Текущий архив: 2005.02.06;
Скачать: CL | DM;
Вниз
Где бы взять драйвер, который возвращал бы информацию о процессах Найти похожие ветки
← →
Piter © (2005-01-05 19:48) [0]и брал бы ее из внутренних структур windows? Нужно для w2k/XP
← →
GuAV © (2005-01-05 20:01) [1]Piter © (05.01.05 19:48)
Тебе мало NtQueryХхх - функций ?
← →
kaZaNoVa © (2005-01-05 20:31) [2]Piter © (05.01.05 19:48)
Антитроян пишешь?? =)))))))))
← →
kaZaNoVa © (2005-01-05 20:32) [3]Piter © (05.01.05 19:48)
Process Explorer"a мало? =))
← →
Piter © (2005-01-05 23:16) [4]GuAV © (05.01.05 20:01) [1]
Да. Нужно так, чтобы нельзя было перехватить.
← →
Piter © (2005-01-05 23:17) [5]kaZaNoVa © (05.01.05 20:32) [3]
Process Explorer"a мало
а при чем здесь PE?
← →
kaZaNoVa © (2005-01-05 23:29) [6]Piter © (05.01.05 23:16) [4]
> Нужно так, чтобы нельзя было перехватить.
на эту тему надо спросить ИШ =))
> а при чем здесь PE?
ну, он имхо даёт инфы более чем достаточно о процессах :)))))
← →
GuAV © (2005-01-05 23:42) [7]Piter © (05.01.05 23:16) [4]
http://delphimaster.net/view/4-1102446667/
Игорь Шевченко © (08.12.04 10:57) [12] - Не убедительно ?
← →
Piter © (2005-01-06 02:22) [8]GuAV © (05.01.05 23:42) [7]
да причем здесь это. Я хочу драйвер, который в обход WinApi вернет информацию о процессах.
← →
kaZaNoVa © (2005-01-06 06:46) [9]Piter © (06.01.05 2:22) [8]
круто ... =)
← →
Piter © (2005-01-06 15:13) [10]Должен же быть такой драйвер... точно должен быть...
← →
Игорь Шевченко © (2005-01-06 15:19) [11]Piter © (06.01.05 15:13) [10]
> Должен же быть такой драйвер... точно должен быть...
Должен и есть - но нафига ?
← →
TUser © (2005-01-06 15:22) [12]В обход АПИ - это фишка для неслабых перцев ...
← →
Piter © (2005-01-06 15:45) [13]Игорь Шевченко © (06.01.05 15:19) [11]
Должен и есть - но нафига ?
ну как будто непонятно... чтобы не перехватили вызываемую мной функцию.
И если вы знаете линк или хотя бы название - почему не скажите? Разве тут какая-то секретность?
← →
kaZaNoVa © (2005-01-06 15:56) [14]Piter © (06.01.05 15:45) [13]
> И если вы знаете линк или хотя бы название - почему не
> скажите? Разве тут какая-то секретность?
ага, а вдруг ты сам и пишешь троян, имхо квалификация позволяет, вот и решел написать на основе драйвера :))))
← →
Игорь Шевченко © (2005-01-06 15:59) [15]Piter © (06.01.05 15:45) [13]
> ну как будто непонятно... чтобы не перехватили вызываемую
> мной функцию
Ну перехватят DeviceIoControl :)
> И если вы знаете линк или хотя бы название - почему не скажите?
>
Да мне просто интересно, нафига так извращаться.
Название автора знаю - Свен Шрайбер.
← →
Piter © (2005-01-06 16:07) [16]Игорь Шевченко © (06.01.05 15:59) [15]
Ну перехватят DeviceIoControl
А толку? Откуда они блин знают что я за информацию запрашиваю? Или я чего-то не понимаю?
← →
Игорь Шевченко © (2005-01-06 16:13) [17]Piter © (06.01.05 16:07) [16]
Странный ты. Хоть бы рассказал, для чего надо, существует много разных способов узнать списки процессов.
← →
Piter © (2005-01-06 16:34) [18]Да и вообще, разве DeviceIoControl единственный способ взаимодействовать с драйверами?
← →
Piter © (2005-01-06 16:35) [19]Игорь Шевченко © (06.01.05 16:13) [17]
Хоть бы рассказал, для чего надо
просто нужно узнать достоверную информацию о процессах. Чтобы какой-нибудь троян 100% не смог помешать узнать мне эту информацию...
← →
Игорь Шевченко © (2005-01-06 16:44) [20]Piter © (06.01.05 16:34) [18]
> Да и вообще, разве DeviceIoControl единственный способ взаимодействовать
> с драйверами?
Ты знаешь еще какие-то ?
> Чтобы какой-нибудь троян 100% не смог помешать узнать мне
> эту информацию...
Не понимаю - зачем. Мне, например, достаточно узнать факт наличия того, что мне мешают узнать всю информацию о процессах, и после этого уже принимать меры. Узнать же можно вызовом NtQuerySystemInformation - обычно этого вызова достаточно.
← →
kaZaNoVa © (2005-01-06 16:45) [21]Piter © (06.01.05 16:35) [19]
> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...
установи чистую систему, и будешь 100% уверен, что нет трояна :))
иначе, нельзя быть уверенным :))
и вообще, зачем процессы?
есть длл, потоки и масса ещё чего интересного =)
← →
GuAV © (2005-01-06 17:46) [22]
> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...
Если у автора скрывающегося процесса будет твоя программа во время написания скрывающегося процесса, то он найдёт способ написать так чтоб твоя программа не нашла. Это к тому, что 100% - никак.
Если страдаешь паранойей, жестко пропиши адрес NtQuerySystemInformation. В более тяжелом случае даже наверное можно перенести начало NtQuerySystemInformation в свою программу, оттуда JMP на продолжение :-)
← →
Игорь Шевченко © (2005-01-06 17:50) [23]
> В более тяжелом случае даже наверное можно перенести начало
> NtQuerySystemInformation в свою программу, оттуда JMP на
> продолжение
Не выйдет. В разных версиях системы разная реализация.
← →
GuAV © (2005-01-06 17:52) [24]Игорь Шевченко © (06.01.05 17:50) [23]
Я понимаю. Более того адрес наверное тоже может менятся (не уверен меняется ли, но может :-) ).
Но я понял Piter для себя пишет, т.к. вряд ли кто-то ещё таким страдает ;-)
← →
Игорь Шевченко © (2005-01-06 17:54) [25]GuAV © (06.01.05 17:52) [24]
Адрес меняется гарантировано :) В том числе от сервис-пака к сервис-паку :)
С уважением,
← →
Piter © (2005-01-06 19:01) [26]Ну да, естественно адрес меняется. А хотелось бы таки что-нибудь поуниверсальнее...
К тому же вот какой вопрос - а что мешает злоумышленнику переписать начало функции в ВАП процесса? Тогда если я и по жесткому адресу буду вызывать - будет вызываться левая функция...
← →
GuAV © (2005-01-06 20:19) [27]
> Ну да, естественно адрес меняется. А хотелось бы таки
> что-нибудь поуниверсальнее...
при установке записывай адрес в файл или реестр.
> К тому же вот какой вопрос - а что мешает
> злоумышленнику переписать начало функции в ВАП
> процесса?
> В более тяжелом случае даже наверное можно перенести
> начало NtQuerySystemInformation в свою программу,
> оттуда JMP на продолжение :-)
опять же, начало оригинальной процедуры в свой файл или в реестр.
← →
Piter © (2005-01-06 20:49) [28]при установке записывай адрес в файл или реестр
а откуда я его возьму, этот адрес, при установке?
опять же, начало оригинальной процедуры в свой файл или в реестр
не понял способа. А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?
Игорь Шевченко © (06.01.05 15:59) [15]
Название автора знаю - Свен Шрайбер
а точнее больше ничего нету, какие-нибудь ключевые слова? Или хотя бы как точно пишется по английски имя Свена Шрайбера?
