Форум: "WinAPI";
Текущий архив: 2004.08.15;
Скачать: [xml.tar.bz2];
Вниз
Скрытие процесса в NT Найти похожие ветки
← →
shiller © (2004-04-01 11:38) [0]Народ, подскажите пожалуйста как скрыть процесс в NT я знаю что такая вещь уже возможна на Borland C++ Builder, но как ее реализовать в Delphi?
← →
BiN © (2004-04-01 12:27) [1]также как и в Borland C++ Builder
← →
Неуловимый Джо (2004-04-01 14:02) [2]Скрыть процесс можно пихнув его в библиотеку. Запускать, например:
cоздать
«HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify»
Там создать ключ, напр. "MegaVirus", далее значения вроде «DLLName», «EntryPoint» и «StackSize» (MSDN/RTFM).
winlogon создаёт в своем контексте новый поток для вызова указанной процедуры из DLL.
Have Fun :)
← →
Wiz@rd © (2004-04-01 17:02) [3]Можно заплатить мне 5 WMZ и получить нормальный рабочий пример на Delphi
← →
Игорь Шевченко © (2004-04-01 23:30) [4]Wiz@rd © (01.04.04 17:02)
А я могу бесплатно открыть то, что ты скроешь
← →
Wiz@rd © (2004-04-01 23:41) [5]Бесплатно тока сыр в мышеловке
← →
Alexander666 © (2004-04-02 09:06) [6]А что такое "скрыть процесс"? Как говорит небезызвестный Digitman "это понятие растяжимое".
← →
Wiz@rd © (2004-04-02 10:28) [7]А то и значит - чтобы его никто не нашёл
← →
VMcL © (2004-04-02 10:40) [8]>>Wiz@rd © (02.04.04 10:28) [7]
Даже ядро ОС, чтобы о нем не знало? Кто же тогда будет заниматься выполнением кодовых потоков процесса? :)
← →
Игорь Шевченко © (2004-04-02 10:41) [9]
> Кто же тогда будет заниматься выполнением кодовых потоков
> процесса? :)
Автор
← →
Wiz@rd © (2004-04-02 10:49) [10]Даже ядро ОС, чтобы о нем не знало? Кто же тогда будет заниматься выполнением кодовых потоков процесса? :)
Оно может и знает - но никому не скажет - а скажет через функции - которые можно перехватить или ты хочешь делать анализ памяти ядра?
← →
Игорь Шевченко © (2004-04-02 11:13) [11]Wiz@rd © (02.04.04 10:49)
> Оно может и знает - но никому не скажет
Да все оно скажет прекрасно, слово нужное надо знать. Думаешь, перехватил NtQuerySystemInformation с классом SystemProcessesAndThreadsInformation и можешь по 5 WMZ собирать ?
← →
Anatoly Podgoretsky © (2004-04-02 11:23) [12]Процессы скрыть нельзя, скрытый процесс это мертвый процесс.
Другие методы к процессам не относятся.
← →
Kerk © (2004-04-02 11:36) [13]
> я знаю что такая вещь уже возможна на Borland C++ Builder,
> но как ее реализовать в Delphi?
Мда... иди лучше какую-нибудь книжку почитай...
> Игорь Шевченко © (02.04.04 11:13) [11]
Дашь мне 10 WMZ, если я скрою так, что ты не найдешь? %)
← →
Игорь Шевченко © (2004-04-02 12:30) [14]Kerk © (02.04.04 11:36)
Я думаю, торг здесь неуместен (с)
Я ж тебе писал, как искать буду :)
← →
Kerk © (2004-04-02 14:23) [15]
> Я ж тебе писал, как искать буду :)
Дык я все это учту... %)
← →
Игорь Шевченко © (2004-04-02 14:32) [16]Kerk © (02.04.04 14:23)
Ты думаешь, что я тебе ВСЕ написал ? :))
← →
Wiz@rd © (2004-04-02 14:45) [17]Да все оно скажет прекрасно, слово нужное надо знать. Думаешь, перехватил NtQuerySystemInformation с классом SystemProcessesAndThreadsInformation и можешь по 5 WMZ собирать ?
