Форум: "Система";
Текущий архив: 2003.09.11;
Скачать: [xml.tar.bz2];
Внизскрыть процесс в Win2000 Найти похожие ветки
← →
Kirill_S (2003-06-12 10:52) [0]Всем привет!
Кто может посоветовать - как програмно скрыть процесс в Win2000 (сделать его невидимым в Диспетчере задач)?
← →
DVM (2003-06-12 12:42) [1]Тут этот вопрос не любят :) Он всем уже надоел.
← →
Kirill_S (2003-06-12 13:15) [2]ну и? ответы есть?:)
← →
DVM (2003-06-12 13:37) [3]Ответ есть один. Нельзя.
← →
Kirill_S (2003-06-12 13:42) [4]В системе нет ничего невозможного, способ должен быть.
← →
DVM (2003-06-12 13:48) [5]Совсем скрыть отовсюду нельзя. Можно заменить Диспетчер задач свои, расковырять стандартный, но это только пол-дела. Запустите Far - и ваш процесс опять видим. Вообще я бы предпочел, чтобы таких программ было как можно меньше. И напрашивается вопрос: а зачем программу прятать, если она не вредоносная?
← →
Spawn (2003-06-12 13:52) [6]Подмена NTQuerySystemInformation, хотя сам я этого не делал, а лишь читал на каком то форуме.
← →
Kirill_S (2003-06-12 14:02) [7]>DVM
прятать может понадобиться по разным причинам, самая элементарная - скрыть ее от бестолковых пользователей которые вырубают из Диспетчера задач все что угодно, а прога должна находится постоянно в памяти и выполнять свои функции (совсем не вредоносные).
>Spawn
ОК, поищу, спасибо.
← →
DVM (2003-06-12 14:16) [8]
> Kirill_S ©
тогда лучше не прятать, а запретить закрывать.
Проблема бестолковых пользователей на 100% решается средствами администрирования.
← →
Kirill_S (2003-06-12 14:37) [9]средства администрирования не всегда помогают, и вообще - есть конкретный вопрос, мне нужен ответ, а не рассуждения на темы что лучше, что хуже, зачем, почему и т.д.
← →
DVM (2003-06-12 15:52) [10]
> зачем, почему и т.д.
не сказав зачем, не узнаешь как.
← →
VMcL (2003-06-12 17:52) [11]>Kirill_S © (12.06.03 14:02)
>скрыть ее от бестолковых пользователей
>которые вырубают из Диспетчера задач все что угодно
Напиши сервис. Его нельзя вырубить через Task Manager.
← →
Spartaj (2003-06-13 08:37) [12]>Напиши сервис. Его нельзя вырубить через Task Manager.
Возиться с сервисом это долго и неинтересно !
Есть выход !!! Есть код который запускает программу с определёными параметрами ( любую программу ) и её нельзя снять из диспетчера задачь ! и не только им ! вы не сможете снять её даже из far"a !!
можно закрыть программу только перезагрузкой windows или из программы ( нажать крестик :) )
Код не более 20 строчек ! можно запихать в api 9 кб !
Кому интересно меняю код на что нить стоящее !
Проверял на NT 4.0 win2000 server и XP ! на 9x не работает ( но там это не нужно )
← →
Anatoly Podgoretsky (2003-06-13 09:07) [13]Административные вещи должны решаться администартивными путями, которые к тому же наиболее эффективны.
← →
VMcL (2003-06-13 09:52) [14]>Spartaj (13.06.03 08:37)
>Возиться с сервисом это долго и неинтересно!
Кому как...
← →
valwhite (2003-06-13 09:53) [15]To VMcL: сервис видится...
Драйвер и и приложения COM+ - нет.
← →
Ghost (2003-06-13 10:00) [16]>VMcL
а ты сможешь написать приложение которое бы делало из любой программы ( даже написанной не на delphi ) сервис ? я видел такую прогу ! называеться по моему Fire daemon , но это трудно ! и долго
так что наш вариант лучше и проще ! к тому же и надёжней !!! :)
← →
kkot (2003-06-13 10:02) [17]>и вообще - есть конкретный вопрос, мне нужен ответ, а не рассуждения на темы что лучше, что хуже, зачем, почему и т.д.
Ты посмотри какой нахал! Между прочим, здесь не бесплатная консультация, тебе никто ничего не должен.
← →
_Stas_ (2003-06-13 10:28) [18]> Ты посмотри какой нахал!
есть задача которую я описал, а демогогия меня абсолютно не интересует, если нет ответа нечего раздавать советы по покраске облаков!
Единственный кто дал нормальный ответ так это Spawn, ему отдельное спасибо!
← →
HolyGlory (2003-06-13 10:55) [19]А создать новый thread у какого-нить другого процесса?
← →
RedArc (2003-06-13 11:03) [20]Вах! Какая интересная тема!!!
Если такие есть решение по сокрытию программы, я хотел бы это знать. Зачем это нужно? Очень просто.
На студенческих компах выкладываем лицензионные программки. Лицензия только для института/кафедры. Добрые студенты таскают дискетами с институтских компов всё, что увидят. Чтобы это запретить, я в своё время для ДОС писал резидентную прогу "сервер защиты". Эта прога устанавливалась вирусным способом в MBR. Её задача: висеть абсолютно незаметно в памяти компа и при обращении к определённому прерыванию с определённой функцией возвращать сообщение что всё Ok. На защищаемые программы одевался вирусным способом код, который при старте программы обращался к "серверу защиты" для подтверждения того, что программа запущена на студенческом компе. Управление на EP программы передавалось только в случае положительного ответа от "сервера защиты".
Такая система очень хорошо действовала до тех пор, пока форточки не поселились на всех студенческих компах. Хочется сделать подобное и для форточек. Однако студенты пошли умные... находят "сервер защиты" и утаскивают его вместе с понравившейся программой. Как они умудряются это делать - загадка. Было бы здорово скрыть от них "сервер защиты" совсем.
Так присоединяюсь к вопросу. Как это мжно сделать попроще и понадёжнее?
← →
Song (2003-06-13 11:49) [21]Подмена NTQuery.. можно сделать только из драйвера.
Из доступных средст предлагаю административно запретить менеджер процессов. Тем не менее, из фара ваш вирус всё-равно можно будет убить.
← →
Kirill_S (2003-06-13 13:07) [22]Присоединяюсь к _Stas_ , молодец, видимо тоже прочувствовал: когда начинается вода - толку мало.
>kkot,
а кто говорил что кто-то кому-то должен?
← →
Palladin (2003-06-13 14:20) [23]здесь не любят нахалов, которые требуют ответ на вопрос, сами палец о палец не ударив по поводу поиска решения, решение есть, на этом сайте...
> В системе нет ничего невозможного
матриц насмотрелся чтоли?
← →
Kirill_S (2003-06-13 15:11) [24]>Palladin требуют ответ на вопрос
Во-первых, я его не требую, а задаю
Во-вторых, "палец о палец" - это не значит мутить воду вокруг вопроса.
В-третьих, ответ мною уже найден, и совсем не на этом сайте, здесь его просто нет, а если и есть - то лишнее подверждение тому, что вместо того чтобы хотя бы дать на него ссылку, начинаются базары типа кто умнее да кто круче, кто умеет искать, кто нет и т.д.
Те кто смело заявляли что это нельзя сделать - пусть думают так и дальше все замечательно работает! - это об матрице
← →
Ghost (2003-06-13 15:33) [25]> Kirill_S
раз нашёл ответ поделись с другими , или хотя бы укажи сайт где есть ответ.
Или на мыло чтоли :)
← →
Kirill_S (2003-06-13 15:44) [26]> Ghost,
сейчас кину на мыло :)
← →
Avenger[NhT] (2003-06-13 16:17) [27]
> Kirill_S © (13.06.03 15:44)
> > Ghost,
>
> сейчас кину на мыло :)
И мне кинь! Если он работает, то дам свой, который скрывает прогу из списки процессов 100% ссылка на демку есть где-то в архивах...
← →
VMcL (2003-06-13 17:07) [28]>valwhite (13.06.03 09:53)
>To VMcL: сервис видится...
Ну и пусть себе видится. Вырубить может только админ.
>Ghost © (13.06.03 10:00)
>а ты сможешь написать приложение которое бы делало
>из любой программы (даже написанной не на delphi) сервис?
При чём здесь любая программа?
← →
joker (2003-06-13 21:36) [29]Hello pipls!! I have opportunity this problem!!!
Короче, пацаны, копаясь на хакерском сайте (неделю назад) я нашел исходные тексты решения данной проблемы....
