перехват

← →
kaZaNoVa (2004-09-05 21:45) [80]

[79] Игорь Шевченко © (05.09.04 21:42)
>для личной переписки есть почта и чат.
иногда, когда хорошее настроение, так хочется поговорить ... :))
- "не отходя никуда"
ок, Offtopic"а больше не будет :)

← →
SammIk © (2004-09-05 21:46) [81]

to 79
Согласен, есть. И даже у меня есть исходник под w2k. Драиверок.
И со вторым утверждением согласен)

← →
kaZaNoVa (2004-09-05 21:46) [82]

[79] Игорь Шевченко © (05.09.04 21:42)

> ... и перехваченные функции.

можно поподробнее, как именно найти перехваченные функции - то есть как узнать, функция оригинальная или "перехваченная" ?

← →
SammIk © (2004-09-05 21:48) [83]

Можно наити адрес ф-ю минуя всякие там getprocadr

← →
kaZaNoVa (2004-09-05 21:50) [84]

[83]
а как ? - прочитать "вручную" PE - файл и искать там в таблице экспорта ?

← →
SammIk © (2004-09-05 21:51) [85]

Ага

← →
SammIk © (2004-09-05 21:54) [86]

Еще мона под отладчиком

← →
kaZaNoVa (2004-09-05 21:56) [87]

ну, .. это уже сложновато .. ;)
- тогда уж ваще можно считать всю библиотеку в память, дизассамблировать, найти нужную функцию и потом уже исполнять найденные асм- комманды ;) ужас ;(
- а есть какой-нить более простой способ ?

← →
kaZaNoVa (2004-09-05 21:57) [88]

[81] SammIk © (05.09.04 21:46)
что за драйверок ?
- на асме ?

← →
SammIk © (2004-09-05 21:58) [89]

Да на оном.
А чего сложного-то?
Поизучал пе и вперед

← →
kaZaNoVa (2004-09-05 22:00) [90]

да .. точно, надо будет как-нить взяться ;))
пе изучить ;))
но всё-таки, там с асма на делфя можно перекинуть ?
// на крайняк ввиде асм-вставок

← →
SammIk © (2004-09-05 22:02) [91]

Драивер?))))
Поздравляю ветка весит 75 кило без рисунков)

← →
kaZaNoVa (2004-09-05 22:04) [92]

[91] SammIk © (05.09.04 22:02)
спасибо ;)
но всё-таки, одни говорят можно драйвер на делфе, другие говорят нет ...
- а ты как думаешь ? - возможно ?

← →
SammIk © (2004-09-05 22:06) [93]

Наверное можно, но что получится не знаю.
Поэтому нельзя)

← →
Игорь Шевченко © (2004-09-05 22:13) [94]

> но всё-таки, одни говорят можно драйвер на делфе, другие
> говорят нет ...

Нельзя. В любой программе на Delphi присутствуют вызовы функций из библиотек Windows режима пользователя. Чего в драйвере неприемлемо.

← →
kaZaNoVa (2004-09-06 07:58) [95]

Игорь Шевченко , может стоит заменить ответ в FAQ ?
(см [55] kaZaNoVa (05.09.04 16:57) )

← →
Игорь Шевченко © (2004-09-06 10:18) [96]

kaZaNoVa (06.09.04 07:58) [95]

А ты можешь привести пример, когда скрытие нужно использовать в мирных целях ?

Скрыть-то все равно нельзя.

← →
SammIk © (2004-09-06 10:24) [97]

> Игорь Шевченко © (06.09.04 10:18) [96]

Ведь подмена нужна не только для скрытия.
Например подменои можно приукрасить все MessageBox"ы
или есче чего-нить придумать.
А скрытие это частныи случаи.
PS:Покажите мне манету у которои только одна сторона.........

← →
Игорь Шевченко © (2004-09-06 11:58) [98]

SammIk © (06.09.04 10:24) [97]

> Например подменои можно приукрасить все MessageBox"ы
> или есче чего-нить придумать.

Так этот способ у Рихтера, в RSDN Magazine и еще во многих местах описан - никакой тайны нету

← →
SammIk © (2004-09-06 14:12) [99]

Базару нет, лично мне этот вопрос в факе освещать не надо))
А ссылку на Рихтера(не хттп) дать в ваке мона.

← →
xShadow © (2004-09-06 14:26) [100]

Базару нет, лично мне этот вопрос в факе освещать не надо))
А ссылку на Рихтера(не хттп) дать в ваке мона.
Да эта ссылочка была бы всем полезна!
Если она есть!

← →
SammIk © (2004-09-06 14:28) [101]

Я имел ввиду ссылку накнигу, что мол такая есть.
А кому надо пусь покупают. Или ищют.
Также поздравляю с юбилеиным 100ым постом)

← →
Игорь Шевченко © (2004-09-06 15:11) [102]

> Базару нет, лично мне этот вопрос в факе освещать не надо))
> А ссылку на Рихтера(не хттп) дать в ваке мона.
> Да эта ссылочка была бы всем полезна!
> Если она есть!

А Яндекс конечно у всех забанен прокси...

Кому надо - найдет.

← →
kaZaNoVa (2004-09-06 15:23) [103]

[96] Игорь Шевченко © (06.09.04 10:18)
дело не в том, чтобы скрыть, а в том, чтобы скрыть ТОЛЬКО ОТ TaskMаnаger"а !
- если честно, то думаю, не смогу ответить - имхо всё это "от лукавого" - скрывают таким образом только программы-приколы начинающие программисты ...

но дело не в этом, просто, хочется честности и доступности информации !
и если человек спрашивает, как скрыть программу от "Диспетчера Задач Windows" то по моеиу надо ему также правдиво ответить ... !
- что можно и не так сложно - и дать соответствующий код !
а то, что таким образом скроется не полностью - он и сам потом поймёт !

- а сейчас существует такая ситуация - начинающие программисты, которые вдруг захотели сделать что-то "нехорошее" и скрыть программу от диспетчера задач - не могут найти доступный код, (asm и c++ не считается, я говою только за делфи).. - что порождает порой "безысходность" или они начинают искать другие решения ..
- та же дллка обнаруживается примерно в 10 раз сложнее чем процесс ..

но так, как 95% пользователей пользуются ТОЛЬКО TaskMаnаger то вполне естественно желание скрыть _только_ от него и имхо нет в этом ничего плохого ..

[99] SammIk © (06.09.04 14:12)
учителю русского языка ясно дело не нужен букварь ...
все мы были новичками .....

P.S. Вы меня ([96]) всё таки уже почти полностью убедили, что помещение "настоящего кода скрытия от Диспетчера" принесёт больше вреда чем пользы ...
всё таки, может .. наверное, "новички - приколисты" не должны владеть подобным кодом .................
а "профи" - его сами напишут ;)))))

P.P.S. - Каково Ваше решение - измените ответ в FAQ ?

← →
Игорь Шевченко © (2004-09-06 15:43) [104]

> скрывают таким образом только программы-приколы начинающие
> программисты ...

Вот и нефиг. Умный сам найдет, а давать лишний повод недоумкам на этом сайте никто не собирается.

> - а сейчас существует такая ситуация - начинающие программисты,
> которые вдруг захотели сделать что-то "нехорошее" и скрыть
> программу от диспетчера задач - не могут найти доступный
> код

Какая жалость. Я сейчас расплачусь.

← →
kaZaNoVa (2004-09-06 16:03) [105]

[104] Игорь Шевченко © (06.09.04 15:43)
ок, всё понятно ;)))))

> Умный сам найдет, а давать лишний повод недоумкам на этом
> сайте никто не собирается.

да .. круто ;)- вы правы ;)

> Какая жалость. Я сейчас расплачусь.

- а если без иронии - то так и есть ;)
- я сам полгода назад 2 месяца искал подобный код на делфе - так тогда и не нашёл, бросил .. //на си, асме - нашёл, а вот на делфе - НЕТ
;)))

← →
xShadow © (2004-09-06 16:09) [106]

Удалено модератором

← →
Digitman © (2004-09-06 16:17) [107]

> kaZaNoVa (06.09.04 16:03) [105]

надо было не код искать, а инф-цию по сабжу ... для изучения, анализа и дальнейшего воплощения в СОБСТВЕННОМ алгоритме и его Делфи-коде

коль скоро ты пошел от обратного и таки поимел код, то будь уж любезен не сдирать его бездумно (в каких целях - уж не заикаюсь), а внимательно изучить его строчка за строчкой с целью понять от А до Я, что там и зачем, как и почему это работает и при каких условиях

← →
kaZaNoVa (2004-09-06 16:31) [108]

Digitman ,Огромное спасибо за супер - код!!!
респект ещё раз !

