Форум: "WinAPI";
Текущий архив: 2004.08.15;
Скачать: [xml.tar.bz2];
Вниз
Скрытие процесса в NT Найти похожие ветки
← →
имя (2004-05-16 23:08) [40]Удалено модератором
← →
AlexKniga © (2004-05-17 13:45) [41]mixir
Читай не тока ответы, но и вопросы.
> DelphiN! © (12.05.04 21:42) [37]
> Назовите вы файл вашей программы какнибудь типо winlogon.exe
> и его никто снять не сможет(процесс)
> AlexKniga © (13.05.04 19:33) [38]
> DelphiN!
> Любой третьесторонний Task Killer прибивает winlogon.exe
> на ура!
Имелся ввиду не настоящий winlogon.exe, а поддельный.
← →
mixir (2004-05-17 21:14) [42]И тишина....
Самый простой способ:
(Не нужны права админа)
1 Делай глобальный хук WH_CBT
2 Ставь хук на таблицу импорта (можно использовать madHook или как там его... вобщем читай Рихтера),или хукай по абсолютному адресу.
3 Сделай свою процедуру-wrapper.
4 Для глобального скрытия нескольких процессов используй виртуальные файлы.
Примечание: работает только с GUI приложениями.
Другой метод: создать драйвер и перехватить ф-цию в Ntoskrnl.exe.
Можно также и без драйвера подменить таблицу процессов.(Мощная тема, но только, как и драйвер, работает с правами админа).
← →
Keyboard (2004-05-20 14:22) [43]Удалено модератором
← →
mixir (2004-05-20 16:29) [44]Удалено модератором
Примечание: Offtopic
← →
trix (2004-05-23 11:34) [45]замени стандартный системный файл
← →
FireMan_Alexey © (2004-05-25 14:22) [46]Я как-то просил Digitman-а прислать кусок кода для XP с перехватом АПИ функций. Он прислал, но т.к. в то время не сохранялись результаты в архивы этот кусок кода был потерян.
Я думаю если ты его уговоришь, то он поделится ну и не забудь поделиться со всеми. :)
← →
Kerk © (2004-05-27 10:20) [47]
> FireMan_Alexey © (25.05.04 14:22) [46]
Я ссылку на статью про скрытие с помощью перехвата в этом форуме N*10 раз давал...
← →
Vetek_ (2004-05-27 13:10) [48]Керк, ту статью только _Профи_ поймёт ! (без обид)
← →
Kerk © (2004-05-27 13:35) [49]
> Vetek_ (27.05.04 13:10) [48]
Перехват АПИ вообще дело не для чайников.
← →
IraiZor © (2004-05-27 15:57) [50]Имелся ввиду не настоящий winlogon.exe, а поддельный.
winlogon.exe , настоящий, убивает process killer(третьесторонний таск манагер) , без вопросов
← →
FireMan_Alexey © (2004-05-28 11:14) [51]>Kerk
Понимаешь ссылку кинуть может каждый, а объеснить как это работает не каждому терпения хватает! Тем более, что ссылка наверное на сишный код который ссылается на книгу Рихтера или какая статья, я не помню где видел, которая заполнена такими коментариями, что смысл статьи вообще не понятен, то ли она для самоутверждения писалась, либо от безделья. А Digitman дал точно, что требовалось, но у меня тогда Винда упала и все что с ней было тоже! По этому я посоветовал обратиться к ПРОФИ за советом.
Да и хочу заметить, что сколько я не обращался к Digitman-у всегда получал исчерапывающие ответы.
А когда тебе отвечают убивай "Таск менеджер", а кроме таск менеджера может найтись еще более миллиона программ которые показывают список процессов, то лучше такие ответы в оффтоп запихивать, потому что они только запутывают и не несут полезной информации.
← →
Игорь Шевченко © (2004-05-28 12:44) [52]
> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает!
А главное, что никто не будет этим заниматься. Ибо нефиг скрывать процессы в NT.
← →
Kerk © (2004-05-28 15:42) [53]
> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает! Тем более, что ссылка
> наверное на сишный код который ссылается на книгу Рихтера
Ссылка не на код, а на статью. Кода там нет, там описываются технологии. К тому же в статье есть ссылка на исходники проги на Делфи. И на Рихтера там тоже ссылок нет.
← →
Kerk © (2004-05-28 15:50) [54]
> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает!
Кстати, у меня хватило терпения эту статью перевести... :)
Специально для тех, у кого с аглицким плохо... :)
← →
AlexKniga © (2004-05-28 18:47) [55]IraiZor
Для прибития настоящего winlogon.exe нужны права администратора, а они не у всех есть.
← →
Vetek (2004-05-28 21:54) [56]если кильнуть winlogon.exe - по моему всё зависнет ..
- а права админа - конечно не у всех, но это дело времени и желания ..
← →
Марк (2004-05-29 13:40) [57]Удалено модератором
← →
Глеб © (2004-05-29 13:52) [58]Удалено модератором
Примечание: Личная переписка
← →
Vetek (2004-05-29 13:56) [59]Удалено модератором
← →
IraiZor © (2004-05-29 18:23) [60]если кильнуть winlogon.exe - по моему всё зависнет ..
не зависнет а заребутится , мгновенно =) быстрее EWX_FORCE =)
насчет Прав , возможно я нуб , негодяй итд, но разве для того чтобы завалить сис процесс не нужны всего лишь DeBug привилегии ?
Глеб , да =) шокирован ?