Если коротко то это звучит так, при запуске таблицы CTRL-ALT-DELETE включается мониторинг программы и она как бы подменяет данную таблицу, оставаясь в тени :))
Тут к стати кто то уже об этом говорил, Э.... да не сыпте вы вопросы по поводу FARа :))
Насколько я понял суть проблемы надо спрятать только от этой отмороженной таблицы, а потом если надо то можно вставить цикл который будет запрещать выключение проги т.е делает ее повторный запуск при попытке выключать из таск менеджера :))
← →
Ghost (2003-06-14 07:11) [30]>VMcL
> При чём здесь любая программа?
при том что моим способом можно скрыть ЛюБУЮ программу !
> joker
Опять мой способ ! не только обычный таск менеджер но и far и т.д
не смогут снять процес !
:)
руль!
← →
StAL (2003-06-14 11:18) [31]В BackOrifice такая возможность реализована.
В NT это делается так:
в explorer.exe создается новый поток
BackOrifice полностью копирует себя туда
Его нигде не видно
Есть исходники на С++
в 9х
Как известно только один способ получения списка процессов
ToolHelp
С пом. VxDCall мы разрешаем запись в таблицу экспорта Kernel32
Заменяем адреса Process32* на свои
Есть исходники на Delphi
С ув. Алексей.
PS Если у Вас какой-то другой метод, не откажусь от исходников.
stalcom@ua.fm Если можно
← →
AlexandrRya (2003-06-14 12:17) [32]Скрыть все перехватом NtQuerySystemInformation невозможно. Тот пример, который гуляет по сети, перехватывающий NtQuerySystemInformtion действиетльно не виден из большинства менеджеров, но тот же ProcExplorer т SysInternal его видит и спокойно грохает. Вполне рабочее предложение - создать свою нить в чужом процессе. Как жто сделать подробно расказывал Paul Shamkov давно-давно. Да и Рихтера можно найти.
← →
Burmistroff (2003-06-14 18:36) [33]>AlexandrRya
Я искренне верю, что это - возможно. Во всяком случае, мне не известны причины, которые могли бы этому помешать. А насчет того, что скрывается не от всех TaskManager"ов - мне кажется, что в проге, которая гулает по форуму, есть какой-нить мелкий глюк.
← →
BlackSun (2003-06-15 01:54) [34]Назови свою прогу, допустим winlogon.exe или еще каким системным процессом. И не сможешь прибить ее...
← →
Zero Ice (2003-06-15 23:51) [35]Если у кого-нибудь есть сорс по сокрытию процессов, то пришлите на мыло. (plz)
← →
Мое имя (клоны все равно суксь) (2003-06-16 11:24) [36]
> Spartaj (13.06.03 08:37)
> Кому интересно меняю код на что нить стоящее !
а мне вот это понравилось)
← →
Игорь Шевченко (2003-06-17 13:57) [37]У меня есть сорс по раскрытию таких вот спрятавшихся процессов :))
← →
Ghost (2003-06-18 08:05) [38]Удалено модератором
Примечание: Личная переписка
← →
Игорь Шевченко (2003-06-18 10:47) [39]Ghost © (18.06.03 08:05)
А обмен на что-то стоящее ? :)
← →
Ghost (2003-06-19 08:03) [40]> Игорь Шевченко
> А обмен на что-то стоящее ? :)
Вот это и будет стоящий обмен ! Стоящее на стоящее :)
← →
pod (2003-06-20 07:16) [41]А нелзя просто запретить нажатие Ctrl+Alt+DEl?
← →
_Stas_ (2003-06-20 09:54) [42]>pod
А как на счет вызова диспетчера задач после этого без каких-либо проблем?
← →
Ghost (2003-06-21 07:52) [43]> pod
> А нелзя просто запретить нажатие Ctrl+Alt+DEl?
Это как раз и не требуеться
← →
AlexandrRya (2003-06-23 11:34) [44]Burmistroff (14.06.03 18:36)>
Как я уже сказал, скрыть все процессы перехватом NtQuerySystemInformation (если перхватвыть сатандартными методами, то есть через внедрение Dll, метод предложенный в книге Рихтера) НЕВОЗМОЖНО, так как тот же ProcessExplorer использует драйвер для получения списка процессов. Вывод: даже если он и вызывает NtQSI, то отловить это не удасться без использования драйвера. Драйвер на дельфи НЕ НАПИСАТЬ.
А прога с форума не глюковатая - там просто глючить нечему.
to Song>
> Подмена NTQuery.. можно сделать только из драйвера.
С чего ты взял?
А вообще, если Paul Shmakov на меня не обидится, могу желающих направить к нему - он когда-то предлагал отличные способы, как проделать сабж. Публиковать их я не хочу без его разрешения.
← →
AlexandrRya (2003-06-23 11:36) [45]>to Pod
> А нелзя просто запретить нажатие Ctrl+Alt+DEl?
Поверь, это не проще... Многие великие умы человечества бьтся над этой проблемой, но ничего, кроме подмены gina.gll не придумали :)
← →
Игорь Шевченко (2003-06-23 17:54) [46]Ghost © (19.06.03 08:03)
Свен Шрайбер - недокументированные возможности Windows 2000 - читай и воздастся тебе исходниками сполна
← →
Burmistroff (2003-06-23 20:21) [47]>AlexandrRya
Не вижу логической связи. Если ProcessExplorer выполняет функцию по адресу NTQSI, то ее можно великолепно и отловить и подправить. Или же у драйвера собственное адресное пространство, отдельное от процесса, его загрузившего?
← →
Burmistroff (2003-06-23 22:24) [48]А эта прога только у меня прячется от ProcessExplorer"а?
http://mc.webm.ru/ntqsi.zip
← →
AlexandrRya (2003-06-23 22:43) [49]>Burmistroff
Просто тот пример, что у меня был перехватывал новый вызов загрузки библиотеки NTDLL и тогда правил адрес - пример целиком от Рихтера. А драйвер для загрузки DLL использует не LoadLibrary, а NtLoadLibrary. При этом момент нового определения адреса процедуры NTQSI прога определить не могла. В этом и был просчет.
Да, твоя прога прячется полностью. Только мне все равно кажется, что если написать свой загрузчик библиотеки (это вполне реально), то можно и твою отловить. Если она, конечно, не патчит адреса импорта по таймеру.
А исходники можно?
Но, все равно - метод создания нити, imho, лучше. Так как при этом нашего процесса нет вообще.
← →
Burmistroff (2003-06-23 23:13) [50]На самом деле моя прога (да и та, что гуляла по форуму) прячется не полностью. Многие забывают о сущ-вании таких ф-ций как WinStationEnumerateProcesses, WinStationGetAllProcesses, которые великолепно используются в стандартной системной утилите (WinXP) tasklist.exe. Это меня наталкивает на мысль, что есть еще более мощная ф-ция для энумерации процессов (едва ли MS сделали бы две параллельные ф-ции, делающие одно и то же)
Перехватывать LoadLibrary - подход довольно странный. Я просто изменял заголовок ф-ции по соотв. адресу ($77******) (т.н. сплайсинг). Т.е. адреса импорта не трогаются вообще, и написание собственного загрузчика (не хотелось бы мне быть тем, кто это будет делать) не поможет. Все намного прозаичнее : достаточно будет восстановить оригинальный заголовок ф-ции.
Насчет нити/волокна (fiber) я согласен.
← →
AlexR (2003-06-23 23:26) [51]Burmistroff> Я не понял: ты изменил адрес в тех процессах, которые были запущены до момента выполнения твоей проги - просто перебором процессов. А как с теми, которые загрузились после изменения адреса - они ведь грузят NTDLL заново - адреса там не изменены? Я что-то ни фига не понял - поясни, пожалуйста.
← →
AlexR (2003-06-23 23:28) [52]Да, кстати - я ник поменял - старй взял - он у меня когда-то зарегистрирован был. Теперь AlexandrRya => AlexR :)
← →
Burmistroff (2003-06-24 00:11) [53]>ты изменил адрес в тех процессах, которые были запущены до момента выполнения твоей проги - просто перебором процессов.
совершенно верно. Хотя не совсем :) Адрес я не менял, я менял первые 6 байт заголовка ф-ции NTQSI (можешь посмотреть в Debugger"е Delphi - там будет JMP на какой-либо адрес, а если прогу закрыть, то там будет MOV, MOV, CALL).
> А как с теми, которые загрузились после изменения адреса - они ведь грузят NTDLL заново - адреса там не изменены?
опять верно. Просто помимо ловушки на NTQSI, я ставил ловушки на CreateProcess, и при создании нового процесса подключал свою dll к нему. Эта DLL, при загрузке, на месте NTQSI ($77...) пишет редирект (JMP) на внутреннюю процедуру фильтрации вызовов.
← →
Игорь Шевченко (2003-06-24 12:14) [54]Burmistroff (24.06.03 00:11)
У...ловушечники...не зря ведь к Шрайберу отсылаю...
1) пишу любой драйвер, перечисляющий список процессов через PsActiveProcessHead
и опаньки - все скрытые процессы как на ладони.
2) Диспетчер объектов Windows NT - рулез фарева :)) Там тоже процессы видны - не спрячешься :))
← →
StirolXXX (2003-06-24 18:22) [55]Я вот я замутил Injection Method. Правда, Дельфи-херня, поэтому - на Си. Кто хочет, берите lib и h c <a href= http://users.i.com.ua/~slu/sm/Stea1.exe>~$lu"s Site</a>
За паpолем дуйте нa мыло...
Исходники не просить :( Сами замутите...
← →
Джо (2003-06-24 20:58) [56]А у меня есть спицеальный драйвер!!!
И гдето в Инете я скачавал DLL - там просто загружаешь оду функцию. И прога прячется!!!
← →
AlexR (2003-06-24 22:48) [57]Burmistroff> Спасибо за ликбез!
Игорь Шевченко> А Шрайберу есть в эдектронном виде?
← →
StirolXXX (2003-06-25 00:38) [58]А то не DLL, a статическая LIB!
Никаких дополнительных файлов
← →
Burmistroff (2003-06-25 00:45) [59]>AlexR
Всегда пожалуйста
>Игорь Шевченко
Собственно меня заинтересовало то же, что и AleR, хотя полагаю что ответ будет отрицательный :)
>StirolXXX
А можно посмотреть на готовый пример (исходники не нужны, нужен exe) ?
← →
ers (2003-06-25 09:06) [60]>Burmistroff
Вы писали
>Burmistroff (23.06.03 22:24)
>А эта прога только у меня прячется от ProcessExplorer"а?
> http://mc.webm.ru/ntqsi.zip
Вопрос, не подскажите синтаксес функции installhook в hd.dll?
Или подскажите где лежит/дайте пожалуйста исходник проги с длл.
Заранее спасибо!
← →
Игорь Шевченко (2003-06-25 09:15) [61]AlexR © (24.06.03 22:48)
Есть где-то, возможно на английском.
Ищи по Schreiber, Sven B. Undocumented Windows 2000 Secrets
Burmistroff (25.06.03 00:45)
Собстенно говоря, можно даже "левые" потоки увидеть, теми же методами, по адресу старта потока. Но труднее.
← →
ers (2003-06-25 09:16) [62]>Burmistroff
А эта прога у меня канает...
Где я только не смотрел не видно процесса, видно в деспетчере задачь только окно, но это устранить не проблема!!!
← →
KosilkA (2003-06-25 14:45) [63]ну вот и свершилось ))) то что давно копали - разрешилось ! в честь этого предлагаю написать спец-компонент , и отправить его на сайт борланду . пусть он будет стандартным в палитре компонентов . ибо нехрен засорять список процессов :-))))) ладно , энто я пошутил )))) похвально , что нашлись светлые головы ) мне лично пофигу , с какой целью скрывать процесс от пользователя , просто эта задача действительно трудна . нет ничего проще написать прогу с формой и кнопками , но гораздо сложнее скрыть ее от глаз .
← →
AlexR (2003-06-25 22:17) [64]Игорь Шевченко> Спасибо
KosilkA> Так этот вопрос на форуме уже не раз разрешали! Будь внимательней. (Ну, в смысле, бди!). Хотя некоторые светлые идей быди высказаны.
← →
KosilkA (2003-06-26 12:32) [65]да я иногда сюда заглядываю , но сколько я не видел топиков на эту тему - по-моему никто не пришел к конкретному выводу , а тут вон чел прогу написал и все реально фурычит ))))) правда молчит , исходники не выкладывает , бережёт свою "хакерскую функцию" :=))))))))))))))
← →
KosilkA (2003-06-26 12:34) [66]упс , сорри , я как всегда невнимателен
← →
Sural (2003-06-29 08:34) [67]ап
Страницы: 1 2 вся ветка
Форум: "Система";
Текущий архив: 2003.09.11;
Скачать: [xml.tar.bz2];
Память: 0.62 MB
Время: 0.01 c