RegisterServiceProcess

← →
DelphiLexx © (2004-10-18 12:36) [0]

В Win9x есть функция RegisterServiceProcess, к-рая скрывает процесс в списке задач, какой есть аналог в WinXP для скрыттия приложения из списка задач (именно из списка задач, а не из списка процессов).

← →
-=SS=- (2004-10-18 12:41) [1]

В ХР аналогии нет. В списке процессов приложение будет отображатся всегда. Единственное что можно сделать так это скрыть из списка приложений. В обработчике событий онпаинт записать ShowWindow(Application.Handle,sw_Hide);

← →
Дмитрий Ботвин (2004-10-18 12:50) [2]

В списке процессов можно лишь замаскировать свой процесс под
системный, а скрыть его, как уже сказали, невозможно....

← →
Игорь Шевченко © (2004-10-18 13:01) [3]

> для скрыттия приложения из списка задач (именно из списка
> задач, а не из списка процессов).

Стиль WS_EX_TOOLWINDOW для главного окна и ShowWindow(Application.Handle, SW_HIDE)

← →
-=SS=- (2004-10-18 13:09) [4]

Удалено модератором
Примечание: Offtopic

← →
-=SS=- © (2004-10-18 14:13) [5]

Удалено модератором
Примечание: Offtopic

← →
Дмитрий Ботвин (2004-10-18 14:15) [6]

[4] процесс ты ни как не скроешь! Помимо Task Managera список
процессов можно посмотреть FAR-ом (F11). И ни какой процесс ты
от них не скроешь. Ты чё думаешь в Microsoft совсем дебилы сидят?
В win 9x это можно было, т.к. там был тока список приложений, а
NT-подобных системах этого не сделать. Можешь потреннироваться...

← →
Дмитрий Ботвин (2004-10-18 14:15) [7]

Удалено модератором
Примечание: Дубль

← →
-=SS=- © (2004-10-18 14:40) [8]

>процесс ты ни как не скроешь! Помимо Task Managera список
процессов можно посмотреть FAR-ом (F11).

Да ты прав в фаре видно. Но я могу сказать только одно если список процессов получается функцией NtQuerySystemInformation (ntdll.dll) то он туда точно не попадает

← →
Игорь Шевченко © (2004-10-18 14:44) [9]

> Но я могу сказать только одно если список процессов получается
> функцией NtQuerySystemInformation (ntdll.dll) то он туда
> точно не попадает

Завязываем с offtopic"ом.

hint: у NtQuerySystemInformation есть как минимум, четыре кода для получения списка процессов. Хакеры, блин, недоделанные.

← →
Дмитрий Ботвин (2004-10-18 14:47) [10]

Ну да, а если ещё и SP2 поставить то функция
NtQuerySystemInformation тебе ещё меньше процессов покажет...
Все процессы можно точно посмотеть через WMI (класс
Win32_Process). Он чисто средствами Win32 показывает - его хрен
обманишь!!!

← →
Игорь Шевченко © (2004-10-18 14:49) [11]

Дмитрий Ботвин (18.10.04 14:47) [10]

Бред.

← →
Дмитрий Ботвин (2004-10-18 14:50) [12]

Игорь Шевченко ты бредом что именно называешь? WMI???

← →
Игорь Шевченко © (2004-10-18 14:53) [13]

Дмитрий Ботвин (18.10.04 14:50) [12]

Я называю бредом твое высказывание в посте [10].

Как минимум, два момента:

> да, а если ещё и SP2 поставить то функция
> NtQuerySystemInformation тебе ещё меньше процессов покажет...

и

> Он чисто средствами Win32 показывает - его хрен
> обманишь!!!

ЗЫ: Русский подучи

← →
Дмитрий Ботвин (2004-10-18 14:55) [14]

Ну-Ну....

← →
-=SS=- © (2004-10-18 15:06) [15]

Дело в том что идет перекрытие функции NtQuerySystemInformation. Она вызывается из длл-ки а мы вместо этой функции свою подсовываем.

PS: Игорь Шевченко/ А вот насчёт хакеров ты это зря. Обидется веть можно.

← →
Игорь Шевченко © (2004-10-18 15:09) [16]

-=SS=- © (18.10.04 15:06) [15]

<flame_and_offtopic>
Вот что меня всегда в таких людях удивляет, так это амбиции без знания матчасти. Изучать ее надо, матчасть. Читать Шрайбера, Неббета, Соломона с Руссиновичем и т.п.
И русский тоже неплохо учить.
</flame_and_offtopic>

← →
-=SS=- © (2004-10-18 15:11) [17]

А что я неправильно сказал ?????

← →
Дмитрий Ботвин (2004-10-18 15:18) [18]

Просто Игорь Шевченко не понимает, что "хакеры", как он их называет, изучают удаленные компы, а не свои собственные.
Читай ка, дорогой Игорь Шевченко, помимо матчсати что-нибудь
для общего развития....
Извиняюсь перед админами за flame

← →
Игорь Шевченко © (2004-10-18 15:20) [19]

-=SS=- © (18.10.04 15:11) [17]

Я ж говорю, обычные поделки такого рода скрытия сводятся к удалению из буфера, полученного при вызове NtQuerySystemInformation с первым параметром SystemProcessesAndThreadsInformation (код 5).
Так во-первых, такой факт определяется очень быстро (и устраняется), а кроме того, существует еще 3 кода, выдающие список процессов. Ты от Process Explorer"а Руссиновича спрячься :))

← →
-=SS=- © (2004-10-18 15:26) [20]

Я конечно извеняюсь но если руки не кривые, то сделать можно что хочешь :) . Без излишних проблем.

← →
Игорь Шевченко © (2004-10-18 15:26) [21]

> Я конечно извеняюсь но если руки не кривые, то сделать можно
> что хочешь :) . Без излишних проблем.

Неа. Нельзя.

← →
-=SS=- © (2004-10-18 15:34) [22]

Хорошо. Если мы перекрыли функцию NtQuerySystemInformation что нам мешает перекрыть всё остальные ?

Ну переделать немного ядро NT и все дела :) После никаких процесов неувидиш. Я непомню осталась возможность получить RING 0 через переопределение глобальной таблицы прерываний? Впрочем это неважно, флейм гаранторован. :)

Дмитрий Ботвин (18.10.04 14:15) [6]
ух .. я у меня получалось от TaskManager"a и фара, но в фаре глючило ...
noname © (18.10.04 15:54) [24]
новая версия просекает ...
без проблем ..
Игорь Шевченко © (18.10.04 14:44) [9]
какие ещё коды ?

Игорь Шевченко © (19.10.04 19:12) [28]
ок, ясно .. спасибо ... ;)
- Ваш Модуль: HSSystemInformation просто супер !
именно он дал мне тогда ключ к пониманию принципов работы NtQuerySystemInformation, ;)))

RegisterServiceProcess Найти похожие ветки