Форум: "WinAPI";
Текущий архив: 2004.08.15;
Скачать: [xml.tar.bz2];
Вниз
Скрытие процесса в NT Найти похожие ветки
← →
shiller © (2004-04-01 11:38) [0]Народ, подскажите пожалуйста как скрыть процесс в NT я знаю что такая вещь уже возможна на Borland C++ Builder, но как ее реализовать в Delphi?
← →
BiN © (2004-04-01 12:27) [1]также как и в Borland C++ Builder
← →
Неуловимый Джо (2004-04-01 14:02) [2]Скрыть процесс можно пихнув его в библиотеку. Запускать, например:
cоздать
«HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify»
Там создать ключ, напр. "MegaVirus", далее значения вроде «DLLName», «EntryPoint» и «StackSize» (MSDN/RTFM).
winlogon создаёт в своем контексте новый поток для вызова указанной процедуры из DLL.
Have Fun :)
← →
Wiz@rd © (2004-04-01 17:02) [3]Можно заплатить мне 5 WMZ и получить нормальный рабочий пример на Delphi
← →
Игорь Шевченко © (2004-04-01 23:30) [4]Wiz@rd © (01.04.04 17:02)
А я могу бесплатно открыть то, что ты скроешь
← →
Wiz@rd © (2004-04-01 23:41) [5]Бесплатно тока сыр в мышеловке
← →
Alexander666 © (2004-04-02 09:06) [6]А что такое "скрыть процесс"? Как говорит небезызвестный Digitman "это понятие растяжимое".
← →
Wiz@rd © (2004-04-02 10:28) [7]А то и значит - чтобы его никто не нашёл
← →
VMcL © (2004-04-02 10:40) [8]>>Wiz@rd © (02.04.04 10:28) [7]
Даже ядро ОС, чтобы о нем не знало? Кто же тогда будет заниматься выполнением кодовых потоков процесса? :)
← →
Игорь Шевченко © (2004-04-02 10:41) [9]
> Кто же тогда будет заниматься выполнением кодовых потоков
> процесса? :)
Автор
← →
Wiz@rd © (2004-04-02 10:49) [10]Даже ядро ОС, чтобы о нем не знало? Кто же тогда будет заниматься выполнением кодовых потоков процесса? :)
Оно может и знает - но никому не скажет - а скажет через функции - которые можно перехватить или ты хочешь делать анализ памяти ядра?
← →
Игорь Шевченко © (2004-04-02 11:13) [11]Wiz@rd © (02.04.04 10:49)
> Оно может и знает - но никому не скажет
Да все оно скажет прекрасно, слово нужное надо знать. Думаешь, перехватил NtQuerySystemInformation с классом SystemProcessesAndThreadsInformation и можешь по 5 WMZ собирать ?
← →
Anatoly Podgoretsky © (2004-04-02 11:23) [12]Процессы скрыть нельзя, скрытый процесс это мертвый процесс.
Другие методы к процессам не относятся.
← →
Kerk © (2004-04-02 11:36) [13]
> я знаю что такая вещь уже возможна на Borland C++ Builder,
> но как ее реализовать в Delphi?
Мда... иди лучше какую-нибудь книжку почитай...
> Игорь Шевченко © (02.04.04 11:13) [11]
Дашь мне 10 WMZ, если я скрою так, что ты не найдешь? %)
← →
Игорь Шевченко © (2004-04-02 12:30) [14]Kerk © (02.04.04 11:36)
Я думаю, торг здесь неуместен (с)
Я ж тебе писал, как искать буду :)
← →
Kerk © (2004-04-02 14:23) [15]
> Я ж тебе писал, как искать буду :)
Дык я все это учту... %)
← →
Игорь Шевченко © (2004-04-02 14:32) [16]Kerk © (02.04.04 14:23)
Ты думаешь, что я тебе ВСЕ написал ? :))
← →
Wiz@rd © (2004-04-02 14:45) [17]Да все оно скажет прекрасно, слово нужное надо знать. Думаешь, перехватил NtQuerySystemInformation с классом SystemProcessesAndThreadsInformation и можешь по 5 WMZ собирать ?
