Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2006.08.27;
Скачать: [xml.tar.bz2];

Вниз

Список всех процессов:)   Найти похожие ветки 

 
vidiv ©   (2006-07-31 18:12) [0]

Есть куча алгоритмов для сокрытия процессов от всяких диспетчеров задач. Как вам следующий подход к поиску скрытых процессов:
Оснавная идея - перебор хэндлов :)

program plist;
{$APPTYPE CONSOLE}
uses windows, tlhelp32;
var sh:Integer;
   mi:TModuleEntry32;
   pid:integer;
const HandlesCount=65535*4; {Мое замечание, ProcessID всегда кратен числу 4}
begin
   fillchar(mi, sizeof(mi), 0);
   mi.dwSize := sizeof(mi);
   for pid :=1 to HandlesCount div 4 do begin
       if pid and $3FF=0 then
           write(pid*4:8," ",(pid*400 div HandlesCount):4,"%", #13);
       sh := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid*4);
       if sh >= 0 then begin
           if Module32First(sh, mi) then begin
               CharToOemBuff(mi.szExePath, mi.szExePath, MAX_PATH);
               Writeln(mi.th32ProcessID:8," ", mi.szExePath);
           end;
           CloseHandle(sh);
       end;
   end;
   writeln("Complete. 100%");
   readln;
end.


 
Ketmar ©   (2006-07-31 19:20) [1]

не фонтан...


 
Джо ©   (2006-07-31 20:17) [2]

> {Мое замечание, ProcessID всегда кратен числу 4}

Даже на 64-битной версии Windows?


 
grisme ©   (2006-07-31 20:21) [3]

Удалено модератором
Примечание: Жаргон меняем


 
grisme ©   (2006-07-31 20:22) [4]

Хотя замечу, на всякий случай, видимо vidiv писал конкретно для Win32-приложения


 
vidiv ©   (2006-08-01 06:12) [5]

Задача была построить простой пример на основе идеи, а не супер-пупер программу для вычисления инопланетян :)

По крайней мере злобный вирус, который одалел мой комп, открылся этой простой програмке :)


 
Slym ©   (2006-08-01 06:32) [6]

У меня выдал 20 процессов из 39 работающих... вывод 19 - вирусов половина из которых svchost.exe :)


 
vidiv ©   (2006-08-01 06:52) [7]


> Slym ©   (01.08.06 06:32) [6]

Так показывает, по крайней мере, существование :)
program plist;
{$APPTYPE CONSOLE}
uses
 windows,
 tlhelp32;

var sh:Integer;
  mi:TModuleEntry32;
  pid:integer;
const HandlesCount=65535*4;

function SysErrorMessage(ErrorCode: Integer): string;
var
 Buffer: array[0..255] of Char;
var
 Len: Integer;
begin
 Len := FormatMessage(FORMAT_MESSAGE_FROM_SYSTEM or FORMAT_MESSAGE_IGNORE_INSERTS or
   FORMAT_MESSAGE_ARGUMENT_ARRAY, nil, ErrorCode, 0, Buffer,
   SizeOf(Buffer), nil);
 while (Len > 0) and (Buffer[Len - 1] in [ #0..#32, "."]) do Dec(Len);
 SetString(Result, Buffer, Len);
end;

begin
  fillchar(mi, sizeof(mi), 0);
  mi.dwSize := sizeof(mi);
  for pid :=1 to HandlesCount div 4 do begin
      if pid and $3FF=0 then
          write(pid*4:8," ",(pid*400 div HandlesCount):4,"%", #13);
      sh := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid*4);
      if sh >= 0 then begin
          if Module32First(sh, mi) then begin
              CharToOemBuff(mi.szExePath, mi.szExePath, MAX_PATH);
              Writeln(mi.th32ProcessID:8," ", mi.szExePath);
          end;
          CloseHandle(sh);
      end else begin
        sh := GetLastError;
        if sh <> 87 then
           Writeln(pid*4:8, "     (",sh,", ", SysErrorMessage(sh),")");
      end;
  end;
  writeln("Complete. 100%");
  readln;
end.


 
Игорь Шевченко ©   (2006-08-01 09:46) [8]

Process Explorer - рулез фарева


 
Jeer ©   (2006-08-01 09:57) [9]

1. Dependency walker (Microsoft)
2. Process hunter
3. Process Explorer (Mark Russinovich)

"Что еще человеку надо". (С) БСП


 
Gydvin ©   (2006-08-01 09:57) [10]

Слышали про прогу скрытого управления "Заправила"? Даже не предпологает о существовании на компе серверной части. )))


 
BiN ©   (2006-08-01 09:59) [11]


> Игорь Шевченко ©   (01.08.06 09:46) [8]
>
> Process Explorer - рулез фарева


Последняя версия - не очень.


 
Ketmar ©   (2006-08-01 10:01) [12]

я лично пользуюсь AVZ. сначала он сносит все руткиты (и антивирусы заодно %-), а потом FAR показывает всех, кого надо.


 
Игорь Шевченко ©   (2006-08-01 10:06) [13]

BiN ©   (01.08.06 09:59) [11]

Что плохо в последней (в какой, кстати) версии ?


 
tesseract ©   (2006-08-01 10:16) [14]


> Jeer ©   (01.08.06 09:57) [9]


+ rootkit revealer (Russinovich)
+ TDImon (russinovich)
+ portmon (Russinovich)


 
BiN ©   (2006-08-01 10:25) [15]


> Игорь Шевченко ©   (01.08.06 10:06) [13]
>
> BiN ©   (01.08.06 09:59) [11]
>
> Что плохо в последней (в какой, кстати) версии ?


У меня при некоторых экспериментах с таблицей хэндлов версия 10.2 благополучно порождала синий экран. Это, конечно нетепичный пример для большинства пользователей...
А еще мне не нравится закрепленная колонка процессов, а также возможность установки альфабленда окна в 10%, при котором потом не так уж просто вернуть настройки обратно.
В общем, я консерватор. -)


 
Jeer ©   (2006-08-01 10:26) [16]

:))
Ну тогда уж:
+ listDLL
+ Filemon
+ ntpmon
+ regmon
+ tcpview
+ winobj
+ winpcap
+ promiscuos scan
+ EtheReal
+...



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.08.27;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.49 MB
Время: 0.045 c
2-1155037484
Кирей
2006-08-08 15:44
2006.08.27
Редактирование ДОСовских таблиц на украинском языке


15-1153832388
Ломброзо
2006-07-25 16:59
2006.08.27
Командный интерпретатор


15-1153418279
Dok_3D
2006-07-20 21:57
2006.08.27
Чего все ополчились против Израиля?


1-1152993041
1234
2006-07-15 23:50
2006.08.27
Завершение работы


4-1146600197
DimaDukat
2006-05-03 00:03
2006.08.27
параметры команды ExitWindowsEx





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский