Раскрытие процесса

← →
Cj © (2007-04-23 05:41) [0]

Всем привет. Проблема такая: есть пример по скрытию процесса и эту программу не видит Диспетчер задач и моя прога, но его видет например PROCESS EXPLORER от SYSINTERNALS.com, как мне раскрыть этот процесс?

← →
cj © (2007-04-23 05:45) [1]

В примере идет перехват NtQuerySystemInformation посредством присоединения DLL. Пытался делать FREE всем лишним DLL`кам и при установке фокуса с Диспетчера залдач на мою программу она вызывала ошибку и закрывалась

← →
Kedge © (2007-04-23 10:15) [2]

А как ты определял, что DLL - "лишняя" ?
Пройдись поиском по форуму. Кто-то выкладывал что-то подобное. Игорь Шевченко и, afair Riply, занимались этим вопросом.

← →
cj © (2007-04-23 10:38) [3]

ну сначала пример не запускал и списал все DLL у своего процесса (имена и пути) и лишня dll была hide.dll, и при ее Free програ вызывала ошибку и закрывалась. я думаую что надо на старте программы определить адрес NtQuerySystemInformation и затем его прописывать а то когда идет освобождение перехватывающей dll адрес этой процедуры не верен и прога ERROR-ит.

← →
cj © (2007-04-23 10:44) [4]

> Пройдись поиском по форуму. Кто-то выкладывал что-то подобное.
> Игорь Шевченко и, afair Riply, занимались этим вопросом.
> искал и не нашел только =ненайденные ветки=

← →
Kedge © (2007-04-23 10:59) [5]

> [4] cj © (23.04.07 10:44)
> искал и не нашел только =ненайденные ветки=
Тогда спроси в "Прочее". Здесь у могих есть архивы сарых веток.

← →
cj © (2007-04-23 11:51) [6]

но все таки, почему ProcessExplorer видит процесс а через Tolhelp32 моя прога - нет

← →
SLoW.AlfaMoon.Com (2007-04-23 11:53) [7]

Например, можно самому написать функцию NtQuerySystemInformation.

{ Системный вызов ZwQuerySystemInformation для Windows XP. (C) Ms-Rem } Function XpZwQuerySystemInfoCall(ASystemInformationClass: dword; ASystemInformation: Pointer; ASystemInformationLength: dword; AReturnLength: pdword): dword; stdcall; asm pop ebp mov eax, $AD ;--- syscall number call @SystemCall ret $10 @SystemCall: mov edx, esp sysenter end; { Системный вызов ZwQuerySystemInformation для Windows 2000. (C) Ms-Rem } Function Win2kZwQuerySystemInfoCall(ASystemInformationClass: dword; ASystemInformation: Pointer; ASystemInformationLength: dword; AReturnLength: pdword): dword; stdcall; asm pop ebp mov eax, $97 ;--- syscall number lea edx, [esp + $04] int $2E ret $10 end;

← →
cj © (2007-04-23 11:54) [8]

Да , это круто, но как получить ВСЕ процессы?

← →
Kedge © (2007-04-23 12:10) [9]

> [8] cj © (23.04.07 11:54)
>Да , это круто, но как получить ВСЕ процессы?
Тебе [7] SLoW.AlfaMoon.Com (23.04.07 11:53) дал код вызова QuerySystemInformation,
который библиотекой "Hide" не перехватывается. Что тебе еще нужно?
Или не можешь получить список процессов при помощи оной функции ?

← →
cj © (2007-04-23 12:14) [10]

ежели бы не конечно же но,,, да не умею, прошу пожалуйста киньте примерчик

← →
cj © (2007-04-23 12:39) [11]

ну киньте примерчик пожалуйста, на коленях, склонив голову прошу

← →
Kedge © (2007-04-23 12:42) [12]

>[10] cj © (23.04.07 12:14)
>ежели бы не конечно же но,,, да не умею, прошу пожалуйста киньте примерчик
>ну киньте примерчик пожалуйста, на коленях, склонив голову прошу
Большой по объему примерчик получится :) Там еще структуры определять надо.
Игорь Шевченко выкладывал хорошие примеры работы с NativeAPI.
Вроде(могу ошибаться) назывались: "QuerySystemInformation60". К сожалению, где - не помню. Поищи.
P.S.
Найдешь - скажи. Я бы тоже скачал.

← →
Rouse_ © (2007-04-23 12:50) [13]

В свое время Игорь Шевченко написал небольшую утилитку - которая вытаскивает такие процессы. Ищи либо в старых ветках этой конференции, либо в архиве.

← →
cj © (2007-04-24 06:31) [14]

нашел решение: из примера по скрытию вставил вашу проце-дуру и вставил в свою прогу. вот только моя програ работает вместе с ней видит пример и Диспетчер задач

← →
Leonid Troyanovsky © (2007-04-24 09:12) [15]

> Kedge © (23.04.07 12:42) [12]

> Найдешь - скажи. Я бы тоже скачал.

http://www.schevchenko.net.ru/SRC/ QuerySystemInformation _60.zip ?

