Я сделал это!!!! Я спрятал процесс от Task Manager а.

← →
Marouder © (2003-09-24 11:11) [0]

Что бы не говорили некоторые люди, я сделал это. Спрятал процесс от TaskManager"а!!! Ура.

DLL Здесь: http://www.delphimaster.ru/download/296_exe.zip
Исходники Здесь: http://www.delphimaster.ru/cgi-bin/download.pl?get=1064387228&n=1

DLL экспортирует функцию для скрытия процесса от Task Manager и некоторых других прог в Win 2000\XP.
procedure HideProcess(pid:DWORD;HideOnlyFromTaskManager:Bool);stdcall;external "nthide.dll";
Pid - id процесса. HideOnlyFromTaskManager задает, прятать только от TaskManager или от других прог тоже.
Исходники - на C++, но нетрудно переделать на Delphi. Обращайтесь - помогу.

← →
Игорь Шевченко © (2003-09-24 11:45) [1]

Дядька Руссинович таких перехватчиков NtQuerySystemInformation кушал на завтрак десятками и даже не морщился, отплевываясь.

← →
Marouder © (2003-09-24 13:28) [2]

Что ты имеешь в виду?

← →
Digitman © (2003-09-24 13:32) [3]

> Marouder

то что ты изобрел велосипед)

← →
Marouder © (2003-09-24 13:35) [4]

Работает ведь. А то, что Sysinternal"s Process Explorer не обнаруживает - единичный случай. Его профессионалы делали.
Помнится, сколько тут было вопросов про прятанье процесса в Win2000 - нормальных ответов не было. Только "нет" и все.

← →
Marouder © (2003-09-24 13:40) [5]

Ведь вопрос то был, как от Task Manager спрятать.
А как спрятать от Sysinternals Process Explorer - это уже другой вопрос. :). А от Task Manager все-таки нормально прячется.

2 Игорь Шевченко:
Мне особенно понравился твой ответ в FAQ. :) Респект.

← →
Digitman © (2003-09-24 13:41) [6]

> Marouder

нет, а что тут удивительного ?
достаточно внедрить во все существующие и потенциально стартуемые процессы хук-модуль, перехватывающий соотв. API-вызовы - и всех делов) ... хоть процесс скрыть, хоть самого черта)

← →
Игорь Шевченко © (2003-09-24 14:11) [7]

Marouder © (24.09.03 13:40)

Ох, и много же тебе придется перехватывать...Впрочем, в инете есть более оригинальное решение - перехватывать NtQuerySystemInformation не в NTDLL.DLL, а в NTOSKRNL.EXE. Это спасает от динамической загрузки NTDLL.DLL и получения адреса этой процедуры по GetProcAddress. Но от Руссиновича (да и от меня тоже) все равно не спрячешься :)

← →
Е-Моё имя © (2003-09-24 14:22) [8]

Удалено модератором
Примечание: Offtopic

← →
Digitman © (2003-09-24 14:30) [9]

> Игорь Шевченко

> Это спасает от динамической загрузки NTDLL.DLL и получения
> адреса этой процедуры по GetProcAddress

в принципе ничего ж страшного и в дин.загрузке

перехватили LoadLibrary() и/или GetProcAddress() - и а ля у лю !))

← →
Игорь Шевченко © (2003-09-24 14:47) [10]

Digitman © (24.09.03 14:30)

А...LoadLibrary NTDLL.DLL перехватить ? Сомневаюсь я в этом ОЧЕНЬ сильно. Тогда уж GetModuleHandle перехватывать надо, поскольку NTDLL.DLL грузится самой первой в ВАП процесса (кстати, кем ?)

← →
Digitman © (2003-09-24 15:01) [11]

> Сомневаюсь я в этом ОЧЕНЬ сильно

почему ? ведь образ ntdll со всеми таблицами "сидит" в том же ВАП, в котором осуществляем перехват !

