Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2005.02.06;
Скачать: CL | DM;

Вниз

Где бы взять драйвер, который возвращал бы информацию о процессах   Найти похожие ветки 

 
Piter ©   (2005-01-05 19:48) [0]

и брал бы ее из внутренних структур windows? Нужно для w2k/XP


 
GuAV ©   (2005-01-05 20:01) [1]

Piter ©   (05.01.05 19:48)

Тебе мало NtQueryХхх - функций ?


 
kaZaNoVa ©   (2005-01-05 20:31) [2]

Piter ©   (05.01.05 19:48)
Антитроян пишешь??  =)))))))))


 
kaZaNoVa ©   (2005-01-05 20:32) [3]

Piter ©   (05.01.05 19:48)
Process Explorer"a мало?  =))


 
Piter ©   (2005-01-05 23:16) [4]

GuAV ©   (05.01.05 20:01) [1]

Да. Нужно так, чтобы нельзя было перехватить.


 
Piter ©   (2005-01-05 23:17) [5]

kaZaNoVa ©   (05.01.05 20:32) [3]
Process Explorer"a мало


а при чем здесь PE?


 
kaZaNoVa ©   (2005-01-05 23:29) [6]

Piter ©   (05.01.05 23:16) [4]

> Нужно так, чтобы нельзя было перехватить.

на эту тему надо спросить ИШ =))


> а при чем здесь PE?

ну, он имхо даёт инфы более чем достаточно о процессах :)))))


 
GuAV ©   (2005-01-05 23:42) [7]

Piter ©   (05.01.05 23:16) [4]

http://delphimaster.net/view/4-1102446667/

Игорь Шевченко ©   (08.12.04 10:57) [12] - Не убедительно ?


 
Piter ©   (2005-01-06 02:22) [8]

GuAV ©   (05.01.05 23:42) [7]

да причем здесь это. Я хочу драйвер, который в обход  WinApi вернет информацию о процессах.


 
kaZaNoVa ©   (2005-01-06 06:46) [9]

Piter ©   (06.01.05 2:22) [8]
круто ... =)


 
Piter ©   (2005-01-06 15:13) [10]

Должен же быть такой драйвер... точно должен быть...


 
Игорь Шевченко ©   (2005-01-06 15:19) [11]

Piter ©   (06.01.05 15:13) [10]


> Должен же быть такой драйвер... точно должен быть...


Должен и есть - но нафига ?


 
TUser ©   (2005-01-06 15:22) [12]

В обход АПИ - это фишка для неслабых перцев ...


 
Piter ©   (2005-01-06 15:45) [13]

Игорь Шевченко ©   (06.01.05 15:19) [11]
Должен и есть - но нафига ?


ну как будто непонятно... чтобы не перехватили вызываемую мной функцию.

И если вы знаете линк или хотя бы название - почему не скажите? Разве тут какая-то секретность?


 
kaZaNoVa ©   (2005-01-06 15:56) [14]

Piter ©   (06.01.05 15:45) [13]

> И если вы знаете линк или хотя бы название - почему не
> скажите? Разве тут какая-то секретность?

ага, а вдруг ты сам и пишешь троян, имхо квалификация позволяет, вот и решел написать на основе драйвера :))))


 
Игорь Шевченко ©   (2005-01-06 15:59) [15]

Piter ©   (06.01.05 15:45) [13]


> ну как будто непонятно... чтобы не перехватили вызываемую
> мной функцию


Ну перехватят DeviceIoControl :)


> И если вы знаете линк или хотя бы название - почему не скажите?
>


Да мне просто интересно, нафига так извращаться.

Название автора знаю - Свен Шрайбер.


 
Piter ©   (2005-01-06 16:07) [16]

Игорь Шевченко ©   (06.01.05 15:59) [15]
Ну перехватят DeviceIoControl


А толку? Откуда они блин знают что я за информацию запрашиваю? Или я чего-то не понимаю?


 
Игорь Шевченко ©   (2005-01-06 16:13) [17]

Piter ©   (06.01.05 16:07) [16]

Странный ты. Хоть бы рассказал, для чего надо, существует много разных способов узнать списки процессов.


 
Piter ©   (2005-01-06 16:34) [18]

Да и вообще, разве DeviceIoControl единственный способ взаимодействовать с драйверами?


 
Piter ©   (2005-01-06 16:35) [19]

Игорь Шевченко ©   (06.01.05 16:13) [17]
Хоть бы рассказал, для чего надо


просто нужно узнать достоверную информацию о процессах. Чтобы какой-нибудь троян 100% не смог помешать узнать мне эту информацию...


 
Игорь Шевченко ©   (2005-01-06 16:44) [20]

Piter ©   (06.01.05 16:34) [18]


> Да и вообще, разве DeviceIoControl единственный способ взаимодействовать
> с драйверами?


Ты знаешь еще какие-то ?


> Чтобы какой-нибудь троян 100% не смог помешать узнать мне
> эту информацию...


Не понимаю - зачем. Мне, например, достаточно узнать факт наличия того, что мне мешают узнать всю информацию о процессах, и после этого уже принимать меры. Узнать же можно вызовом NtQuerySystemInformation - обычно этого вызова достаточно.


 
kaZaNoVa ©   (2005-01-06 16:45) [21]

Piter ©   (06.01.05 16:35) [19]

> Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...

установи чистую систему, и будешь 100% уверен, что нет трояна :))

иначе, нельзя быть уверенным :))

и вообще, зачем процессы?
есть длл, потоки и масса ещё чего интересного =)


 
GuAV ©   (2005-01-06 17:46) [22]


>  Чтобы какой-нибудь троян 100% не смог помешать узнать
> мне эту информацию...


Если у автора скрывающегося процесса будет твоя программа во время написания скрывающегося процесса, то он найдёт способ написать так чтоб твоя программа не нашла. Это к тому, что 100% - никак.

Если страдаешь паранойей, жестко пропиши адрес NtQuerySystemInformation. В более тяжелом случае даже наверное можно перенести начало NtQuerySystemInformation в свою программу, оттуда JMP на продолжение :-)


 
Игорь Шевченко ©   (2005-01-06 17:50) [23]


> В более тяжелом случае даже наверное можно перенести начало
> NtQuerySystemInformation в свою программу, оттуда JMP на
> продолжение


Не выйдет. В разных версиях системы разная реализация.


 
GuAV ©   (2005-01-06 17:52) [24]

Игорь Шевченко ©   (06.01.05 17:50) [23]

Я понимаю. Более того адрес наверное тоже может менятся (не уверен меняется ли, но может :-) ).

Но я понял Piter для себя пишет, т.к. вряд ли кто-то ещё таким страдает ;-)


 
Игорь Шевченко ©   (2005-01-06 17:54) [25]

GuAV ©   (06.01.05 17:52) [24]

Адрес меняется гарантировано :) В том числе от сервис-пака к сервис-паку :)

С уважением,


 
Piter ©   (2005-01-06 19:01) [26]

Ну да, естественно адрес меняется. А хотелось бы таки что-нибудь поуниверсальнее...

К тому же вот какой вопрос - а что мешает злоумышленнику переписать начало функции в ВАП процесса? Тогда если я и по жесткому адресу буду вызывать - будет вызываться левая функция...


 
GuAV ©   (2005-01-06 20:19) [27]


> Ну да, естественно адрес меняется. А хотелось бы таки
> что-нибудь поуниверсальнее...

при установке записывай адрес в файл или реестр.


> К тому же вот какой вопрос - а что мешает
> злоумышленнику переписать начало функции в ВАП
> процесса?


>  В более тяжелом случае даже наверное можно перенести
> начало NtQuerySystemInformation в свою программу,
> оттуда JMP на продолжение :-)

опять же, начало оригинальной процедуры в свой файл или в реестр.


 
Piter ©   (2005-01-06 20:49) [28]

при установке записывай адрес в файл или реестр

а откуда я его возьму, этот адрес, при установке?

опять же, начало оригинальной процедуры в свой файл или в реестр

не понял способа. А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?

Игорь Шевченко ©   (06.01.05 15:59) [15]
Название автора знаю - Свен Шрайбер


а точнее больше ничего нету, какие-нибудь ключевые слова? Или хотя бы как точно пишется по английски имя Свена Шрайбера?


 
kaZaNoVa ©   (2005-01-06 21:09) [29]

Piter ©   (06.01.05 19:01) [26]

> а что мешает злоумышленнику переписать начало функции
> в ВАП процесса?

а что мешает подменить загрузчик и загрузить тот же  DOS к примеру ???

паранойя, однако ...  

//Piter, не обижайся, но имхо так :))))


 
GuAV ©   (2005-01-06 21:27) [30]

Piter ©   (06.01.05 20:49) [28]
а откуда я его возьму, этот адрес, при установке?

А откуда я возьму оригинальное начало? Из DLL на диске? А как я там NtQuerySystemInformation найду?
Да, из dll на диске. Как - руками, как ещё, используя справку по PE. Относительно легко, учитывая что relocation не требуется.


 
Piter ©   (2005-01-06 22:09) [31]

kaZaNoVa ©   (06.01.05 21:09) [29]
а что мешает подменить загрузчик и загрузить тот же  DOS к примеру ???


не понял

GuAV ©   (06.01.05 21:27) [30]

а сколько байт копировать?
И все таки остался вопрос - а как я узнаю истиный адрес NtQuerySystemInformation?

P.S. Кстати, драйвер все таки ищется :)


 
Игорь Шевченко ©   (2005-01-06 22:18) [32]


> Или хотя бы как точно пишется по английски имя Свена Шрайбера?


Sven B. Schreiber


 
GuAV ©   (2005-01-06 22:20) [33]


> а сколько байт копировать?


несколько инструкций, а потом JMP на оригинал.
или целиком до ret.
если получится - сообщи.


> а как я узнаю истиный адрес NtQuerySystemInformation?

Анализируя Таблицу Экспорта файла.


 
kaZaNoVa ©   (2005-01-06 23:18) [34]

Piter ©   (06.01.05 22:09) [31]

>kaZaNoVa ©   (06.01.05 21:09) [29]
> а что мешает подменить загрузчик и загрузить тот же  
>DOS к примеру ???
>
> не понял

а то, что можно бесконечно (имхо) так углубляться внутрь системы, в надежде найти что-то "более внетреннее" - имхо тогда вирус может просто заменить винду (в теории) - например, записаться на дискету, если она вставлена, и сделать её зарузочной + в биосе постевить загрузку с неё ...


 
Игорь Шевченко ©   (2005-01-06 23:54) [35]


> тогда вирус может просто заменить винду (в теории) - например,
> записаться на дискету, если она вставлена, и сделать её
> зарузочной + в биосе постевить загрузку с неё ...


MS каждый год такие вирусы пишет.


 
Piter ©   (2005-01-06 23:54) [36]

GuAV ©   (06.01.05 22:20) [33]
Анализируя Таблицу Экспорта файла


ntdll?

kaZaNoVa ©   (06.01.05 23:18) [34]

я тебя все равно не понимаю...


 
GuAV ©   (2005-01-07 00:25) [37]

Piter ©   (06.01.05 23:54) [36]

Нет, mforum.exe. Где нужная функция, там и анализируй.


 
Piter ©   (2005-01-07 00:27) [38]

Игорь Шевченко ©   (06.01.05 22:18) [32]

нашел: http://www.orgon.com/w2k_internals/cd.html

Скачал оттуда: w2k_spy.sys, http://www.orgon.com/w2k_internals/w2k_internals.zip

Но там ни описания, ничего... как использовать то?


 
Piter ©   (2005-01-07 00:28) [39]

GuAV ©   (07.01.05 0:25) [37]
Нет, mforum.exe


бла, бла, бла :)
Может я дурак - объяснить что ли нельзя? :)


 
Игорь Шевченко ©   (2005-01-07 00:37) [40]

Piter ©   (07.01.05 00:27) [38]


> Но там ни описания, ничего... как использовать то?


Ну вот смотри, я потратил в свое время 250 рублей, купил книжку Свена Шрайбера, прочитал ее...Почему бы не проделать для удовлетворения собственных потребностей аналогичный путь ? Я не совсем понимаю.



Страницы: 1 2 вся ветка

Текущий архив: 2005.02.06;
Скачать: CL | DM;

Наверх




Память: 0.57 MB
Время: 0.03 c
1-1106497009
tazik
2005-01-23 19:16
2005.02.06
Запись текста к файлу программы


4-1103112663
Delphi5.01
2004-12-15 15:11
2005.02.06
Но не могу поймать момент когда форма уже минимизирована


14-1106048822
Vasya.ru
2005-01-18 14:47
2005.02.06
коннектится все - время кто - то на 445 порт


1-1106379779
Unknown
2005-01-22 10:42
2005.02.06
Как развернуть приложение после Application.Minimize и как вызват


1-1106597009
MadGhost
2005-01-24 23:03
2005.02.06
ValueListEditor как вставить в ячейку значение?