Форум: "Прочее";
Текущий архив: 2006.08.27;
Скачать: [xml.tar.bz2];
ВнизСписок всех процессов:) Найти похожие ветки
← →
vidiv © (2006-07-31 18:12) [0]Есть куча алгоритмов для сокрытия процессов от всяких диспетчеров задач. Как вам следующий подход к поиску скрытых процессов:
Оснавная идея - перебор хэндлов :)program plist;
{$APPTYPE CONSOLE}
uses windows, tlhelp32;
var sh:Integer;
mi:TModuleEntry32;
pid:integer;
const HandlesCount=65535*4; {Мое замечание, ProcessID всегда кратен числу 4}
begin
fillchar(mi, sizeof(mi), 0);
mi.dwSize := sizeof(mi);
for pid :=1 to HandlesCount div 4 do begin
if pid and $3FF=0 then
write(pid*4:8," ",(pid*400 div HandlesCount):4,"%", #13);
sh := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid*4);
if sh >= 0 then begin
if Module32First(sh, mi) then begin
CharToOemBuff(mi.szExePath, mi.szExePath, MAX_PATH);
Writeln(mi.th32ProcessID:8," ", mi.szExePath);
end;
CloseHandle(sh);
end;
end;
writeln("Complete. 100%");
readln;
end.
← →
Ketmar © (2006-07-31 19:20) [1]не фонтан...
← →
Джо © (2006-07-31 20:17) [2]> {Мое замечание, ProcessID всегда кратен числу 4}
Даже на 64-битной версии Windows?
← →
grisme © (2006-07-31 20:21) [3]Удалено модератором
Примечание: Жаргон меняем
← →
grisme © (2006-07-31 20:22) [4]Хотя замечу, на всякий случай, видимо vidiv писал конкретно для Win32-приложения
← →
vidiv © (2006-08-01 06:12) [5]Задача была построить простой пример на основе идеи, а не супер-пупер программу для вычисления инопланетян :)
По крайней мере злобный вирус, который одалел мой комп, открылся этой простой програмке :)
← →
Slym © (2006-08-01 06:32) [6]У меня выдал 20 процессов из 39 работающих... вывод 19 - вирусов половина из которых svchost.exe :)
← →
vidiv © (2006-08-01 06:52) [7]
> Slym © (01.08.06 06:32) [6]
Так показывает, по крайней мере, существование :)program plist;
{$APPTYPE CONSOLE}
uses
windows,
tlhelp32;
var sh:Integer;
mi:TModuleEntry32;
pid:integer;
const HandlesCount=65535*4;
function SysErrorMessage(ErrorCode: Integer): string;
var
Buffer: array[0..255] of Char;
var
Len: Integer;
begin
Len := FormatMessage(FORMAT_MESSAGE_FROM_SYSTEM or FORMAT_MESSAGE_IGNORE_INSERTS or
FORMAT_MESSAGE_ARGUMENT_ARRAY, nil, ErrorCode, 0, Buffer,
SizeOf(Buffer), nil);
while (Len > 0) and (Buffer[Len - 1] in [ #0..#32, "."]) do Dec(Len);
SetString(Result, Buffer, Len);
end;
begin
fillchar(mi, sizeof(mi), 0);
mi.dwSize := sizeof(mi);
for pid :=1 to HandlesCount div 4 do begin
if pid and $3FF=0 then
write(pid*4:8," ",(pid*400 div HandlesCount):4,"%", #13);
sh := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid*4);
if sh >= 0 then begin
if Module32First(sh, mi) then begin
CharToOemBuff(mi.szExePath, mi.szExePath, MAX_PATH);
Writeln(mi.th32ProcessID:8," ", mi.szExePath);
end;
CloseHandle(sh);
end else begin
sh := GetLastError;
if sh <> 87 then
Writeln(pid*4:8, " (",sh,", ", SysErrorMessage(sh),")");
end;
end;
writeln("Complete. 100%");
readln;
end.
← →
Игорь Шевченко © (2006-08-01 09:46) [8]Process Explorer - рулез фарева
← →
Jeer © (2006-08-01 09:57) [9]1. Dependency walker (Microsoft)
2. Process hunter
3. Process Explorer (Mark Russinovich)
"Что еще человеку надо". (С) БСП
← →
Gydvin © (2006-08-01 09:57) [10]Слышали про прогу скрытого управления "Заправила"? Даже не предпологает о существовании на компе серверной части. )))
← →
BiN © (2006-08-01 09:59) [11]
> Игорь Шевченко © (01.08.06 09:46) [8]
>
> Process Explorer - рулез фарева
Последняя версия - не очень.
← →
Ketmar © (2006-08-01 10:01) [12]я лично пользуюсь AVZ. сначала он сносит все руткиты (и антивирусы заодно %-), а потом FAR показывает всех, кого надо.
← →
Игорь Шевченко © (2006-08-01 10:06) [13]BiN © (01.08.06 09:59) [11]
Что плохо в последней (в какой, кстати) версии ?
← →
tesseract © (2006-08-01 10:16) [14]
> Jeer © (01.08.06 09:57) [9]
+ rootkit revealer (Russinovich)
+ TDImon (russinovich)
+ portmon (Russinovich)
← →
BiN © (2006-08-01 10:25) [15]
> Игорь Шевченко © (01.08.06 10:06) [13]
>
> BiN © (01.08.06 09:59) [11]
>
> Что плохо в последней (в какой, кстати) версии ?
У меня при некоторых экспериментах с таблицей хэндлов версия 10.2 благополучно порождала синий экран. Это, конечно нетепичный пример для большинства пользователей...
А еще мне не нравится закрепленная колонка процессов, а также возможность установки альфабленда окна в 10%, при котором потом не так уж просто вернуть настройки обратно.
В общем, я консерватор. -)
← →
Jeer © (2006-08-01 10:26) [16]:))
Ну тогда уж:
+ listDLL
+ Filemon
+ ntpmon
+ regmon
+ tcpview
+ winobj
+ winpcap
+ promiscuos scan
+ EtheReal
+...
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.08.27;
Скачать: [xml.tar.bz2];
Память: 0.49 MB
Время: 0.045 c