← →
Игорь Шевченко © (2003-09-24 15:25) [12]

Digitman © (24.09.03 15:01)

Образ - да, сидит. А вот LoadLibrary никто не делает штатно.
И если бы Task Manager делал бы вызов NtQSi до создания окна, то этот способ для перехвата не годился бы.

← →
panov © (2003-09-24 18:15) [13]

Ну чего напали на человека?-)
Молодец, что добился своего решения.

← →
имя (2003-09-24 20:56) [14]

Удалено модератором

← →
Marouder © (2003-09-25 07:36) [15]

В принципе, хуком перехватывать - способ не очень. Надо по идее еще бы NtCreateProcess попробовать перехватить.
И не LoadLibrary лучше пытаться перехватить, а LdrLoadDll из NTDLL.DLL. В общем надо пытаться, разбираться и т.п.

← →
Игорь Шевченко © (2003-09-25 10:45) [16]

Marouder © (25.09.03 07:36)
> В общем надо пытаться, разбираться и т.п.

А еще лучше не прятать, а решать разумные задачи существующими для этого простыми и опробованными решениями от MS. А прячься, не прячься - все равно найду :)))

← →
k-man © (2003-09-25 15:16) [17]

Зависть - порок..
А парень молодец!

← →
Игорь Шевченко © (2003-09-25 15:56) [18]

k-man © (25.09.03 15:16)

Мы про пороки и молодцов поговорим, когда на твоей машине таким образом спрятанный вирус появится :)))

← →
k-man © (2003-09-25 16:14) [19]

> Мы про пороки и молодцов поговорим, когда на твоей машине
> таким образом спрятанный вирус появится :)))

Всему может быть мирное применение.
Например столкнулся с интересной задаче один знакомый спросил возможно ли написать программу которая не давала бы ребенку запускать некоторые игрушки без предварительного ввода пароля и\или с ограниченным числом раз..
Предположим висит эта прога в памяти и делает свое благое дело, а ребенок не будь дураком берет и терминэйтит ее из таскмэнеджера.. А если ее будет не видно то ребенку нечего не останется делать как идти учить уроки или ждать разрешения родителей...
Но обратная сторона медали действително будет пострашнее..

← →
Morfein © (2003-09-25 17:31) [20]

>> k-man
Далеко не лучшее решение в этом случае прятать процесс.. потому что завтра этот же ребёнок берёт у одноклассников таскменеджер третьих фирм, который получает список процессов не через NtQSi и вперёд.. Благо, перехватчиков на все способы под NT не напасёшься.. Лучше уж перехватывать OpenProcess() для заданного процесса.. MessageBox с надписью "Acces denied on <ProcessName>" действует убедительней..

← →
Игорь Шевченко © (2003-09-25 17:35) [21]

Policies - оно рулез.

#ifdef FLAME
А ребенку надо уроки учить или кошек гонять по подворотням, а не на компьютере в игрушки играться. А поскольку дети пошли развитые, то от такой защиты он найдет антизащиту и еще посмеется над ламерами, которые так защищают :)
#endif

← →
Verg © (2003-09-25 17:49) [22]

> Игорь Шевченко © (25.09.03 17:35) [21]

#else
http://delphimaster.net/view/1-1064473490/
#endif

А?

← →
Marouder © (2003-09-26 04:30) [23]

2 Игорь Шевченко:
И как ты себе представляешь перехват NtQuerySystemInformation из ntoskrnl.exe? Ты попробуй найти какие-нибудь модули, у которых в таблице импорта эта функция!
Даже в ntdll.dll и то, нету таблицы импорта. Он вызывает функции ядра с помощью системных вызовов. Почти в любой функции ntdll.dll ты найдешь такой код:

mov edx,7FFE0300h
call edx

А по адресу 7FFE0300h находится команда sysenter (системный вызов). А в старых процессорах, типа Pentium, там, скорее всего, находится int 2Eh, т.к. там нет инструкции sysenter.