--
Regards, LVT.

← →
SLoW.AlfaMoon.Com (2007-04-24 09:43) [16]

program process_seeker; {$APPTYPE CONSOLE} uses SysUtils, windows; type NTStatus = cardinal; PVOID = pointer; USHORT = WORD; UCHAR = byte; PWSTR = PWideChar; CONST //Статус константы STATUS_SUCCESS = NTStatus($00000000); STATUS_ACCESS_DENIED = NTStatus($C0000022); STATUS_INFO_LENGTH_MISMATCH = NTStatus($C0000004); SEVERITY_ERROR = NTStatus($C0000000); const SystemProcessesAndThreadsInformation = 5; type PClientID = ^TClientID; TClientID = packed record UniqueProcess:cardinal; UniqueThread:cardinal; end; PUnicodeString = ^TUnicodeString; TUnicodeString = packed record Length: Word; MaximumLength: Word; Buffer: PWideChar; end; PVM_COUNTERS = ^VM_COUNTERS; VM_COUNTERS = packed record PeakVirtualSize, VirtualSize, PageFaultCount, PeakWorkingSetSize, WorkingSetSize, QuotaPeakPagedPoolUsage, QuotaPagedPoolUsage, QuotaPeakNonPagedPoolUsage, QuotaNonPagedPoolUsage, PagefileUsage, PeakPagefileUsage: dword; end; PIO_COUNTERS = ^IO_COUNTERS; IO_COUNTERS = packed record ReadOperationCount, WriteOperationCount, OtherOperationCount, ReadTransferCount, WriteTransferCount, OtherTransferCount: LARGE_INTEGER; end; PSYSTEM_THREADS = ^SYSTEM_THREADS; SYSTEM_THREADS = packed record KernelTime, UserTime, CreateTime: LARGE_INTEGER; WaitTime: dword; StartAddress: pointer; ClientId: TClientId; Priority, BasePriority, ContextSwitchCount: dword; State: dword; WaitReason: dword; end; PSYSTEM_PROCESSES = ^SYSTEM_PROCESSES; SYSTEM_PROCESSES = packed record NextEntryDelta, ThreadCount: dword; Reserved1 : array [0..5] of dword; CreateTime, UserTime, KernelTime: LARGE_INTEGER; ProcessName: TUnicodeString; BasePriority: dword; ProcessId, InheritedFromProcessId, HandleCount: dword; Reserved2: array [0..1] of dword; VmCounters: VM_COUNTERS; IoCounters: IO_COUNTERS; // Windows 2000 only Threads: array [0..0] of SYSTEM_THREADS; end; Function ZwQuerySystemInformation(ASystemInformationClass: dword; ASystemInformation: Pointer; ASystemInformationLength: dword; AReturnLength:PCardinal): NTStatus; stdcall;external "ntdll.dll"; { Function ZwQuerySystemTime(var CurrentTime: LARGE_INTEGER): NTStatus; stdcall;external "ntdll.dll"; } { Получение буфера с системной информацией } Function GetInfoTable(ATableType:dword):Pointer; var mSize: dword; mPtr: pointer; St: NTStatus; begin Result := nil; mSize := $4000; //начальный размер буфера repeat mPtr := VirtualAlloc(nil, mSize, MEM_COMMIT or MEM_RESERVE, PAGE_READWRITE); if mPtr = nil then Exit; St := ZwQuerySystemInformation(ATableType, mPtr, mSize, nil); if St = STATUS_INFO_LENGTH_MISMATCH then begin //надо больше памяти VirtualFree(mPtr, 0, MEM_RELEASE); mSize := mSize * 2; end; until St <> STATUS_INFO_LENGTH_MISMATCH; if St = STATUS_SUCCESS then Result := mPtr else VirtualFree(mPtr, 0, MEM_RELEASE); end; var info, info2: PSystem_Processes; i, j, k: integer; t, t1: LARGE_INTEGER; begin //--- получаем список процессов info := GetInfoTable(SystemProcessesAndThreadsInformation); info2 := info; //--- проход по полученному списку while (info2^.NextEntryDelta <> 0) do begin //--- я для простоты просто вывожу Process Id writeln(info2^.ProcessId); info2 := Pointer(dword(info2)+info2^.NextEntryDelta); end; VirtualFree(info, 0, MEM_RELEASE); end.

> [15] Leonid Troyanovsky © (24.04.07 09:12)
>http://www.schevchenko.net.ru/SRC/ QuerySystemInformation _60.zip ?
Именно то. Спасибо.

все таки я сделал прогу без этих процедур, которая видит все процессы, включая те 4 примера по скрытию, и не использует TLHELP, PSAPI, ZwQuerySystemInformation. но все равно спасибо.

← →
SLoW.AlfaMoon.Com (2007-04-25 09:31) [19]

http://wasm.ru/article.php?article=hiddndt

Удалено модератором

Сорри за предидущее. Просто хотел сказать, что методом перебора получал процессы.

Раскрытие процесса Найти похожие ветки