .. (см [24])

а вообще, думаю всё-таки скрытть полностью процесс нельзя .. можно обмануть/перехватить/подделать одну функцию, выдающуую инфу о процессах, другую ..  но рано или поздно это можно так или иначе обнаружить.. :))

и имхо правильнее говорить - не "спрятать процесс" а спрятать процесс от отпределенной программы .. :))


 
Crash Coredump ©   (2006-02-22 16:00) [26]

Тайное становится явным. Всегда.


 
ПЛОВ ©   (2006-02-22 17:30) [27]


> Вы наверное не отметили там не одну опцию обраружения

Не отмечал... Лень было разбираться :)


 
Andy BitOff ©   (2006-02-22 19:00) [28]


ПЛОВ ©   (22.02.06 17:30) [27]
Не отмечал...

=)))


 
Игорь Шевченко ©   (2006-02-22 21:27) [29]

vidiv ©   (22.02.06 04:50) [16]


> Помнится както вы писали, что достаточно просто получить
> права администратора на локальной машине.


"Съесть-то он съест, да кто ж ему даст"



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.03.19;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.52 MB
Время: 0.013 c
15-1140703385
Kreator_book
2006-02-23 17:03
2006.03.19
Алгоритм школьного расписания


2-1141455206
guru-ru
2006-03-04 09:53
2006.03.19
Многопоточность.


15-1140515617
VanDet
2006-02-21 12:53
2006.03.19
Мастера делфи решите за деньги задачу !!!!!!!!!!!!!!!!!!!!!!!!!!!


1-1140177054
pargo
2006-02-17 14:50
2006.03.19
FreeLibrary -> Invalid pointer operation


2-1141125491
ronyn
2006-02-28 14:18
2006.03.19
Разделить файл





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский