Форум: "Прочее";
Текущий архив: 2006.08.27;
Скачать: [xml.tar.bz2];

Вниз

Список всех процессов:)   Найти похожие ветки 

← →
vidiv ©   (2006-07-31 18:12) [0]

Есть куча алгоритмов для сокрытия процессов от всяких диспетчеров задач. Как вам следующий подход к поиску скрытых процессов:
Оснавная идея - перебор хэндлов :)

program plist;
{$APPTYPE CONSOLE}
uses windows, tlhelp32;
var sh:Integer;
   mi:TModuleEntry32;
   pid:integer;
const HandlesCount=65535*4; {Мое замечание, ProcessID всегда кратен числу 4}
begin
   fillchar(mi, sizeof(mi), 0);
   mi.dwSize := sizeof(mi);
   for pid :=1 to HandlesCount div 4 do begin
       if pid and $3FF=0 then
           write(pid*4:8," ",(pid*400 div HandlesCount):4,"%", #13);
       sh := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid*4);
       if sh >= 0 then begin
           if Module32First(sh, mi) then begin
               CharToOemBuff(mi.szExePath, mi.szExePath, MAX_PATH);
               Writeln(mi.th32ProcessID:8," ", mi.szExePath);
           end;
           CloseHandle(sh);
       end;
   end;
   writeln("Complete. 100%");
   readln;
end.

---

← →
Ketmar ©   (2006-07-31 19:20) [1]

не фонтан...

---

← →
Джо ©   (2006-07-31 20:17) [2]

> {Мое замечание, ProcessID всегда кратен числу 4}

Даже на 64-битной версии Windows?

---

← →
grisme ©   (2006-07-31 20:21) [3]

Удалено модератором
Примечание: Жаргон меняем

---

← →
grisme ©   (2006-07-31 20:22) [4]

Хотя замечу, на всякий случай, видимо vidiv писал конкретно для Win32-приложения

---

← →
vidiv ©   (2006-08-01 06:12) [5]

Задача была построить простой пример на основе идеи, а не супер-пупер программу для вычисления инопланетян :)

По крайней мере злобный вирус, который одалел мой комп, открылся этой простой програмке :)

---

← →
Slym ©   (2006-08-01 06:32) [6]

У меня выдал 20 процессов из 39 работающих... вывод 19 - вирусов половина из которых svchost.exe :)

---

← →
vidiv ©   (2006-08-01 06:52) [7]

> Slym ©   (01.08.06 06:32) [6]

Так показывает, по крайней мере, существование :)
program plist;
{$APPTYPE CONSOLE}
uses
 windows,
 tlhelp32;

var sh:Integer;
  mi:TModuleEntry32;
  pid:integer;
const HandlesCount=65535*4;

function SysErrorMessage(ErrorCode: Integer): string;
var
 Buffer: array[0..255] of Char;
var
 Len: Integer;
begin
 Len := FormatMessage(FORMAT_MESSAGE_FROM_SYSTEM or FORMAT_MESSAGE_IGNORE_INSERTS or
   FORMAT_MESSAGE_ARGUMENT_ARRAY, nil, ErrorCode, 0, Buffer,
   SizeOf(Buffer), nil);
 while (Len > 0) and (Buffer[Len - 1] in [ #0..#32, "."]) do Dec(Len);
 SetString(Result, Buffer, Len);
end;

begin
  fillchar(mi, sizeof(mi), 0);
  mi.dwSize := sizeof(mi);
  for pid :=1 to HandlesCount div 4 do begin
      if pid and $3FF=0 then
          write(pid*4:8," ",(pid*400 div HandlesCount):4,"%", #13);
      sh := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid*4);
      if sh >= 0 then begin
          if Module32First(sh, mi) then begin
              CharToOemBuff(mi.szExePath, mi.szExePath, MAX_PATH);
              Writeln(mi.th32ProcessID:8," ", mi.szExePath);
          end;
          CloseHandle(sh);
      end else begin
        sh := GetLastError;
        if sh <> 87 then
           Writeln(pid*4:8, "     (",sh,", ", SysErrorMessage(sh),")");
      end;
  end;
  writeln("Complete. 100%");
  readln;
end.

---

← →
Игорь Шевченко ©   (2006-08-01 09:46) [8]

Process Explorer - рулез фарева

---

← →
Jeer ©   (2006-08-01 09:57) [9]

1. Dependency walker (Microsoft)
2. Process hunter
3. Process Explorer (Mark Russinovich)

"Что еще человеку надо". (С) БСП

---

← →
Gydvin ©   (2006-08-01 09:57) [10]

Слышали про прогу скрытого управления "Заправила"? Даже не предпологает о существовании на компе серверной части. )))

---

← →
BiN ©   (2006-08-01 09:59) [11]

> Игорь Шевченко ©   (01.08.06 09:46) [8]
>
> Process Explorer - рулез фарева


Последняя версия - не очень.

---

← →
Ketmar ©   (2006-08-01 10:01) [12]

я лично пользуюсь AVZ. сначала он сносит все руткиты (и антивирусы заодно %-), а потом FAR показывает всех, кого надо.

---

← →
Игорь Шевченко ©   (2006-08-01 10:06) [13]

BiN ©   (01.08.06 09:59) [11]

Что плохо в последней (в какой, кстати) версии ?

---

← →
tesseract ©   (2006-08-01 10:16) [14]

> Jeer ©   (01.08.06 09:57) [9]


+ rootkit revealer (Russinovich)
+ TDImon (russinovich)
+ portmon (Russinovich)

---

← →
BiN ©   (2006-08-01 10:25) [15]

> Игорь Шевченко ©   (01.08.06 10:06) [13]
>
> BiN ©   (01.08.06 09:59) [11]
>
> Что плохо в последней (в какой, кстати) версии ?


У меня при некоторых экспериментах с таблицей хэндлов версия 10.2 благополучно порождала синий экран. Это, конечно нетепичный пример для большинства пользователей...
А еще мне не нравится закрепленная колонка процессов, а также возможность установки альфабленда окна в 10%, при котором потом не так уж просто вернуть настройки обратно.
В общем, я консерватор. -)

---

← →
Jeer ©   (2006-08-01 10:26) [16]

:))
Ну тогда уж:
+ listDLL
+ Filemon
+ ntpmon
+ regmon
+ tcpview
+ winobj
+ winpcap
+ promiscuos scan
+ EtheReal
+...

---

Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.08.27;
Скачать: [xml.tar.bz2];

Наверх

Память: 0.49 MB
Время: 0.048 c