Если такие вопросы поднимаются - то думаю могу. Конечно это не 100% гарантия - я например знаю как найти процесс который скрылся от NtQuerySystemInformation
← →
Wiz@rd © (2004-04-02 14:49) [18]Дашь мне 10 WMZ, если я скрою так, что ты не найдешь? %)
Я согласен - тока и ты мне 10 если я найду
← →
Kerk © (2004-04-02 15:25) [19]
> Игорь Шевченко © (02.04.04 14:32) [16]
> Ты думаешь, что я тебе ВСЕ написал ? :))
Так у меня и кроме тебя источники информации есть. :)
> Wiz@rd © (02.04.04 14:49) [18]
> Я согласен - тока и ты мне 10 если я найду
Так не интересно :)
Нормально скрыть намного сложнее, чем найти...
← →
Игорь Шевченко © (2004-04-02 15:29) [20]Kerk © (02.04.04 15:25)
Жаба хитра, но маленький хрущ с винтом много хитрее ее (с)
Найти можно все, кроме незапущенных программ.
← →
Kerk © (2004-04-03 13:53) [21]1. перейти в нулевое кольцо
2. открыть физическую память на запись
3. записать по адресу 0000:0000 себя,
4. передать туда как-нибудь управление (куча возможностей)
5. завершить основной процесс
6. из нулевого кольца поотрубать руки всем, кто хочет на нас посмотреть... (e.g. запретить открытие \device\physmem ... etc)
вот примерный алгоритм...
извращение конечно, но все-таки... :)
← →
Wiz@rd © (2004-04-03 21:46) [22]1. перейти в нулевое кольцо
2. открыть физическую память на запись
3. записать по адресу 0000:0000 себя,
4. передать туда как-нибудь управление (куча возможностей)
5. завершить основной процесс
6. из нулевого кольца поотрубать руки всем, кто хочет на нас посмотреть... (e.g. запретить открытие \device\physmem ... etc)
вот примерный алгоритм...
извращение конечно, но все-таки... :)
Может пример приведёшь раз такой умный? А может ещё собственную эмуляцию процессора написать - нас тогда вообще убить нельзя будет...
← →
Игорь Шевченко © (2004-04-03 22:02) [23]Kerk © (03.04.04 13:53)
> 6. из нулевого кольца поотрубать руки всем, кто хочет на
> нас посмотреть... (e.g. запретить открытие \device\physmem
> ... etc)
Как ты сам понимаешь, система при этом становится полностью неработоспособной. Такой же метод скрытия можно выполнить гораздо быстрее нажав кнопки "Reset" или "Power" на корпусе компьютера.
Кстати, про открытие \device\physmem...интересная мысль...очередь процессов живет в неподкачиваемом пуле ? Вроде, для него можно имитировать трансляцию виртуальных адресов ;))))
← →
Kerk © (2004-04-04 13:53) [24]
> Wiz@rd © (03.04.04 21:46) [22]
Повежливее пожалуйста... %)
То, что я описал вполне выполнимо. Сомнения вызывает только пункт №6
> Игорь Шевченко © (03.04.04 22:02) [23]
>> 6. из нулевого кольца поотрубать руки всем, кто хочет на
>> нас посмотреть... (e.g. запретить открытие \device\physmem
>> ... etc)
> Как ты сам понимаешь, система при этом становится полностью
> неработоспособной.
Ну это я утрирую, на самом деле можно было бы сделать что-то вроде стелс, т.е. при попытки чтения тела нашей проги, подставлять вместо себя байты, которые там были до нас...
> Вроде, для него можно имитировать трансляцию виртуальных
> адресов ;))))
Интересно... вот бы кто попробовал... :)
Небывает ничего невозможного, бывает только маловероятное. (с)Стажеры.