← →
Gero © (2004-05-29 18:26) [61]
> чтобы можно было без проблем скрывать программу (по необходимости ..)
LOL
← →
IraiZor © (2004-05-29 18:33) [62]чтобы можно было без проблем скрывать программу (по необходимости ..)
страшно подумать скока вирей резидентов появится o_0 ?
← →
Smiler (2004-05-30 02:10) [63]И почему все хотят скрыть процесс?
Может просто сделать его неубиваемым, т.е. неубиваемой на TerminateProcess...//
Полностью сошласен.Если при насильном закрытии убивать lsass.exe то появиться окошко экстренного завершения работы системы(вроде через 30 сек.) и после этого явно никому не надо больше будет трогать твой процесс. И прятать не надо.просто надо замаскировать под системный.
Может это и примитивно, но работает.
← →
IraiZor © (2004-05-30 07:58) [64]Smiler
если убить настоящий lsass , а если фальшивый то все будет ок! вообще скрыть процесс имхо лучше тк если ты его просто замаскируешь или попытаешся сделать неубиваемым то все равно если кто-то очень захочет избавится от твоего процесса,он найдет способ +) а если процесс просто невидим, то юзер ничего даже подозревать не будет...
Тем более мы же пишем админские проги а не вирусы какие-нибудь =)) для нас это несерьезно ;)
← →
Polevi © (2004-05-30 09:46) [65]именно "проги"
← →
Koster (2004-06-03 11:11) [66]Ребята, а "shutdown -a" набрать не пробовали, когда окошко с обратным остчетом пойдет?
Попробуйте ;-)
← →
Просто Серёга (2004-06-07 12:59) [67]Koster
shutdown -a есть такая фишка, но один мой дружок поступал более красиво: после вылетания этого окошка он быстро переставлял дату на год назад и затем это окошко прятал под таскбар =))
А вот насчёт скрытия процессов можно вроде бы как-то дээлэлки к свцхосту присобачивать или юзать утилитку regsvr32 в этой дээлэлке якобы должны функции DllCanUloadNow, DllRegisterServer и т.д., вот хотелось бы об этом попдронее узнать )
← →
Piter © (2004-06-09 15:56) [68]А как поймать процесс, если он перехватывает NtQuerySystemInformation ?
← →
Игорь Шевченко © (2004-06-09 16:06) [69]Piter © (09.06.04 15:56)
> А как поймать процесс, если он перехватывает NtQuerySystemInformation
> ?
Существует несколько способов.
← →
Piter © (2004-06-09 17:42) [70]Игорь Шевченко (09.06.04 16:06) [69]
Я думаю задам очень логичный вопрос - какие способы?
← →
Piter © (2004-06-10 18:04) [71]Удалено модератором
Примечание: Создание пустых сообщений
← →
Piter © (2004-06-11 18:09) [72]Удалено модератором
Примечание: Создание пустых сообщений
← →
Игорь Шевченко © (2004-06-11 23:48) [73]Piter © (09.06.04 17:42)
> Я думаю задам очень логичный вопрос - какие способы?
Способ первый - просмотр списка описателей процессов открытых процессом CSRSS.EXE (Для этого достаточно Process Explorer от Sysinternals)
Способ второй - вызов NtQuerySystemInformation с несколько другими параметрами, не всегда документированными :)
Способ третий - написать драйвер режима ядра или использовать готовый, например, Свена Шрайбера, и получить список процессов так, как его получает ядерная часть NtQuerySystemInformation (способ самый сложный, но и самый надежный)
← →
Piter © (2004-06-12 01:12) [74]Игорь Шевченко (11.06.04 23:48) [73]
Способ первый - просмотр списка описателей процессов открытых процессом CSRSS.EXE
а-а-а. Так вроде адреса памяти по которым находится таблица описателей запрещены для чтения?! Как же их можно просмотреть?
Цитирую:
Игорь Шевченко (31.05.04 11:24) [10]
только доступ из пользовательского режима туда запрещен даже на чтение
← →
Piter © (2004-06-12 01:12) [75]блин, поздно сейчас. Я туплю... сорри
← →
Piter © (2004-06-12 01:13) [76]Игорь Шевченко (11.06.04 23:48) [73]
Способ третий - написать драйвер режима ядра
а мне вот чисто теоретически интересно - а если процесс будет скрываться также драйвером, работающим в режиме ядра... то какой драйвер окажется "сильнее"?
← →
Vetek (2004-06-12 23:24) [77]сильнее будет тот, кто первый выгрузит другой драйвер !
← →
Vetek (2004-06-13 15:41) [78]Да, кстати, самое лучшее решение IMXO (по критериям:
простота*надёжность/профессионализм)
- создавать поток в существующем _ресурсоёмком_ приложении и работать оттуда :) (например Explorer.exe)
- IMXO обычный пользователь _никогда_ такой поток не обнаружит, и будет работать на всей линейке M$ Windows , не будет глюков !!!
- а профессионал/спецпрога засекёт в любом случае .. %-:)
- у кого какие мнения на этот счёт ?
да, кстати, [2] - этот принцип используется с успехом в разных "левых" прогах :(
← →
kot (2004-06-14 11:04) [79]нет не стоит скрывать ничего ..
← →
vidiv © (2004-06-14 13:35) [80]Смысл чтото скрывать... лучше всего скрыто то что лежит навиду ;)
Страницы: 1 2 3 вся ветка
Форум: "WinAPI";
Текущий архив: 2004.08.15;
Скачать: [xml.tar.bz2];
Память: 0.61 MB
Время: 0.028 c
