Я сделал это!!!! Я спрятал процесс от Task Manager а.

← →
KosilkA © (2003-09-26 12:34) [40]

to Marouder> решпект!!! дллка пашет , тестирую вот :)))ТаскМанагер в пролёте ! только вот HideOnlyFromTaskManager не скрывает от следующей процедуры , которую можно найти в каждом FAQ :

uses tlhelp32; procedure TForm1.FormCreate(Sender: TObject); I : Integer; hSnapshoot : THandle; pe32 : TProcessEntry32; List : TStrings; begin listbox1.Items.Clear; hSnapshoot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnapshoot = -1) then Exit; pe32.dwSize := SizeOf(TProcessEntry32); if (Process32First(hSnapshoot, pe32)) then repeat I := listbox1.Items.Add(Format("%x, %x: %s", [pe32.th32ProcessID,pe32.th32ParentProcessID,pe32.szExeFile])); listbox1.Items.Objects[I] := Pointer(pe32.th32ProcessID); until not Process32Next(hSnapshoot, pe32); CloseHandle (hSnapshoot); end;

← →
Digitman © (2003-09-26 12:34) [41]

> Marouder

> Если я найду переход в Ring0

А чего его искать-то ?) Вот он, перед носом).. сам же про Int2E упомянул всуе))
Полез ты в дебри такие жуткие, дабы эдакую "крутость не по годам" выставить напоказ, да не стого конца, видно, полез) ... Вот с изучения всех тонкостей PL0 и нужно было начинать, прежде чем тягаться с Игорем)) ... иначе - правильно Polevi © (26.09.03 12:02) [35] усмехнулся - иначе как детским садом это не пахнет)

← →
Marouder © (2003-09-26 13:02) [42]

2Kosilka:
У меня все скрывает
HideOnlyFromTaskManager должно быть FALSE, а не TRUE. Когда TRUE - скрывает только от Task Manager.
================================================================
2Digitman:
Имелось в виду, как свой код заставить в Ring0 работать.

>Вот с изучения всех тонкостей PL0 и нужно было начинать, прежде >чем тягаться с Игорем

В NT нормальный переход в ring0 почти никто не сможет сделать, нигде в инете ты это не найдешь, так что изучать - это только легко сказать.
Вот хорошее дело - дизасмить ядро, начну этим заниматься.
И никакую "крутость" я не выставлял напоказ. Это вы с Игорем хотите казаться крутыми, типа вы это все давно знаете и т.п. Просто выложил исходник, который делает свое дело, а именно прячет от TM процесс.
Был бы еще нормальный канал или халява, скачал бы хоть "Inside Windows 2000". Не будешь же по Dial-up мучаться, 18 Мегов качать.
======================================
2 Игорь Шевченко:
Исходников файлмона на Сисинтерналсе нет. Все обшарил.

← →
Digitman © (2003-09-26 13:22) [43]

> В NT нормальный переход в ring0 почти никто не сможет сделать

глупости)
если речь идет о документированных для NT способах, то при помощи опять же вполне документированного NTDDK пишется драйвер режима ядра, код которого получает управление именно в Ring0.

Приложение просто вызывает соотв.ф-ции драйвера и тем самым нужная логика исполняется с наивысшим уровнем привелегий

> нигде в инете ты это не найдешь

ну уж конечно !
мы тут с Игорем как раз и соревновались намедни, кто первый сопрет у мелкомягких его "сверсекретный" пакет - Driver Development Kit, ибо набрать в любой поисковой системе "NT DDK" - это выше всяческих сил) ... ну и как минимум просто лень)

> Вот хорошее дело - дизасмить ядро, начну этим заниматься.

Как раз к пенсии и закончишь это дело))

← →
Игорь Шевченко © (2003-09-26 13:28) [44]

> Это вы с Игорем хотите казаться крутыми, типа вы это все
> давно знаете и т.п.

Не хотим. Нам это не надо. Мы просто знаем.

> Просто выложил исходник, который делает свое дело, а именно
> прячет от TM процесс.

Ты пойми, таких исходников в инете - как звезд на небе. И не стоило заниматься компиляцией из wasm.ru, Рихтера и т.д.

Кстати, Inside Windows 2000 продается в магазине. Под названием "Внутреннее устройство Windows 2000"

> В NT нормальный переход в ring0 почти никто не сможет сделать,
> нигде в инете ты это не найдешь, так что изучать - это только
> легко сказать

Да нефиг делать :)))

> Исходников файлмона на Сисинтерналсе нет. Все обшарил.

