Форум: "Прочее";
Текущий архив: 2006.03.19;
Скачать: [xml.tar.bz2];
ВнизЛюбителям "скрыть процесс" под NT посвящается... Найти похожие ветки
← →
kaZaNoVa © (2006-02-21 19:38) [0]
----------------------------- Process Hunter --------------------------
Process Hunter предназначен для обнаружения скрытых руткитами процессов и реализует несколько различных методов детекта.
Программа работает во всех версиях Windows 2000 и Windows XP.
При тестировании программы на некоторых машинах были обнаружены
проблемы с методами Syscall Hooking и SwapContext Hooking, поэтому используйте эти методы с осторожностью (хотя если раз заработает, то всегда будет работать).
С остальными методами детекта проблем никогда не возникало, так что их использование вполне беопасно, да и для обнаружения большинства руткитов вполне достаточно.
О принципах детекта примененных в программе вы можете прочитать в моей статье "Обнаружение скрытых процессов".
О найденных багах и пожеланиях пожеланиях по улучшению программы сообщайте по адресу Ms-Rem@yandex.ru
статья о программе http://www.wasm.ru/article.php?article=hiddndt
сама прога+исходник: http://www.wasm.ru/pub/21/files/phunter.rar
Прога оч понравилась ;)
навеяно старой темой:
http://delphimaster.net/view/4-1107328870/
Любителям "скырть процесс" под NT посвящается...
Игорь Шевченко © (02.02.05 10:21)
Небольшой код, позволяющий определить, есть ли в системе потенциально вредоносный процесс, скрывающий себя от Task Manager"а, Process Explorer"а и прочих просмотрщиков списка процессов. В сочетании с включенным аудитом процессов поможет выявить поделки доморощенных пакостников.
Проверено на Windows 2000 и Windows XP.
← →
TUser © (2006-02-21 20:46) [1]А ни у кого, кстати, та ветка не сохранилась? Была в WinApi примерно летом.
← →
Игорь Шевченко © (2006-02-21 20:46) [2]
> "скрыть процесс"
скырть.
← →
Внук © (2006-02-21 21:04) [3]>>Игорь Шевченко © (21.02.06 20:46) [2]
Да, скырть. И непременно роцесс, батенька, именно роцесс :)
← →
kaZaNoVa © (2006-02-21 21:06) [4]TUser © (21.02.06 20:46) [1]
не ручаюсь за полноту ветки, у меня сохранилось 49 сообщений с неё
http://sys.h14.ru/Un_Hide_nt.html
← →
kaZaNoVa © (2006-02-21 21:07) [5]Внук © (21.02.06 21:04) [3]
когда-то еще хотели файлы скрывать:))
но процессы популярнее :))
← →
Lamer@fools.ua © (2006-02-21 21:26) [6]Какие процессы? Какие файлы? Давно известно, что лучше скрывать доходы :-))
← →
DillerXX © (2006-02-21 21:34) [7]Я не качал но по-моему там очень старая версия... последняя версия обнаруживает вообще ВСЕ методы скрытия , за исключением нескольких очень как бы сказать секретных :) тоесть даже скрытие на уровне нулевого кольца она (программа) может обнаружить
← →
kaZaNoVa © (2006-02-21 21:36) [8]DillerXX © (21.02.06 21:34) [7]
за исключением нескольких очень как бы сказать секретных :)
что за методы? Вы их знаете?) расскажите:)))
← →
Игорь Шевченко © (2006-02-21 21:37) [9]А что, http://www.sysinternals.com Rootkit Revealer уже не моден ?
← →
DillerXX © (2006-02-21 21:40) [10]
> что за методы? Вы их знаете?) расскажите:)))
знаю лишь теоретический способ, как реализовать не представляю... ксате вас в аське нету, новый номер чтоли, или инвизибл вечный? Единственный простой способ это инжектинг в любой не защищёный процесс. Тогда никакие проги не смогут ничего обнаружить :) главное правильно написать такую программу, которяа будет работать в потоке чужого приложения.
← →
Игорь Шевченко © (2006-02-21 21:41) [11]
> Тогда никакие проги не смогут ничего обнаружить
Сказочник
← →
kaZaNoVa © (2006-02-21 21:42) [12]DillerXX © (21.02.06 21:40) [10]
8049550
← →
DillerXX © (2006-02-21 21:43) [13]
> Сказочник
Ну хорошо, смогут.. я не настаиваю :)
← →
kaZaNoVa © (2006-02-21 21:45) [14]DillerXX © (21.02.06 21:40) [10]
в потоке чужого приложения
я когда-то пробовал ... получалось что-то), но глючило ужас..)))