← →
Игорь Шевченко © (2004-04-04 14:47) [25]Kerk © (04.04.04 13:53)
А овчинка-то выделки стоит ? Я конечно понимаю, стелсы там всякие, крутизна немерянная и т.д.
Тогда уж делать проще - писать резидентную программу. Я надеюсь, здесь термин "резидентная программа" будет понята правильно - это программа, загружающаяся вместе с системой в процессе начальной загрузки, аналогично драйверам.
← →
Wiz@rd © (2004-04-04 14:52) [26]А как ты в драйвере WinAPI будешь использовать?
← →
Kerk © (2004-04-04 14:59) [27]
> А овчинка-то выделки стоит ?
Это уже другой вопрос. :)
← →
Kerk © (2004-04-04 15:02) [28]
> А как ты в драйвере WinAPI будешь использовать?
Причем тут драйвер и зачем мне обязатательно использовать WinAPI?
На крайняк можно callgate в ring3 создавать для вызова WinAPI, если уж сильно нужно.
← →
Xavier © (2004-04-04 23:06) [29]А CreateRemoteThread кто-нибудь отменил?
← →
Игорь Шевченко © (2004-04-04 23:20) [30]Xavier © (04.04.04 23:06)
Да никто не отменял. Только например у меня вызовутся вполне обоснованные подозрения, откуда это в адресном пространстве некоего процесса взялся нештатный модуль и нештатный кодовый поток. Есть такой неплохой инструмент Process Explorer от SysInternals, последняя версия показывает списки модулей и потоков...
← →
Kerk © (2004-04-05 11:39) [31]
> Игорь Шевченко © (04.04.04 23:20) [30]
А как ты определишь какой поток (например в explorer.exe) штатный, а какой не штатный?
← →
Игорь Шевченко © (2004-04-05 12:36) [32]Kerk © (05.04.04 11:39)
По стеку, дружище, по стеку...
← →
Gultipaka (2004-04-06 16:56) [33]raz uzh et obsuzhdenije zashlo v offtopick to idite sjuda http://cydem.org.ua/pars.php?lnk=invisible_code_nt&conf=2, i uchites" skryvat" process.
← →
Игорь Шевченко © (2004-04-06 17:47) [34]Мне что удивительно - на что только люди не идут.
← →
Gamlet (2004-04-07 09:00) [35]Начитался я тут...
И почему все хотят скрыть процесс?
Может просто сделать его неубиваемым, т.е. неубиваемой на TerminateProcess...
Нннда, может кто и знает как это сделать..?
← →
Kerk © (2004-04-07 09:35) [36]
> Может просто сделать его неубиваемым, т.е. неубиваемой на
> TerminateProcess...
> Нннда, может кто и знает как это сделать..?
Это решается правильным администрированием.
← →
DelphiN! © (2004-05-12 21:42) [37]Назовите вы файл вашей программы какнибудь типо winlogon.exe и его никто снять не сможет(процесс)
← →
AlexKniga © (2004-05-13 19:33) [38]DelphiN!
Любой третьесторонний Task Killer прибивает winlogon.exe на ура!
← →
mixir (2004-05-15 20:30) [39]
> AlexKniga © (13.05.04 19:33) [38]
> DelphiN!
> Любой третьесторонний Task Killer прибивает winlogon.exe
> на ура!
Щасссс... Значит таскмгр даже не третьесторонний киллер,а фуфло галимое, так?
winlogon.exe можно убить с привелегией дебага путем получения доступа к отлаживанию его.Да, кстати без привелегии дебага убить процессы ринга 2 НЕЛЬЗЯ!
← →
имя (2004-05-16 23:08) [40]Удалено модератором
Страницы: 1 2 3 вся ветка
Форум: "WinAPI";
Текущий архив: 2004.08.15;
Скачать: [xml.tar.bz2];
Память: 0.55 MB
Время: 0.034 c