Точно. Убрали. Увы :)

Для тебя лично: http://ftp.epideme.com/pub/windows/System%20Utilities/FILESRC/ (это правда для Win9x, для NT мне лень искать)
Сам ищи FileSrc.zip

← →
Digitman © (2003-09-26 13:43) [45]

> Marouder

И Свена Шрайбера "Недок.возможности Win2000. Библиотека прграммиста" тоже купить не поскупись. Хоть и есть там масса ляпов и неточностей, но пособие весьма серьезное для таких вот дел. Там же, кстати, есть отдельная глава "Разработка драйверов режитма ядра", что вкупе с имеющимся NTDDK даст возможность попробовать на практике заглянуть в сятая святых системы.

← →
Marouder © (2003-09-27 07:52) [46]

2Digitman:
>глупости)
>если речь идет о документированных для NT способах, то при
>помощи опять же вполне документированного NTDDK пишется драйвер
>режима ядра, код которого получает управление именно в Ring0.

Я имею в виду недокументированные способы, а не драйвер писать с помощью DDK. Про это почти везде есть в инете документация.
Впрочем, один недокументированный способ я уже нашел у одного своего приятеля. Сначала надо воспользоваться одним способом (не буду его говорить) получения доступа на чтение\запись всей физической памяти (слышали про \Device\PhysicalMemory ?), потом создать callgate в GDT.

>Как раз к пенсии и закончишь это дело))
Не все ядро, а важнейшие части.

2 Игорь Шевченко

>Ты пойми, таких исходников в инете - как звезд на небе. И не
>стоило заниматься компиляцией из wasm.ru, Рихтера и т.д.

Если бы их было, как звезд на небе, я бы этот не выкладывал. :)
А что плохого в использовании материалов их Рихтера или wasm.ru. Ну, написал бы, допустим, свои процедуры. Но от оригинальных они бы отличались только названиями переменных, регистры бы чуть по другому использовались, и все.

А насчет книг - не знаю, сколько она стоит в обычном магазине. Но в каком-то интернет-магазине стоила 800 или 900. Да и хрен найдешь ее в Хабаровске. Лучше уж скачать все-таки. Придется уж все-таки.

← →
Verg © (2003-09-27 12:05) [47]

Хм.. Мне бы так... Занимаешься чем хочешь, т.е. чем интересно.

Для того чтобы научиться строить - надо научиться ломать. -тезис спорный, особенно если первое затягивает, как кокаин... Можно так и не научиться строить....

← →
интересующийся (2003-09-27 15:02) [48]

а чё исходники то удалены??? не вирь ли там в длл"ке прячется?

← →
BlackTiger © (2003-09-27 17:35) [49]

Блин, а ведь дествительно прячет, зараза. Как минимум от стандартных средств. Поубивал бы. И хорошо, что из кладовки удалили! Еще бы и "создателя" удалить бы.

Сейчас, блин, начнется "скрытописательство".

← →
SiStemUFO (2003-09-27 17:45) [50]

> И хорошо, что из кладовки удалили! Еще бы и "создателя"
> удалить бы.

Е-мое... развели знацца дискуссию, а исходники шмац - и убрали
:-( Посмотреть действительно интересно... непорядок, непорядок...

← →
Crowman (2003-09-27 20:03) [51]

2 Marouder ©:

Чувак, если ты действительно такую штуку вымутил - ты крут!
Жаль исходники убрали.

--------------------

2 Игорь Шевченко ©:

Ты такой умный - тебе череп не жмёт? (Гоблин)

Что-то нет никаких отмазок на:

"Ув. мастера, подскажите, пожалуйста, как можно сделать, чтобы приложения не было видно в диспетчере задач Windows 2000."

Игорь Шевченко ©
" Никак"

Может вам, ув. И. Шевченко, туалетную бумажку выслать, что бы было чем подтереться?

← →
Crowman (2003-09-27 20:03) [52]

← →
NightAngel © (2003-09-27 21:23) [53]

> Marouder

Насчёт перехода в ноль (то, что Вы привели), Вы попробуйте это из под user"а или на XP сделать, вот Вас разочарование ждёт. Да и не поможет это. Посмотрите код в NTOSKRNL.EXE, там любой из системных сервисов начинается с кода проверки, откуда прищёл вызов. Кстати, под Win2k (под XP тоже) можно легко пропатчить LDT, только толку от этого... Каждый процесс на платформе NT представлен структурой EPROCESS. Кроме атрибутов процесса эта структура ссылается на несколько других структур связанных с выполняющимся процессом. Например, с каждым процессом связан один или несколько потоков, представленных в системе структурой ETHREAD. В структуре ETHREAD также присутствует такая информация как: идентификатор процесса, идентификатор родителя, имя образа процесса, ссылка на секцию, представляющий выполняемый файл. Блок квот определяет лимиты на использование вытесняемого и не вытесняемого пулов, страничного файла. Дерево VAD (virtual address descriptors) определяет состояние регионов памяти пользовательского адресного пространства. Информация о рабочем
наборе (Working Set) определяет какие именно физические страницы в данный момент принадлежат процессу. А также лимиты и статистику. Маркер (токен) доступа (ACCESS TOKEN) описывает атрибуты безопасности связанные с текущим процессом. Таблица дескрипторов описывает дескрипторы открытых процессом объектов.
Я это к тому, что в NT системах создаётся ОТДЕЛЬНАЯ виртуальная машина для ВСЕХ Windows-приложений (включаю и 16-ти разрядные) и по одной виртуальной машине на каждую DOS задачу. КАЖДАЯ виртуальная машина обладает своим пространством портов и таблицей прерываний. В контексте виртуальных машин выполняются ВСЕ приложения операционной системы (как 16-ти, так и 32-х разрядные). Можете посмотреть селекторы 30 и 3b в GDT. Селекторы указывают на Kernel Process Region и Thread Information Block соответственно. Когда код выполняется на кольце 0, регистр FS содержит селектор 30, если это кольцо 3 - то в регистр FS загружено значение 3b. Индекс селектора 30 всегда указывает на дескриптор с базой FFDFF000h. База, относящаяся к селектору 3b, зависит от выполняющегося пользовательского потока. На платформе NT реализована FLAT модель. А это означает, что использование селекторов сведено к минимуму (там всё строится на страничной адресации). Так вот, не нужен будет никакой драйвер-фильтр следящий за файловой системой (о чём Вам и намекали), достаточно будет только "путешествия" по таблицам (все структуры EPROCESS, ETHREAD и т.д. документированы), чтобы найти ВСЕ процессы запущеные в системе. И ещё куча способов существует (по каталогам и таблицам страниц, например, отследить), чтобы просмотреть ВСЕ запущенные процессы. Так что Digitman прав, что нужно начинать с изучения всех тонкостей PL0. Реально я вижу здесь только два решения. Вот только нужно-ли это?

← →
JOY (2003-09-28 06:21) [54]

Помоги переделать для Delphi и пошли на joy@online.com.ua. Буду очень признателен. Здесь чататься не могу, пиши письмо, дам аську, может тебе че надо будет

← →
Marouder © (2003-09-28 09:34) [55]

2NightAngel:
Судя по тому, что вы говорите, вы читали труды человека по имени Gloomy ( http://gloomy.cjb.net) по исследованию NT. Некоторые куски прямо так и приводятся, скопированными. :)
Да, очень хорошие материалы. К сожалению, большинство из них объясняется про NT4, а в более поздних версиях все немного по-другому.

А насчет EPROCESS и ETHREAD - их тоже можно попробовать изменить в виртуальном адресном пространстве того процесса, от которого надо скрыть другой.

← →
pasha_golub © (2003-09-28 19:17) [56]

2Marouder
Уж если так все оборачивается, создавай компанию из трех человек. Один ОС напишет, другой будет под нее вирусы строчить, а третий - антивирус, и прекращай эти идиотские выходки типа, вот я вырасту а там вам всем ... (Нужное подчеркнуть)

← →
Marouder © (2003-09-29 08:24) [57]

2pasha_golub:
Где это ты видел "выходки". Процитируй.

← →
ZeroDivide © (2003-09-29 09:10) [58]

Поздравляю!
Всем остальным: ну конечно, скрыть что либо не возможно, точно также как и защитить, но ведь задача, как я понял, была - скрыть от таскменеджера, что и было сделано.

Игорь Шевченко © (26.09.03 13:28) [44]

> Это вы с Игорем хотите казаться крутыми, типа вы это все
> давно знаете и т.п.

Не хотим. Нам это не надо. Мы просто знаем.

:))))
"Мы рыцари Джедаи, мы борцы со злом
Темную силу завяжем узлом
Нехорошие люди, разрази их гром
Получат по башне огненным мечом" (с)Кирпичи

← →
(3223)jab (2003-09-29 16:56) [59]

:) Просто с ума сьехать нах... Раз уж ребёнки пошли такие вумные, то они не будут снимать задачу таск менеджерами и т.п. а просто поставят на комп свой загрузочный диск и будут играться в своё удовольствие... ну типа там удалить всё нах из run в реестре или типа отключить ту dll враждебную... коротче способов навалом пока родители на работе! :)

← →
Delirium^.Tremens © (2003-09-29 17:22) [60]

> Я сделал это!!!! Я спрятал процесс от Task Manager"а.

А мой TaskManager не только увидит твой процесс, но и успешно бахнет его в Win98 :-)

Можно плакать :-p

← →
Nikky © (2003-09-29 18:10) [61]

> BlackTiger © (26.09.03 11:25) [32]

единственный нормальный пост;)

← →
Шишкин Илья © (2003-09-29 20:44) [62]

2 Marouder
Конечно ты молодец, если сам всё придумал. Но на http://www.xakep.ru решение этой задачи появилось уже несколько месяцев назад...

← →
Шишкин Илья © (2003-09-29 21:03) [63]

А вот ещё одно интересное решение поставленной задачи:

http://www1.xakep.ru/local/redirect.asp?url=post/19333/default.asp

← →
Думкин © (2003-09-30 05:45) [64]

> Marouder © (27.09.03 07:52)
> А насчет книг - не знаю, сколько она стоит в обычном магазине.
> Но в каком-то интернет-магазине стоила 800 или 900. Да и
> хрен найдешь ее в Хабаровске. Лучше уж скачать все-таки.
> Придется уж все-таки.

http://shop.piter.com/book_about.phtml?id=978531800487&web_ok=yes
всего 105 руб.

[64] Думкин © (30.09.03 05:45)

Только не збывайте про добавление суммы доставки до Хабаровска ;)
Впрочем, этим магазином пользовался - могу с уверенностью сказать, что книги приходят, причем по предоплате получается намного дешевле.

А к стати, стоящая книга, если я не интересуюсь прятанием от таск-манагеров?
А то что-то на меня нашла мания книги опять скупать ;) Про сети вот так и не купил, никто не сподвиг меня ;)

> KSergey © (30.09.03 09:11)

Не знаю пока, - только сегодня заказал у них.
Я у них постоянно покупаю - скидки как члену клуба идут - 15%.

А ворт Винды изнутри - у них нет уже, собирают заказы, может напечатают.

Ни хрена они охренели. С доставкой в Хабаровск получается 250р. Во гады. Раньше, когда я Linux заказывал в интернет-магазине, за доставку и то - процентов 10 от суммы брали, а тут вообще....

В http://www1.xakep.ru/local/redirect.asp?url=post/19333/default.asp мне вот это понравилось
sleep(1000); // что бы наша Dll’ка успела загрузиться.

Ну вот, родилась идея - написать для этой поделки анти-пряталку :)

Yessssssss!!! Нашлась софтина, которая ПОКАЗЫВАЕТ процесс, спрятанный этой приблудой!

Так что совсем спрятать не получается. Win2000/XP форева!
Эта софтина - Sysinternal"s Process Explorer 7.02, хотя в начале и говорилось, что в ней не видно (насколько я понял). Все как на ладони.
Так что, ни-фи-гааааа.

> [67] Marouder © (30.09.03 12:56)
> Ни хрена они охренели. С доставкой в Хабаровск получается
> 250р. Во гады. Раньше, когда я Linux заказывал в интернет-магазине,
> за доставку и то - процентов 10 от суммы брали, а тут вообще....

Это предоплатой или наложенным? По предоплате у них существенно дешевле, чем наложенным.
Впрочем, возможно Хабаровск далеко, до Новосиба - рублей 30-40 (по предоплате)

> KSergey © (01.10.03 05:18)

Скорее всего, он привел первую выпавшую сумму - а по умолчанию вываливается доставка курьером - самое дорогое.

Игорь Шевченко © (30.09.03 14:01) [69]
Давай, довольно нужная задача, что бы на корню изничтожать этих гадов, которые стараются спрятаться от пользователя.
Только нужна вятка автомат, запустил и она отлеживает всех этих чудо деятелей, которые позже ее запускаются.

Если не удается спрятаться от проги то ее следует гасить.

Я сделал это!!!! Я спрятал процесс от Task Manager а. Найти похожие ветки