Если такие вопросы поднимаются - то думаю могу. Конечно это не 100% гарантия - я например знаю как найти процесс который скрылся от NtQuerySystemInformation
← →
Wiz@rd © (2004-04-02 14:49) [18]Дашь мне 10 WMZ, если я скрою так, что ты не найдешь? %)
Я согласен - тока и ты мне 10 если я найду
← →
Kerk © (2004-04-02 15:25) [19]
> Игорь Шевченко © (02.04.04 14:32) [16]
> Ты думаешь, что я тебе ВСЕ написал ? :))
Так у меня и кроме тебя источники информации есть. :)
> Wiz@rd © (02.04.04 14:49) [18]
> Я согласен - тока и ты мне 10 если я найду
Так не интересно :)
Нормально скрыть намного сложнее, чем найти...
← →
Игорь Шевченко © (2004-04-02 15:29) [20]Kerk © (02.04.04 15:25)
Жаба хитра, но маленький хрущ с винтом много хитрее ее (с)
Найти можно все, кроме незапущенных программ.
← →
Kerk © (2004-04-03 13:53) [21]1. перейти в нулевое кольцо
2. открыть физическую память на запись
3. записать по адресу 0000:0000 себя,
4. передать туда как-нибудь управление (куча возможностей)
5. завершить основной процесс
6. из нулевого кольца поотрубать руки всем, кто хочет на нас посмотреть... (e.g. запретить открытие \device\physmem ... etc)
вот примерный алгоритм...
извращение конечно, но все-таки... :)
← →
Wiz@rd © (2004-04-03 21:46) [22]1. перейти в нулевое кольцо
2. открыть физическую память на запись
3. записать по адресу 0000:0000 себя,
4. передать туда как-нибудь управление (куча возможностей)
5. завершить основной процесс
6. из нулевого кольца поотрубать руки всем, кто хочет на нас посмотреть... (e.g. запретить открытие \device\physmem ... etc)
вот примерный алгоритм...
извращение конечно, но все-таки... :)
Может пример приведёшь раз такой умный? А может ещё собственную эмуляцию процессора написать - нас тогда вообще убить нельзя будет...
← →
Игорь Шевченко © (2004-04-03 22:02) [23]Kerk © (03.04.04 13:53)
> 6. из нулевого кольца поотрубать руки всем, кто хочет на
> нас посмотреть... (e.g. запретить открытие \device\physmem
> ... etc)
Как ты сам понимаешь, система при этом становится полностью неработоспособной. Такой же метод скрытия можно выполнить гораздо быстрее нажав кнопки "Reset" или "Power" на корпусе компьютера.
Кстати, про открытие \device\physmem...интересная мысль...очередь процессов живет в неподкачиваемом пуле ? Вроде, для него можно имитировать трансляцию виртуальных адресов ;))))
← →
Kerk © (2004-04-04 13:53) [24]
> Wiz@rd © (03.04.04 21:46) [22]
Повежливее пожалуйста... %)
То, что я описал вполне выполнимо. Сомнения вызывает только пункт №6
> Игорь Шевченко © (03.04.04 22:02) [23]
>> 6. из нулевого кольца поотрубать руки всем, кто хочет на
>> нас посмотреть... (e.g. запретить открытие \device\physmem
>> ... etc)
> Как ты сам понимаешь, система при этом становится полностью
> неработоспособной.
Ну это я утрирую, на самом деле можно было бы сделать что-то вроде стелс, т.е. при попытки чтения тела нашей проги, подставлять вместо себя байты, которые там были до нас...
> Вроде, для него можно имитировать трансляцию виртуальных
> адресов ;))))
Интересно... вот бы кто попробовал... :)
Небывает ничего невозможного, бывает только маловероятное. (с)Стажеры.
← →
Игорь Шевченко © (2004-04-04 14:47) [25]Kerk © (04.04.04 13:53)
А овчинка-то выделки стоит ? Я конечно понимаю, стелсы там всякие, крутизна немерянная и т.д.
Тогда уж делать проще - писать резидентную программу. Я надеюсь, здесь термин "резидентная программа" будет понята правильно - это программа, загружающаяся вместе с системой в процессе начальной загрузки, аналогично драйверам.
← →
Wiz@rd © (2004-04-04 14:52) [26]А как ты в драйвере WinAPI будешь использовать?
← →
Kerk © (2004-04-04 14:59) [27]
> А овчинка-то выделки стоит ?
Это уже другой вопрос. :)
← →
Kerk © (2004-04-04 15:02) [28]
> А как ты в драйвере WinAPI будешь использовать?
Причем тут драйвер и зачем мне обязатательно использовать WinAPI?
На крайняк можно callgate в ring3 создавать для вызова WinAPI, если уж сильно нужно.
← →
Xavier © (2004-04-04 23:06) [29]А CreateRemoteThread кто-нибудь отменил?
← →
Игорь Шевченко © (2004-04-04 23:20) [30]Xavier © (04.04.04 23:06)
Да никто не отменял. Только например у меня вызовутся вполне обоснованные подозрения, откуда это в адресном пространстве некоего процесса взялся нештатный модуль и нештатный кодовый поток. Есть такой неплохой инструмент Process Explorer от SysInternals, последняя версия показывает списки модулей и потоков...
← →
Kerk © (2004-04-05 11:39) [31]
> Игорь Шевченко © (04.04.04 23:20) [30]
А как ты определишь какой поток (например в explorer.exe) штатный, а какой не штатный?
← →
Игорь Шевченко © (2004-04-05 12:36) [32]Kerk © (05.04.04 11:39)
По стеку, дружище, по стеку...
← →
Gultipaka (2004-04-06 16:56) [33]raz uzh et obsuzhdenije zashlo v offtopick to idite sjuda http://cydem.org.ua/pars.php?lnk=invisible_code_nt&conf=2, i uchites" skryvat" process.
← →
Игорь Шевченко © (2004-04-06 17:47) [34]Мне что удивительно - на что только люди не идут.
← →
Gamlet (2004-04-07 09:00) [35]Начитался я тут...
И почему все хотят скрыть процесс?
Может просто сделать его неубиваемым, т.е. неубиваемой на TerminateProcess...
Нннда, может кто и знает как это сделать..?
← →
Kerk © (2004-04-07 09:35) [36]
> Может просто сделать его неубиваемым, т.е. неубиваемой на
> TerminateProcess...
> Нннда, может кто и знает как это сделать..?
Это решается правильным администрированием.
← →
DelphiN! © (2004-05-12 21:42) [37]Назовите вы файл вашей программы какнибудь типо winlogon.exe и его никто снять не сможет(процесс)
← →
AlexKniga © (2004-05-13 19:33) [38]DelphiN!
Любой третьесторонний Task Killer прибивает winlogon.exe на ура!
← →
mixir (2004-05-15 20:30) [39]
> AlexKniga © (13.05.04 19:33) [38]
> DelphiN!
> Любой третьесторонний Task Killer прибивает winlogon.exe
> на ура!
Щасссс... Значит таскмгр даже не третьесторонний киллер,а фуфло галимое, так?
winlogon.exe можно убить с привелегией дебага путем получения доступа к отлаживанию его.Да, кстати без привелегии дебага убить процессы ринга 2 НЕЛЬЗЯ!
← →
имя (2004-05-16 23:08) [40]Удалено модератором
← →
AlexKniga © (2004-05-17 13:45) [41]mixir
Читай не тока ответы, но и вопросы.
> DelphiN! © (12.05.04 21:42) [37]
> Назовите вы файл вашей программы какнибудь типо winlogon.exe
> и его никто снять не сможет(процесс)
> AlexKniga © (13.05.04 19:33) [38]
> DelphiN!
> Любой третьесторонний Task Killer прибивает winlogon.exe
> на ура!
Имелся ввиду не настоящий winlogon.exe, а поддельный.
← →
mixir (2004-05-17 21:14) [42]И тишина....
Самый простой способ:
(Не нужны права админа)
1 Делай глобальный хук WH_CBT
2 Ставь хук на таблицу импорта (можно использовать madHook или как там его... вобщем читай Рихтера),или хукай по абсолютному адресу.
3 Сделай свою процедуру-wrapper.
4 Для глобального скрытия нескольких процессов используй виртуальные файлы.
Примечание: работает только с GUI приложениями.
Другой метод: создать драйвер и перехватить ф-цию в Ntoskrnl.exe.
Можно также и без драйвера подменить таблицу процессов.(Мощная тема, но только, как и драйвер, работает с правами админа).
← →
Keyboard (2004-05-20 14:22) [43]Удалено модератором
← →
mixir (2004-05-20 16:29) [44]Удалено модератором
Примечание: Offtopic
← →
trix (2004-05-23 11:34) [45]замени стандартный системный файл
← →
FireMan_Alexey © (2004-05-25 14:22) [46]Я как-то просил Digitman-а прислать кусок кода для XP с перехватом АПИ функций. Он прислал, но т.к. в то время не сохранялись результаты в архивы этот кусок кода был потерян.
Я думаю если ты его уговоришь, то он поделится ну и не забудь поделиться со всеми. :)
← →
Kerk © (2004-05-27 10:20) [47]
> FireMan_Alexey © (25.05.04 14:22) [46]
Я ссылку на статью про скрытие с помощью перехвата в этом форуме N*10 раз давал...
← →
Vetek_ (2004-05-27 13:10) [48]Керк, ту статью только _Профи_ поймёт ! (без обид)
← →
Kerk © (2004-05-27 13:35) [49]
> Vetek_ (27.05.04 13:10) [48]
Перехват АПИ вообще дело не для чайников.
← →
IraiZor © (2004-05-27 15:57) [50]Имелся ввиду не настоящий winlogon.exe, а поддельный.
winlogon.exe , настоящий, убивает process killer(третьесторонний таск манагер) , без вопросов
← →
FireMan_Alexey © (2004-05-28 11:14) [51]>Kerk
Понимаешь ссылку кинуть может каждый, а объеснить как это работает не каждому терпения хватает! Тем более, что ссылка наверное на сишный код который ссылается на книгу Рихтера или какая статья, я не помню где видел, которая заполнена такими коментариями, что смысл статьи вообще не понятен, то ли она для самоутверждения писалась, либо от безделья. А Digitman дал точно, что требовалось, но у меня тогда Винда упала и все что с ней было тоже! По этому я посоветовал обратиться к ПРОФИ за советом.
Да и хочу заметить, что сколько я не обращался к Digitman-у всегда получал исчерапывающие ответы.
А когда тебе отвечают убивай "Таск менеджер", а кроме таск менеджера может найтись еще более миллиона программ которые показывают список процессов, то лучше такие ответы в оффтоп запихивать, потому что они только запутывают и не несут полезной информации.
← →
Игорь Шевченко © (2004-05-28 12:44) [52]
> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает!
А главное, что никто не будет этим заниматься. Ибо нефиг скрывать процессы в NT.
← →
Kerk © (2004-05-28 15:42) [53]
> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает! Тем более, что ссылка
> наверное на сишный код который ссылается на книгу Рихтера
Ссылка не на код, а на статью. Кода там нет, там описываются технологии. К тому же в статье есть ссылка на исходники проги на Делфи. И на Рихтера там тоже ссылок нет.
← →
Kerk © (2004-05-28 15:50) [54]
> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает!