← →
kaZaNoVa © (2005-01-06 21:09) [29]Piter © (06.01.05 19:01) [26]
> а что мешает злоумышленнику переписать начало функции
> в ВАП процесса?
а что мешает подменить загрузчик и загрузить тот же DOS к примеру ???
паранойя, однако ...
//Piter, не обижайся, но имхо так :))))
← →
GuAV © (2005-01-06 21:27) [30]Piter © (06.01.05 20:49) [28]
а откуда я его возьму, этот адрес, при установке?
А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?
Да, из dll на диске. Как - руками, как ещё, используя справку по PE. Относительно легко, учитывая что relocation не требуется.
← →
Piter © (2005-01-06 22:09) [31]kaZaNoVa © (06.01.05 21:09) [29]
а что мешает подменить загрузчик и загрузить тот же DOS к примеру ???
не понял
GuAV © (06.01.05 21:27) [30]
а сколько байт копировать?
И все таки остался вопрос - а как я узнаю истиный адрес NtQuerySystemInformation?
P.S. Кстати, драйвер все таки ищется :)
← →
Игорь Шевченко © (2005-01-06 22:18) [32]
> Или хотя бы как точно пишется по английски имя Свена Шрайбера?
Sven B. Schreiber
← →
GuAV © (2005-01-06 22:20) [33]
> а сколько байт копировать?
несколько инструкций, а потом JMP на оригинал.
или целиком до ret.
если получится - сообщи.
> а как я узнаю истиный адрес NtQuerySystemInformation?
Анализируя Таблицу Экспорта файла.
← →
kaZaNoVa © (2005-01-06 23:18) [34]Piter © (06.01.05 22:09) [31]
>kaZaNoVa © (06.01.05 21:09) [29]
> а что мешает подменить загрузчик и загрузить тот же
>DOS к примеру ???
>
> не понял
а то, что можно бесконечно (имхо) так углубляться внутрь системы, в надежде найти что-то "более внетреннее" - имхо тогда вирус может просто заменить винду (в теории) - например, записаться на дискету, если она вставлена, и сделать её зарузочной + в биосе постевить загрузку с неё ...
← →
Игорь Шевченко © (2005-01-06 23:54) [35]
> тогда вирус может просто заменить винду (в теории) - например,
> записаться на дискету, если она вставлена, и сделать её
> зарузочной + в биосе постевить загрузку с неё ...
MS каждый год такие вирусы пишет.
← →
Piter © (2005-01-06 23:54) [36]GuAV © (06.01.05 22:20) [33]
Анализируя Таблицу Экспорта файла
ntdll?
kaZaNoVa © (06.01.05 23:18) [34]
я тебя все равно не понимаю...
← →
GuAV © (2005-01-07 00:25) [37]Piter © (06.01.05 23:54) [36]
Нет, mforum.exe. Где нужная функция, там и анализируй.
← →
Piter © (2005-01-07 00:27) [38]Игорь Шевченко © (06.01.05 22:18) [32]
нашел: http://www.orgon.com/w2k_internals/cd.html
Скачал оттуда: w2k_spy.sys, http://www.orgon.com/w2k_internals/w2k_internals.zip
Но там ни описания, ничего... как использовать то?
← →
Piter © (2005-01-07 00:28) [39]GuAV © (07.01.05 0:25) [37]
Нет, mforum.exe
бла, бла, бла :)
Может я дурак - объяснить что ли нельзя? :)
← →
Игорь Шевченко © (2005-01-07 00:37) [40]Piter © (07.01.05 00:27) [38]
> Но там ни описания, ничего... как использовать то?
Ну вот смотри, я потратил в свое время 250 рублей, купил книжку Свена Шрайбера, прочитал ее...Почему бы не проделать для удовлетворения собственных потребностей аналогичный путь ? Я не совсем понимаю.
Страницы: 1 2 вся ветка
Текущий архив: 2005.02.06;
Скачать: CL | DM;
Память: 0.57 MB
Время: 0.03 c
