скрыть процесс в Win2000

← →
Kirill_S (2003-06-12 10:52) [0]

Всем привет!
Кто может посоветовать - как програмно скрыть процесс в Win2000 (сделать его невидимым в Диспетчере задач)?

← →
DVM (2003-06-12 12:42) [1]

Тут этот вопрос не любят :) Он всем уже надоел.

← →
Kirill_S (2003-06-12 13:15) [2]

ну и? ответы есть?:)

← →
DVM (2003-06-12 13:37) [3]

Ответ есть один. Нельзя.

← →
Kirill_S (2003-06-12 13:42) [4]

В системе нет ничего невозможного, способ должен быть.

← →
DVM (2003-06-12 13:48) [5]

Совсем скрыть отовсюду нельзя. Можно заменить Диспетчер задач свои, расковырять стандартный, но это только пол-дела. Запустите Far - и ваш процесс опять видим. Вообще я бы предпочел, чтобы таких программ было как можно меньше. И напрашивается вопрос: а зачем программу прятать, если она не вредоносная?

← →
Spawn (2003-06-12 13:52) [6]

Подмена NTQuerySystemInformation, хотя сам я этого не делал, а лишь читал на каком то форуме.

← →
Kirill_S (2003-06-12 14:02) [7]

>DVM
прятать может понадобиться по разным причинам, самая элементарная - скрыть ее от бестолковых пользователей которые вырубают из Диспетчера задач все что угодно, а прога должна находится постоянно в памяти и выполнять свои функции (совсем не вредоносные).

>Spawn
ОК, поищу, спасибо.

← →
DVM (2003-06-12 14:16) [8]

> Kirill_S ©

тогда лучше не прятать, а запретить закрывать.
Проблема бестолковых пользователей на 100% решается средствами администрирования.

← →
Kirill_S (2003-06-12 14:37) [9]

средства администрирования не всегда помогают, и вообще - есть конкретный вопрос, мне нужен ответ, а не рассуждения на темы что лучше, что хуже, зачем, почему и т.д.

← →
DVM (2003-06-12 15:52) [10]

> зачем, почему и т.д.

не сказав зачем, не узнаешь как.

← →
VMcL (2003-06-12 17:52) [11]

>Kirill_S © (12.06.03 14:02)
>скрыть ее от бестолковых пользователей
>которые вырубают из Диспетчера задач все что угодно

Напиши сервис. Его нельзя вырубить через Task Manager.

← →
Spartaj (2003-06-13 08:37) [12]

>Напиши сервис. Его нельзя вырубить через Task Manager.

Возиться с сервисом это долго и неинтересно !
Есть выход !!! Есть код который запускает программу с определёными параметрами ( любую программу ) и её нельзя снять из диспетчера задачь ! и не только им ! вы не сможете снять её даже из far"a !!
можно закрыть программу только перезагрузкой windows или из программы ( нажать крестик :) )
Код не более 20 строчек ! можно запихать в api 9 кб !
Кому интересно меняю код на что нить стоящее !
Проверял на NT 4.0 win2000 server и XP ! на 9x не работает ( но там это не нужно )

← →
Anatoly Podgoretsky (2003-06-13 09:07) [13]

Административные вещи должны решаться администартивными путями, которые к тому же наиболее эффективны.

← →
VMcL (2003-06-13 09:52) [14]

>Spartaj (13.06.03 08:37)
>Возиться с сервисом это долго и неинтересно!

Кому как...

← →
valwhite (2003-06-13 09:53) [15]

To VMcL: сервис видится...

Драйвер и и приложения COM+ - нет.

← →
Ghost (2003-06-13 10:00) [16]

>VMcL

а ты сможешь написать приложение которое бы делало из любой программы ( даже написанной не на delphi ) сервис ? я видел такую прогу ! называеться по моему Fire daemon , но это трудно ! и долго
так что наш вариант лучше и проще ! к тому же и надёжней !!! :)

← →
kkot (2003-06-13 10:02) [17]

>и вообще - есть конкретный вопрос, мне нужен ответ, а не рассуждения на темы что лучше, что хуже, зачем, почему и т.д.