Кстати, у меня хватило терпения эту статью перевести... :)
Специально для тех, у кого с аглицким плохо... :)
← →
AlexKniga © (2004-05-28 18:47) [55]IraiZor
Для прибития настоящего winlogon.exe нужны права администратора, а они не у всех есть.
← →
Vetek (2004-05-28 21:54) [56]если кильнуть winlogon.exe - по моему всё зависнет ..
- а права админа - конечно не у всех, но это дело времени и желания ..
← →
Марк (2004-05-29 13:40) [57]Удалено модератором
← →
Глеб © (2004-05-29 13:52) [58]Удалено модератором
Примечание: Личная переписка
← →
Vetek (2004-05-29 13:56) [59]Удалено модератором
← →
IraiZor © (2004-05-29 18:23) [60]если кильнуть winlogon.exe - по моему всё зависнет ..
не зависнет а заребутится , мгновенно =) быстрее EWX_FORCE =)
насчет Прав , возможно я нуб , негодяй итд, но разве для того чтобы завалить сис процесс не нужны всего лишь DeBug привилегии ?
Глеб , да =) шокирован ?
← →
Gero © (2004-05-29 18:26) [61]
> чтобы можно было без проблем скрывать программу (по необходимости ..)
LOL
← →
IraiZor © (2004-05-29 18:33) [62]чтобы можно было без проблем скрывать программу (по необходимости ..)
страшно подумать скока вирей резидентов появится o_0 ?
← →
Smiler (2004-05-30 02:10) [63]И почему все хотят скрыть процесс?
Может просто сделать его неубиваемым, т.е. неубиваемой на TerminateProcess...//
Полностью сошласен.Если при насильном закрытии убивать lsass.exe то появиться окошко экстренного завершения работы системы(вроде через 30 сек.) и после этого явно никому не надо больше будет трогать твой процесс. И прятать не надо.просто надо замаскировать под системный.
Может это и примитивно, но работает.
← →
IraiZor © (2004-05-30 07:58) [64]Smiler
если убить настоящий lsass , а если фальшивый то все будет ок! вообще скрыть процесс имхо лучше тк если ты его просто замаскируешь или попытаешся сделать неубиваемым то все равно если кто-то очень захочет избавится от твоего процесса,он найдет способ +) а если процесс просто невидим, то юзер ничего даже подозревать не будет...
Тем более мы же пишем админские проги а не вирусы какие-нибудь =)) для нас это несерьезно ;)
← →
Polevi © (2004-05-30 09:46) [65]именно "проги"
← →
Koster (2004-06-03 11:11) [66]Ребята, а "shutdown -a" набрать не пробовали, когда окошко с обратным остчетом пойдет?
Попробуйте ;-)
← →
Просто Серёга (2004-06-07 12:59) [67]Koster
shutdown -a есть такая фишка, но один мой дружок поступал более красиво: после вылетания этого окошка он быстро переставлял дату на год назад и затем это окошко прятал под таскбар =))
А вот насчёт скрытия процессов можно вроде бы как-то дээлэлки к свцхосту присобачивать или юзать утилитку regsvr32 в этой дээлэлке якобы должны функции DllCanUloadNow, DllRegisterServer и т.д., вот хотелось бы об этом попдронее узнать )
← →
Piter © (2004-06-09 15:56) [68]А как поймать процесс, если он перехватывает NtQuerySystemInformation ?
← →
Игорь Шевченко © (2004-06-09 16:06) [69]Piter © (09.06.04 15:56)
> А как поймать процесс, если он перехватывает NtQuerySystemInformation
> ?
Существует несколько способов.
← →
Piter © (2004-06-09 17:42) [70]Игорь Шевченко (09.06.04 16:06) [69]
Я думаю задам очень логичный вопрос - какие способы?
← →
Piter © (2004-06-10 18:04) [71]Удалено модератором
Примечание: Создание пустых сообщений
← →
Piter © (2004-06-11 18:09) [72]Удалено модератором
Примечание: Создание пустых сообщений
← →
Игорь Шевченко © (2004-06-11 23:48) [73]Piter © (09.06.04 17:42)
> Я думаю задам очень логичный вопрос - какие способы?
Способ первый - просмотр списка описателей процессов открытых процессом CSRSS.EXE (Для этого достаточно Process Explorer от Sysinternals)
Способ второй - вызов NtQuerySystemInformation с несколько другими параметрами, не всегда документированными :)
Способ третий - написать драйвер режима ядра или использовать готовый, например, Свена Шрайбера, и получить список процессов так, как его получает ядерная часть NtQuerySystemInformation (способ самый сложный, но и самый надежный)
← →
Piter © (2004-06-12 01:12) [74]Игорь Шевченко (11.06.04 23:48) [73]
Способ первый - просмотр списка описателей процессов открытых процессом CSRSS.EXE
а-а-а. Так вроде адреса памяти по которым находится таблица описателей запрещены для чтения?! Как же их можно просмотреть?
Цитирую:
Игорь Шевченко (31.05.04 11:24) [10]
только доступ из пользовательского режима туда запрещен даже на чтение
← →
Piter © (2004-06-12 01:12) [75]блин, поздно сейчас. Я туплю... сорри
← →
Piter © (2004-06-12 01:13) [76]Игорь Шевченко (11.06.04 23:48) [73]
Способ третий - написать драйвер режима ядра
а мне вот чисто теоретически интересно - а если процесс будет скрываться также драйвером, работающим в режиме ядра... то какой драйвер окажется "сильнее"?
← →
Vetek (2004-06-12 23:24) [77]сильнее будет тот, кто первый выгрузит другой драйвер !
← →
Vetek (2004-06-13 15:41) [78]Да, кстати, самое лучшее решение IMXO (по критериям:
простота*надёжность/профессионализм)
- создавать поток в существующем _ресурсоёмком_ приложении и работать оттуда :) (например Explorer.exe)
- IMXO обычный пользователь _никогда_ такой поток не обнаружит, и будет работать на всей линейке M$ Windows , не будет глюков !!!
- а профессионал/спецпрога засекёт в любом случае .. %-:)
- у кого какие мнения на этот счёт ?
да, кстати, [2] - этот принцип используется с успехом в разных "левых" прогах :(
← →
kot (2004-06-14 11:04) [79]нет не стоит скрывать ничего ..
← →
vidiv © (2004-06-14 13:35) [80]Смысл чтото скрывать... лучше всего скрыто то что лежит навиду ;)
← →
Игорь Шевченко © (2004-06-14 18:31) [81]Piter © (12.06.04 01:13)
> а мне вот чисто теоретически интересно - а если процесс
> будет скрываться также драйвером, работающим в режиме ядра
А это невозможно, так что вопрос "кто сильнее" не имеет смысла.
← →
Vetek (2004-06-14 21:17) [82]есть понятие - кто быстрее - кто первый "примет меры"
← →
Piter © (2004-06-15 00:24) [83]Игорь Шевченко (14.06.04 18:31) [81]
А это невозможно
почему?
← →
Vetek (2004-06-15 09:52) [84]например есть 2 проги - которые хотят "убить" друг друга :)
- выживет та, которая первая сделает terminate.. другой !
← →
Игорь Шевченко © (2004-06-15 11:43) [85]Piter © (15.06.04 00:24)
> почему?
Потому что если есть такое понятие, как процесс, оно будет доступно из режима ядра для обеспечения базовой функциональности работы системы. Скрыть чего-либо от драйвера режима ядра невозможно, так как в противном случае скрываемое просто не будет работать
← →
Piter © (2004-06-15 15:01) [86]Игорь Шевченко (15.06.04 11:43) [85]
а в режиме ядра доступна область памяти, где хранится информация о процессах?
← →
Игорь Шевченко © (2004-06-15 15:22) [87]Piter © (15.06.04 15:01)
> а в режиме ядра доступна область памяти, где хранится информация
> о процессах?
Конечно. В редиме ядра доступны все области памяти.
← →
Piter © (2004-06-16 14:37) [88]Игорь Шевченко (15.06.04 15:22) [87]
В редиме ядра доступны все области памяти
а по моему, даже вы говорили, что есть некие области, недоступные даже в режиме ядра... или Рихтер писал такое...
← →
Игорь Шевченко © (2004-06-16 16:13) [89]Piter © (16.06.04 14:37)
Давай определимся, кто говорил - я или Рихтер. За Рихтера отвечать я не могу, а вот я такого не говорил, потому что в режиме ядра доступна вся область памяти (которая, разумеется, отображена на физическую память или на (страничный) файл(ы), так как среди 4-х гигабайт адресного пространства не все страницы отображены куда-либо).
← →
Piter © (2004-06-17 14:25) [90]Игорь Шевченко (16.06.04 16:13) [89]
а-а-а, вы говорите про память процессов... я же говорю про другую память, которая не для процессов выделена, а для нужд самой Windows... вот там есть какая-то память вроде, которая из режима ядра даже недоступна...
← →
Игорь Шевченко © (2004-06-17 14:36) [91]
> я же говорю про другую память, которая не для процессов
> выделена, а для нужд самой Windows... вот там есть какая-то
> память вроде, которая из режима ядра даже недоступна...
Ты сам не видишь противоречия в этой фразе ? Для каких нужд Windows может быть выделена память, если они недоступна из самой Windows ?
Читай внимательно: "в режиме ядра доступна вся область памяти (которая, разумеется, отображена на физическую память или на (страничный) файл(ы)"
← →
Piter © (2004-06-22 00:49) [92]Игорь Шевченко (17.06.04 14:36) [91]
каких нужд Windows может быть выделена память, если они недоступна из самой Windows ?
не знаю. Не спец. Постараюсь найти фразу... только знать бы где я это прочитал... в Рихтере, наверное
← →
3APA3A (2004-07-05 00:52) [93]Возвращаясь непосредственно к вопросу: мне всегда казалось, что одно из уязвимых мест таких программ - это собственно ее запуск. Глупо делать такую программу и совать ее ярлык в Пуск->Автозагрузка... Поэтому вопрос - какие есть способы на 2k/XP/2k3 незаметно запустить процесс, пусть даже он сам виден в TaskManagere и нормально им убивается?
← →
Polevi © (2004-07-05 09:39) [94]сервис
← →
Vetek (2004-07-05 11:49) [95]Рекомендую запомнить эти ключи:
9x: HKEY_LOCAL_MACHINE\System\CurrentControlSet\MPRServices
NT: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
в нормально работающей винде они должны быть пустые :)
← →
Kerk © (2004-07-05 11:56) [96]01.04.04 11:38 - 05.07.04 11:49
Бессмертная ветка. :)
← →
VMcL © (2004-07-05 12:02) [97]>>Vetek (05.07.04 11:49) [95]
Да что ты, говоришь! А у меня в Winlogon\Notify аж 9 подразделов. Надо срочно бежать к админу. Диверсанты в компании!
← →
Vetek (2004-07-05 12:06) [98]VMcL © (05.07.04 12:02) [97]
- да, извини, немного ошибся - эту фразу стянул из одного форума ..
- но по любому то что там - всегда надо проверять на предмет "левых" прог .. :)
- даже A311Death оттуда запускается ! (Winlogon\Notify)
← →
Vetek (2004-07-05 12:08) [99]Kerk © (05.07.04 11:56) [96]
- это точно .. :)))
- создание невидимки - мечта каждого 2 начинающего программера :)
← →
zoXacker (2004-07-06 10:59) [100]а зачем скрывать процесс ?
Страницы: 1 2 3 вся ветка
Форум: "WinAPI";
Текущий архив: 2004.08.15;
Скачать: [xml.tar.bz2];
Память: 0.7 MB
Время: 0.027 c