Digitman © (06.09.04 16:17) [107]
>надо было не код искать, а инф-цию по сабжу ... для изучения, анализа и >дальнейшего воплощения в СОБСТВЕННОМ алгоритме и его Делфи-коде
Вы правы, НО информации было много, а главное- не было ЯДРА - алгоритма перехвата АПИ - функций- был на асме, Си, но я знаю тока делфя ... ;(
так что из-за этого и не смог ничего сделать ..
// ту задачу, где надо было скрыть я решил, как уже говорил, через длл, так что перехват тогда уже был и не нужен .....

>коль скоро ты пошел от обратного и таки поимел код, то будь уж любезен не >сдирать его бездумно (в каких целях - уж не заикаюсь), а внимательно >изучить его строчка за строчкой с целью понять от А до Я, что там и зачем, >как и почему это работает и при каких условиях
- почему сразу "поимел" :)
- этот код представляет ыантастическую ценность ;))
- а собственно модификацию буфера я сделал _полностью_ САМ ;)
- после дооолгих неудачных попыток ..
- Спасибо Игорю Шевченко, за его функции работы с NtQuerySystemInformation - просто супер, они и дали мне "ключ" к пониманию принципов работы этой функции ..

- а собственно, как работает код именно перехвата - я не совсем понял (особенно раздел про Peb) - но имхо он работает, причём правильно - а больше и ничего от него и не надо !

> собственно, как работает код именно перехвата - я не совсем
> понял (особенно раздел про Peb)

ну так а для чего тебе был намек на книгу Коберниченко ?
она как раз и дает понимание сабжа в достаточном объеме !

← →
kaZaNoVa (2004-09-06 16:46) [110]

[109] Digitman © (06.09.04 16:41)

> книгу Коберниченко ?
> она как раз и дает понимание сабжа в достаточном объеме
>

спасибо, если найду, то обязательно возьму, почитаю ;)

но иногда так хочется "получить результат быстро" - спросив у более опытных коллег, Мастеров своего дела :))
а так, если все вопросы переадресовывать к книгам, будет очень большой
толк, но может уйти не одна неделя .....

зы - Коберниченко можно где-нить скачать ?

← →
имя (2004-09-06 16:53) [111]

Удалено модератором

← →
kaZaNoVa (2004-09-06 16:59) [112]

Удалено модератором

← →
имя (2004-09-06 16:59) [113]

Удалено модератором

← →
имя (2004-09-06 17:02) [114]

Удалено модератором

← →
kaZaNoVa (2004-09-09 09:36) [115]

а как перехватить вызовы из драйверов ?

> а как перехватить вызовы из драйверов ?

Поясни свою глубокую мысль, пожалуйста...

← →
kaZaNoVa (2004-09-09 23:01) [117]

[116] Игорь Шевченко © (09.09.04 10:26)
я точно не знаю, можно из драйвера вызывать АПИ, например DeleteFile
а если можно, то как перехватить тогда ?

> можно из драйвера вызывать АПИ, например DeleteFile

Нельзя.

← →
kaZaNoVa (2004-09-10 10:27) [119]

а что за "драйвер" тут недавно был на КОЛ ?

kaZaNoVa (10.09.04 10:27) [119]

> а что за "драйвер" тут недавно был на КОЛ ?

На Delphi драйвер написать нельзя в силу того, что в любой программе на Delphi присутствуют вызовы функций из DLL пользовательского режима, которые недопустимы в драйвере. Хоть KOL, хоть еще что. Если кто-то найдет способ, как поменять RTL таким образом, чтобы не было обращений к тем самым DLL, тогда можно будет. Пока не поменяли - нельзя.

перехват Найти похожие ветки