Ты посмотри какой нахал! Между прочим, здесь не бесплатная консультация, тебе никто ничего не должен.

← →
_Stas_ (2003-06-13 10:28) [18]

> Ты посмотри какой нахал!
есть задача которую я описал, а демогогия меня абсолютно не интересует, если нет ответа нечего раздавать советы по покраске облаков!
Единственный кто дал нормальный ответ так это Spawn, ему отдельное спасибо!

← →
HolyGlory (2003-06-13 10:55) [19]

А создать новый thread у какого-нить другого процесса?

← →
RedArc (2003-06-13 11:03) [20]

Вах! Какая интересная тема!!!
Если такие есть решение по сокрытию программы, я хотел бы это знать. Зачем это нужно? Очень просто.

На студенческих компах выкладываем лицензионные программки. Лицензия только для института/кафедры. Добрые студенты таскают дискетами с институтских компов всё, что увидят. Чтобы это запретить, я в своё время для ДОС писал резидентную прогу "сервер защиты". Эта прога устанавливалась вирусным способом в MBR. Её задача: висеть абсолютно незаметно в памяти компа и при обращении к определённому прерыванию с определённой функцией возвращать сообщение что всё Ok. На защищаемые программы одевался вирусным способом код, который при старте программы обращался к "серверу защиты" для подтверждения того, что программа запущена на студенческом компе. Управление на EP программы передавалось только в случае положительного ответа от "сервера защиты".
Такая система очень хорошо действовала до тех пор, пока форточки не поселились на всех студенческих компах. Хочется сделать подобное и для форточек. Однако студенты пошли умные... находят "сервер защиты" и утаскивают его вместе с понравившейся программой. Как они умудряются это делать - загадка. Было бы здорово скрыть от них "сервер защиты" совсем.
Так присоединяюсь к вопросу. Как это мжно сделать попроще и понадёжнее?

← →
Song (2003-06-13 11:49) [21]

Подмена NTQuery.. можно сделать только из драйвера.
Из доступных средст предлагаю административно запретить менеджер процессов. Тем не менее, из фара ваш вирус всё-равно можно будет убить.

← →
Kirill_S (2003-06-13 13:07) [22]

Присоединяюсь к _Stas_ , молодец, видимо тоже прочувствовал: когда начинается вода - толку мало.

>kkot,
а кто говорил что кто-то кому-то должен?

← →
Palladin (2003-06-13 14:20) [23]

здесь не любят нахалов, которые требуют ответ на вопрос, сами палец о палец не ударив по поводу поиска решения, решение есть, на этом сайте...

> В системе нет ничего невозможного

матриц насмотрелся чтоли?

← →
Kirill_S (2003-06-13 15:11) [24]

>Palladin требуют ответ на вопрос

Во-первых, я его не требую, а задаю
Во-вторых, "палец о палец" - это не значит мутить воду вокруг вопроса.
В-третьих, ответ мною уже найден, и совсем не на этом сайте, здесь его просто нет, а если и есть - то лишнее подверждение тому, что вместо того чтобы хотя бы дать на него ссылку, начинаются базары типа кто умнее да кто круче, кто умеет искать, кто нет и т.д.

Те кто смело заявляли что это нельзя сделать - пусть думают так и дальше все замечательно работает! - это об матрице

← →
Ghost (2003-06-13 15:33) [25]

> Kirill_S
раз нашёл ответ поделись с другими , или хотя бы укажи сайт где есть ответ.

Или на мыло чтоли :)

← →
Kirill_S (2003-06-13 15:44) [26]

> Ghost,

сейчас кину на мыло :)

← →
Avenger[NhT] (2003-06-13 16:17) [27]

> Kirill_S © (13.06.03 15:44)
> > Ghost,
>
> сейчас кину на мыло :)

И мне кинь! Если он работает, то дам свой, который скрывает прогу из списки процессов 100% ссылка на демку есть где-то в архивах...

← →
VMcL (2003-06-13 17:07) [28]

>valwhite (13.06.03 09:53)
>To VMcL: сервис видится...

Ну и пусть себе видится. Вырубить может только админ.

>Ghost © (13.06.03 10:00)
>а ты сможешь написать приложение которое бы делало
>из любой программы (даже написанной не на delphi) сервис?

При чём здесь любая программа?

← →
joker (2003-06-13 21:36) [29]

Hello pipls!! I have opportunity this problem!!!
Короче, пацаны, копаясь на хакерском сайте (неделю назад) я нашел исходные тексты решения данной проблемы....
Если коротко то это звучит так, при запуске таблицы CTRL-ALT-DELETE включается мониторинг программы и она как бы подменяет данную таблицу, оставаясь в тени :))
Тут к стати кто то уже об этом говорил, Э.... да не сыпте вы вопросы по поводу FARа :))
Насколько я понял суть проблемы надо спрятать только от этой отмороженной таблицы, а потом если надо то можно вставить цикл который будет запрещать выключение проги т.е делает ее повторный запуск при попытке выключать из таск менеджера :))

← →
Ghost (2003-06-14 07:11) [30]

>VMcL

> При чём здесь любая программа?

при том что моим способом можно скрыть ЛюБУЮ программу !

> joker

Опять мой способ ! не только обычный таск менеджер но и far и т.д
не смогут снять процес !

:)
руль!

← →
StAL (2003-06-14 11:18) [31]

В BackOrifice такая возможность реализована.
В NT это делается так:

в explorer.exe создается новый поток
BackOrifice полностью копирует себя туда
Его нигде не видно

Есть исходники на С++

в 9х

Как известно только один способ получения списка процессов
ToolHelp

С пом. VxDCall мы разрешаем запись в таблицу экспорта Kernel32
Заменяем адреса Process32* на свои

Есть исходники на Delphi

С ув. Алексей.

PS Если у Вас какой-то другой метод, не откажусь от исходников.
stalcom@ua.fm Если можно

← →
AlexandrRya (2003-06-14 12:17) [32]

Скрыть все перехватом NtQuerySystemInformation невозможно. Тот пример, который гуляет по сети, перехватывающий NtQuerySystemInformtion действиетльно не виден из большинства менеджеров, но тот же ProcExplorer т SysInternal его видит и спокойно грохает. Вполне рабочее предложение - создать свою нить в чужом процессе. Как жто сделать подробно расказывал Paul Shamkov давно-давно. Да и Рихтера можно найти.

← →
Burmistroff (2003-06-14 18:36) [33]

>AlexandrRya
Я искренне верю, что это - возможно. Во всяком случае, мне не известны причины, которые могли бы этому помешать. А насчет того, что скрывается не от всех TaskManager"ов - мне кажется, что в проге, которая гулает по форуму, есть какой-нить мелкий глюк.

← →
BlackSun (2003-06-15 01:54) [34]

Назови свою прогу, допустим winlogon.exe или еще каким системным процессом. И не сможешь прибить ее...

← →
Zero Ice (2003-06-15 23:51) [35]

Если у кого-нибудь есть сорс по сокрытию процессов, то пришлите на мыло. (plz)

← →
Мое имя (клоны все равно суксь) (2003-06-16 11:24) [36]

> Spartaj (13.06.03 08:37)

> Кому интересно меняю код на что нить стоящее !

а мне вот это понравилось)

← →
Игорь Шевченко (2003-06-17 13:57) [37]

У меня есть сорс по раскрытию таких вот спрятавшихся процессов :))

← →
Ghost (2003-06-18 08:05) [38]

Удалено модератором
Примечание: Личная переписка

← →
Игорь Шевченко (2003-06-18 10:47) [39]

← →
Ghost (2003-06-19 08:03) [40]

> Игорь Шевченко
> А обмен на что-то стоящее ? :)

Вот это и будет стоящий обмен ! Стоящее на стоящее :)

скрыть процесс в Win2000 Найти похожие ветки