← →
Игорь Шевченко © (2006-02-21 21:50) [15]Не стоит думать, что Windows писала команда наивных романтиков. Бесправный пользователь не сможет сделать ничего сверх того, что ему разрешено. А если иметь права администратора и привилегии отладки, то тогда вся вина ложится на того, кто эти права дал, то есть, на человеческий фактор.
← →
vidiv © (2006-02-22 04:50) [16]
> Бесправный пользователь не сможет сделать ничего сверх того,
> что ему
Помнится както вы писали, что достаточно просто получить права администратора на локальной машине.
← →
7BB (2006-02-22 10:50) [17]vidiv © (22.02.06 04:50) [16]
достаточно иметь машину в прямой видимости в реале и системную дискетку, обезьяна с гранатой всегда круче чем сверх специ ))
← →
ПЛОВ © (2006-02-22 10:56) [18]Расслабтесь, граждане... НЕ РАБОТАЕТ ваша супер-пупер программа :)
Ну скрыл я процесс. И шо? Она его не видит...
гггг
← →
kaZaNoVa © (2006-02-22 11:01) [19]ПЛОВ © (22.02.06 10:56) [18]
Как скрыли?)
у меня видела .. :)
← →
kaZaNoVa © (2006-02-22 11:02) [20]vidiv © (22.02.06 4:50) [16]
достаточно просто получить права администратора на локальной машине
любой рабочий пример такого - это "эксплоит", юзающий недоработку разработчиков системы .. а такие вещи, как правило, закрывают, исправляют и т.д. ..:)
← →
ПЛОВ © (2006-02-22 11:10) [21]
> Как скрыли?)
Сам ниче не придумывал, все тут - http://www.wasm.ru/article.php?article=apihook_1
Кстати, там же есть и программа обнаружения скрытых процессов, но в отличии от этой "поделки" она рабочая...
← →
DillerXX © (2006-02-22 11:48) [22]Это поделка того же человека, который писал статью :) (судя по названию, хотя я не скачивал). А та прога что к статье - это лишь обход user-mode хуков...
← →
ПЛОВ © (2006-02-22 13:03) [23]
> Это поделка того же человека, который писал статью :) (судя
> по названию, хотя я не скачивал). А та прога что к статье
> - это лишь обход user-mode хуков...
Думаю, обычный юзверь не будет вникать в такие подробности. Факт то что процесс от нее можно скрыть.
← →
kaZaNoVa © (2006-02-22 13:50) [24]ПЛОВ © (22.02.06 10:56) [18]
Ну скрыл я процесс. И шо? Она его не видит...
только что проверил - всё видит (!) - находит и помечает как скрытый.. - Вы наверное не отметили там не одну опцию обраружения .. вот она ничего и не нашла ... (по умолчанию не одна опция не отмечена)
← →
kaZaNoVa © (2006-02-22 13:54) [25]ПЛОВ © (22.02.06 13:03) [23]
Факт то что процесс от нее можно скрыть
не факт .. (см [24])
а вообще, думаю всё-таки скрытть полностью процесс нельзя .. можно обмануть/перехватить/подделать одну функцию, выдающуую инфу о процессах, другую .. но рано или поздно это можно так или иначе обнаружить.. :))
и имхо правильнее говорить - не "спрятать процесс" а спрятать процесс от отпределенной программы .. :))
← →
Crash Coredump © (2006-02-22 16:00) [26]Тайное становится явным. Всегда.
← →
ПЛОВ © (2006-02-22 17:30) [27]
> Вы наверное не отметили там не одну опцию обраружения
Не отмечал... Лень было разбираться :)
← →
Andy BitOff © (2006-02-22 19:00) [28]
ПЛОВ © (22.02.06 17:30) [27]
Не отмечал...
=)))
← →
Игорь Шевченко © (2006-02-22 21:27) [29]vidiv © (22.02.06 04:50) [16]
> Помнится както вы писали, что достаточно просто получить
> права администратора на локальной машине.
"Съесть-то он съест, да кто ж ему даст"
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.03.19;
Скачать: [xml.tar.bz2];
Память: 0.52 MB
Время: 0.013 c