И перехват подменой кода тоже не сделать. Кто же тебе позволит писать по адресам старше 2Gb? Это в 9x можно было с помошью функции PageModifyPermissions сервиса vxdcall0 запись разрешить, а в NT - этого нет.

>"Все равно - найду".
Каким образом? Ты же не Руссинович. Ну, перехвачу я GetProcAddress, причем даже подменой кода, а не заменой IAT, и не найдешь ты процесс. :)

З.Ы. А адрес этой NtQuerySystemInformation из NTOSKRNL - тоже хрен найдешь. GetModuleHandle с ntoskrnl.exe не работает.
З.З.Ы. Ну ладно, допустим ты знал о перехватах. Почему тогда отвечал "нельзя". Я, конечно, понимаю, чтобы не расплодилось много вирусов, но это все-таки тоже не очень хороший поступок, людей обманывать.

← →
___X-Man (2003-09-26 04:42) [24]

Рулеззную DLL Marouder написал. Че вы гоните.

← →
Marouder © (2003-09-26 08:29) [25]

2 Игорь Шевченко:
Ага, я догадался, как обнаружишь его ты. Дизассемблируешь Ntdll.dll и напишешь свою функцию с таким же кодом, как у NtQuerySystemInformation. Я прав?

← →
Digitman © (2003-09-26 09:09) [26]

> Ты попробуй найти какие-нибудь модули, у которых в таблице
> импорта эта функция!

в WINNT\System32 по меньшей мере 60 PE-модулей, в IAT которых явно фигурирует импорт упомянутой ф-ции

← →
dataMaster © (2003-09-26 09:21) [27]

Произошла ошибка:

В базе не найдена. Скорее всего, эта компонента/программа была удалена из кладовки, как вредоносная или вирус.

:-)

← →
Игорь Шевченко © (2003-09-26 10:21) [28]

Marouder © (26.09.03 04:30)

> И как ты себе представляешь перехват NtQuerySystemInformation
> из ntoskrnl.exe? Ты попробуй найти какие-нибудь модули,
> у которых в таблице импорта эта функция!

Исходники FileMon почитай

> >"Все равно - найду".
> Каким образом? Ты же не Руссинович. Ну, перехвачу я GetProcAddress,
> причем даже подменой кода, а не заменой IAT, и не найдешь
> ты процесс. :)

Дружище, ты эта...книжки читай. Свена Шрайбера того же.
А что найду - не сомневайся.

← →
Smok_er (2003-09-26 10:26) [29]

Не могу понять, почему удалили столь полезные исходники? Или наших мастеров жаба душит? Ведь столько лет кричали что это невозможно, смеялись над спросившими, а тут сели на мягкое место... Нехорошо, товарищи!

P.S. Я давно нашел способ перехвата вышеупомянутой функции, только сделал это на VC++. Когда я говорил, что это возможно, мне естественно никто не верил.

Уважаемый автор, не могли бы Вы выложить исходник в другом месте, хотелось бы глянуть на Ваш метод реализации.
Большое спасибо!

← →
Smok_er (2003-09-26 10:37) [30]

Кстати, не зря автор нити упомянул FAQ...
Вот выдержка:

Ув. мастера, подскажите, пожалуйста, как можно сделать, чтобы приложения не было видно в диспетчере задач Windows 2000.

Игорь Шевченко ©
Никак

Уважаемый Игорь Шевченко, что вы на это скажете? Ведь вопрос не звучит "как спрятать вообще?", а "Как спрятать в диспетчере задач Win 2k"...

← →
.:eXtreme:. (2003-09-26 10:42) [31]

To: Marouder, класс чувак! Вот это ты забульбенил !!! Не теряй время, чё с этими Delphi"шниками разговаривать, они ничего не понимают, хех... всё твердили нельзя, мол, сделать... мАСТЕРА :)))... давай на мазафаку, мадальф и т.д. рассылай исходники админам, а то у тебя их тут потёрли, я сам только длл"ку успел скачать :(, работает - класс!!! Первая реальная веСЧ которую вижу :)

З.Ы. Delphi - Must Die!!!

← →
BlackTiger © (2003-09-26 11:25) [32]

А я был такого "изобретателя" убил бы без зазрения совести.

Често. Ничего личного. Просто для общественного спокойствия. Как поубивал бы всех вирусописателей, спам-писателей, spyware-писателей и прочих околопрограммистских приблудильщиков.

← →
BlackTiger © (2003-09-26 11:29) [33]

Кстати, а от NTPV тоже прячет? Очень хотелось бы на доказательства посмотреть.

← →
Marouder © (2003-09-26 11:58) [34]

2DigitMan:
>в WINNT\System32 по меньшей мере 60 PE-модулей, в IAT которых >явно фигурирует импорт упомянутой ф-ции

Я имел в виду NtQuerySystemInformation из NTOSKRNL.EXE.
А NtQuerySystemInformation из NTDLL.DLL, да, фигурирует.
А именно из ntoskrnl.exe - назови какой-нибудь модуль.
================================================================
2BlackTiger:
>А я был такого "изобретателя" убил бы без зазрения совести.
>Често. Ничего личного. Просто для общественного спокойствия. Как >поубивал бы всех вирусописателей, спам-писателей, >spyware-писателей и прочих околопрограммистских приблудильщиков.

Насчет spyware и спама это правильно. А вот насчет вирусописателей - это ты зря. Как правило, они больше всех остальных шарят в системном программировании. Посмотри исходники CIH - их не сразу и поймешь, а только после долгих сидений над ними (честно скажу: я не разбирался).
================================================================
2 Игорь Шевченко:
Хорошо, найду - почитаю исходники и книгу. Нельзя же все за раз прочитать. Времени много надо. Это может ты - десять леть программируешь или универ с красным дипломом закончил. А я программлю - 2 года, и сейчас еще только в 10 классе средней школы учусь.

>А что найду - не сомневайся.

Посмотрим. :). Если я найду переход в Ring0, то ты по-любому не найдешь. Я уж постараюсь там помутить как следует.
================================================================
2Smok_er:
Пиши на e-mail, вышлю (marouder@list.ru).

← →
Polevi © (2003-09-26 12:02) [35]

детский сад начинается

← →
Smok_er (2003-09-26 12:03) [36]

BlackTiger © (26.09.03 11:25) [32]
А я был такого "изобретателя" убил бы без зазрения совести.

Често. Ничего личного. Просто для общественного спокойствия. Как поубивал бы всех вирусописателей, спам-писателей, spyware-писателей и прочих околопрограммистских приблудильщиков.

А ты, дорогой, сначала бы узнал для чего это надо. Вот я принципиально нашел решение чтобы доказать себе, что это возможно.

← →
Игорь Шевченко © (2003-09-26 12:13) [37]

> Посмотрим. :). Если я найду переход в Ring0, то ты по-любому
> не найдешь. Я уж постараюсь там помутить как следует.

Найду.

Не ты первый, мутилка :)

← →
panov © (2003-09-26 12:16) [38]

← →
Marouder © (2003-09-26 12:20) [39]

Я не отрицаю, что найдешь, если я тебе сообщу, как я это сделаю. :)

← →
KosilkA © (2003-09-26 12:34) [40]

to Marouder> решпект!!! дллка пашет , тестирую вот :)))ТаскМанагер в пролёте ! только вот HideOnlyFromTaskManager не скрывает от следующей процедуры , которую можно найти в каждом FAQ :

uses tlhelp32; procedure TForm1.FormCreate(Sender: TObject); I : Integer; hSnapshoot : THandle; pe32 : TProcessEntry32; List : TStrings; begin listbox1.Items.Clear; hSnapshoot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnapshoot = -1) then Exit; pe32.dwSize := SizeOf(TProcessEntry32); if (Process32First(hSnapshoot, pe32)) then repeat I := listbox1.Items.Add(Format("%x, %x: %s", [pe32.th32ProcessID,pe32.th32ParentProcessID,pe32.szExeFile])); listbox1.Items.Objects[I] := Pointer(pe32.th32ProcessID); until not Process32Next(hSnapshoot, pe32); CloseHandle (hSnapshoot); end;

← →
Digitman © (2003-09-26 12:34) [41]

> Marouder

> Если я найду переход в Ring0

А чего его искать-то ?) Вот он, перед носом).. сам же про Int2E упомянул всуе))
Полез ты в дебри такие жуткие, дабы эдакую "крутость не по годам" выставить напоказ, да не стого конца, видно, полез) ... Вот с изучения всех тонкостей PL0 и нужно было начинать, прежде чем тягаться с Игорем)) ... иначе - правильно Polevi © (26.09.03 12:02) [35] усмехнулся - иначе как детским садом это не пахнет)

← →
Marouder © (2003-09-26 13:02) [42]

2Kosilka:
У меня все скрывает
HideOnlyFromTaskManager должно быть FALSE, а не TRUE. Когда TRUE - скрывает только от Task Manager.
================================================================
2Digitman:
Имелось в виду, как свой код заставить в Ring0 работать.

>Вот с изучения всех тонкостей PL0 и нужно было начинать, прежде >чем тягаться с Игорем

В NT нормальный переход в ring0 почти никто не сможет сделать, нигде в инете ты это не найдешь, так что изучать - это только легко сказать.
Вот хорошее дело - дизасмить ядро, начну этим заниматься.
И никакую "крутость" я не выставлял напоказ. Это вы с Игорем хотите казаться крутыми, типа вы это все давно знаете и т.п. Просто выложил исходник, который делает свое дело, а именно прячет от TM процесс.
Был бы еще нормальный канал или халява, скачал бы хоть "Inside Windows 2000". Не будешь же по Dial-up мучаться, 18 Мегов качать.
======================================
2 Игорь Шевченко:
Исходников файлмона на Сисинтерналсе нет. Все обшарил.

← →
Digitman © (2003-09-26 13:22) [43]

> В NT нормальный переход в ring0 почти никто не сможет сделать

глупости)
если речь идет о документированных для NT способах, то при помощи опять же вполне документированного NTDDK пишется драйвер режима ядра, код которого получает управление именно в Ring0.

Приложение просто вызывает соотв.ф-ции драйвера и тем самым нужная логика исполняется с наивысшим уровнем привелегий

> нигде в инете ты это не найдешь

ну уж конечно !
мы тут с Игорем как раз и соревновались намедни, кто первый сопрет у мелкомягких его "сверсекретный" пакет - Driver Development Kit, ибо набрать в любой поисковой системе "NT DDK" - это выше всяческих сил) ... ну и как минимум просто лень)

> Вот хорошее дело - дизасмить ядро, начну этим заниматься.

Как раз к пенсии и закончишь это дело))

← →
Игорь Шевченко © (2003-09-26 13:28) [44]

> Это вы с Игорем хотите казаться крутыми, типа вы это все
> давно знаете и т.п.

Не хотим. Нам это не надо. Мы просто знаем.

> Просто выложил исходник, который делает свое дело, а именно
> прячет от TM процесс.

Ты пойми, таких исходников в инете - как звезд на небе. И не стоило заниматься компиляцией из wasm.ru, Рихтера и т.д.

Кстати, Inside Windows 2000 продается в магазине. Под названием "Внутреннее устройство Windows 2000"

> В NT нормальный переход в ring0 почти никто не сможет сделать,
> нигде в инете ты это не найдешь, так что изучать - это только
> легко сказать

Да нефиг делать :)))

> Исходников файлмона на Сисинтерналсе нет. Все обшарил.

Точно. Убрали. Увы :)

Для тебя лично: http://ftp.epideme.com/pub/windows/System%20Utilities/FILESRC/ (это правда для Win9x, для NT мне лень искать)
Сам ищи FileSrc.zip

← →
Digitman © (2003-09-26 13:43) [45]

> Marouder

И Свена Шрайбера "Недок.возможности Win2000. Библиотека прграммиста" тоже купить не поскупись. Хоть и есть там масса ляпов и неточностей, но пособие весьма серьезное для таких вот дел. Там же, кстати, есть отдельная глава "Разработка драйверов режитма ядра", что вкупе с имеющимся NTDDK даст возможность попробовать на практике заглянуть в сятая святых системы.

← →
Marouder © (2003-09-27 07:52) [46]

2Digitman:
>глупости)
>если речь идет о документированных для NT способах, то при
>помощи опять же вполне документированного NTDDK пишется драйвер
>режима ядра, код которого получает управление именно в Ring0.

Я имею в виду недокументированные способы, а не драйвер писать с помощью DDK. Про это почти везде есть в инете документация.
Впрочем, один недокументированный способ я уже нашел у одного своего приятеля. Сначала надо воспользоваться одним способом (не буду его говорить) получения доступа на чтение\запись всей физической памяти (слышали про \Device\PhysicalMemory ?), потом создать callgate в GDT.

>Как раз к пенсии и закончишь это дело))
Не все ядро, а важнейшие части.

2 Игорь Шевченко

>Ты пойми, таких исходников в инете - как звезд на небе. И не
>стоило заниматься компиляцией из wasm.ru, Рихтера и т.д.

Если бы их было, как звезд на небе, я бы этот не выкладывал. :)
А что плохого в использовании материалов их Рихтера или wasm.ru. Ну, написал бы, допустим, свои процедуры. Но от оригинальных они бы отличались только названиями переменных, регистры бы чуть по другому использовались, и все.

А насчет книг - не знаю, сколько она стоит в обычном магазине. Но в каком-то интернет-магазине стоила 800 или 900. Да и хрен найдешь ее в Хабаровске. Лучше уж скачать все-таки. Придется уж все-таки.

← →
Verg © (2003-09-27 12:05) [47]

Хм.. Мне бы так... Занимаешься чем хочешь, т.е. чем интересно.

Для того чтобы научиться строить - надо научиться ломать. -тезис спорный, особенно если первое затягивает, как кокаин... Можно так и не научиться строить....

← →
интересующийся (2003-09-27 15:02) [48]

а чё исходники то удалены??? не вирь ли там в длл"ке прячется?

← →
BlackTiger © (2003-09-27 17:35) [49]

Блин, а ведь дествительно прячет, зараза. Как минимум от стандартных средств. Поубивал бы. И хорошо, что из кладовки удалили! Еще бы и "создателя" удалить бы.

Сейчас, блин, начнется "скрытописательство".

← →
SiStemUFO (2003-09-27 17:45) [50]

> И хорошо, что из кладовки удалили! Еще бы и "создателя"
> удалить бы.

Е-мое... развели знацца дискуссию, а исходники шмац - и убрали
:-( Посмотреть действительно интересно... непорядок, непорядок...

← →
Crowman (2003-09-27 20:03) [51]

2 Marouder ©:

Чувак, если ты действительно такую штуку вымутил - ты крут!
Жаль исходники убрали.

--------------------

2 Игорь Шевченко ©:

Ты такой умный - тебе череп не жмёт? (Гоблин)

Что-то нет никаких отмазок на:

"Ув. мастера, подскажите, пожалуйста, как можно сделать, чтобы приложения не было видно в диспетчере задач Windows 2000."

Игорь Шевченко ©
" Никак"

Может вам, ув. И. Шевченко, туалетную бумажку выслать, что бы было чем подтереться?

← →
Crowman (2003-09-27 20:03) [52]

> Marouder

Насчёт перехода в ноль (то, что Вы привели), Вы попробуйте это из под user"а или на XP сделать, вот Вас разочарование ждёт. Да и не поможет это. Посмотрите код в NTOSKRNL.EXE, там любой из системных сервисов начинается с кода проверки, откуда прищёл вызов. Кстати, под Win2k (под XP тоже) можно легко пропатчить LDT, только толку от этого... Каждый процесс на платформе NT представлен структурой EPROCESS. Кроме атрибутов процесса эта структура ссылается на несколько других структур связанных с выполняющимся процессом. Например, с каждым процессом связан один или несколько потоков, представленных в системе структурой ETHREAD. В структуре ETHREAD также присутствует такая информация как: идентификатор процесса, идентификатор родителя, имя образа процесса, ссылка на секцию, представляющий выполняемый файл. Блок квот определяет лимиты на использование вытесняемого и не вытесняемого пулов, страничного файла. Дерево VAD (virtual address descriptors) определяет состояние регионов памяти пользовательского адресного пространства. Информация о рабочем
наборе (Working Set) определяет какие именно физические страницы в данный момент принадлежат процессу. А также лимиты и статистику. Маркер (токен) доступа (ACCESS TOKEN) описывает атрибуты безопасности связанные с текущим процессом. Таблица дескрипторов описывает дескрипторы открытых процессом объектов.
Я это к тому, что в NT системах создаётся ОТДЕЛЬНАЯ виртуальная машина для ВСЕХ Windows-приложений (включаю и 16-ти разрядные) и по одной виртуальной машине на каждую DOS задачу. КАЖДАЯ виртуальная машина обладает своим пространством портов и таблицей прерываний. В контексте виртуальных машин выполняются ВСЕ приложения операционной системы (как 16-ти, так и 32-х разрядные). Можете посмотреть селекторы 30 и 3b в GDT. Селекторы указывают на Kernel Process Region и Thread Information Block соответственно. Когда код выполняется на кольце 0, регистр FS содержит селектор 30, если это кольцо 3 - то в регистр FS загружено значение 3b. Индекс селектора 30 всегда указывает на дескриптор с базой FFDFF000h. База, относящаяся к селектору 3b, зависит от выполняющегося пользовательского потока. На платформе NT реализована FLAT модель. А это означает, что использование селекторов сведено к минимуму (там всё строится на страничной адресации). Так вот, не нужен будет никакой драйвер-фильтр следящий за файловой системой (о чём Вам и намекали), достаточно будет только "путешествия" по таблицам (все структуры EPROCESS, ETHREAD и т.д. документированы), чтобы найти ВСЕ процессы запущеные в системе. И ещё куча способов существует (по каталогам и таблицам страниц, например, отследить), чтобы просмотреть ВСЕ запущенные процессы. Так что Digitman прав, что нужно начинать с изучения всех тонкостей PL0. Реально я вижу здесь только два решения. Вот только нужно-ли это?

← →
JOY (2003-09-28 06:21) [54]

Помоги переделать для Delphi и пошли на joy@online.com.ua. Буду очень признателен. Здесь чататься не могу, пиши письмо, дам аську, может тебе че надо будет

2NightAngel:
Судя по тому, что вы говорите, вы читали труды человека по имени Gloomy ( http://gloomy.cjb.net) по исследованию NT. Некоторые куски прямо так и приводятся, скопированными. :)
Да, очень хорошие материалы. К сожалению, большинство из них объясняется про NT4, а в более поздних версиях все немного по-другому.

А насчет EPROCESS и ETHREAD - их тоже можно попробовать изменить в виртуальном адресном пространстве того процесса, от которого надо скрыть другой.

2Marouder
Уж если так все оборачивается, создавай компанию из трех человек. Один ОС напишет, другой будет под нее вирусы строчить, а третий - антивирус, и прекращай эти идиотские выходки типа, вот я вырасту а там вам всем ... (Нужное подчеркнуть)

2pasha_golub:
Где это ты видел "выходки". Процитируй.

Поздравляю!
Всем остальным: ну конечно, скрыть что либо не возможно, точно также как и защитить, но ведь задача, как я понял, была - скрыть от таскменеджера, что и было сделано.

Игорь Шевченко © (26.09.03 13:28) [44]

> Это вы с Игорем хотите казаться крутыми, типа вы это все
> давно знаете и т.п.

Не хотим. Нам это не надо. Мы просто знаем.

:))))
"Мы рыцари Джедаи, мы борцы со злом
Темную силу завяжем узлом
Нехорошие люди, разрази их гром
Получат по башне огненным мечом" (с)Кирпичи

← →
(3223)jab (2003-09-29 16:56) [59]

:) Просто с ума сьехать нах... Раз уж ребёнки пошли такие вумные, то они не будут снимать задачу таск менеджерами и т.п. а просто поставят на комп свой загрузочный диск и будут играться в своё удовольствие... ну типа там удалить всё нах из run в реестре или типа отключить ту dll враждебную... коротче способов навалом пока родители на работе! :)

> Я сделал это!!!! Я спрятал процесс от Task Manager"а.

А мой TaskManager не только увидит твой процесс, но и успешно бахнет его в Win98 :-)

Можно плакать :-p

2 Marouder
Конечно ты молодец, если сам всё придумал. Но на http://www.xakep.ru решение этой задачи появилось уже несколько месяцев назад...

А вот ещё одно интересное решение поставленной задачи:

http://www1.xakep.ru/local/redirect.asp?url=post/19333/default.asp

> Marouder © (27.09.03 07:52)
> А насчет книг - не знаю, сколько она стоит в обычном магазине.
> Но в каком-то интернет-магазине стоила 800 или 900. Да и
> хрен найдешь ее в Хабаровске. Лучше уж скачать все-таки.
> Придется уж все-таки.

http://shop.piter.com/book_about.phtml?id=978531800487&web_ok=yes
всего 105 руб.

[64] Думкин © (30.09.03 05:45)

Только не збывайте про добавление суммы доставки до Хабаровска ;)
Впрочем, этим магазином пользовался - могу с уверенностью сказать, что книги приходят, причем по предоплате получается намного дешевле.

А к стати, стоящая книга, если я не интересуюсь прятанием от таск-манагеров?
А то что-то на меня нашла мания книги опять скупать ;) Про сети вот так и не купил, никто не сподвиг меня ;)

> KSergey © (30.09.03 09:11)

Не знаю пока, - только сегодня заказал у них.
Я у них постоянно покупаю - скидки как члену клуба идут - 15%.

А ворт Винды изнутри - у них нет уже, собирают заказы, может напечатают.

Ни хрена они охренели. С доставкой в Хабаровск получается 250р. Во гады. Раньше, когда я Linux заказывал в интернет-магазине, за доставку и то - процентов 10 от суммы брали, а тут вообще....

В http://www1.xakep.ru/local/redirect.asp?url=post/19333/default.asp мне вот это понравилось
sleep(1000); // что бы наша Dll’ка успела загрузиться.

Ну вот, родилась идея - написать для этой поделки анти-пряталку :)

Yessssssss!!! Нашлась софтина, которая ПОКАЗЫВАЕТ процесс, спрятанный этой приблудой!

Так что совсем спрятать не получается. Win2000/XP форева!
Эта софтина - Sysinternal"s Process Explorer 7.02, хотя в начале и говорилось, что в ней не видно (насколько я понял). Все как на ладони.
Так что, ни-фи-гааааа.

> [67] Marouder © (30.09.03 12:56)
> Ни хрена они охренели. С доставкой в Хабаровск получается
> 250р. Во гады. Раньше, когда я Linux заказывал в интернет-магазине,
> за доставку и то - процентов 10 от суммы брали, а тут вообще....

Это предоплатой или наложенным? По предоплате у них существенно дешевле, чем наложенным.
Впрочем, возможно Хабаровск далеко, до Новосиба - рублей 30-40 (по предоплате)

> KSergey © (01.10.03 05:18)

Скорее всего, он привел первую выпавшую сумму - а по умолчанию вываливается доставка курьером - самое дорогое.

Игорь Шевченко © (30.09.03 14:01) [69]
Давай, довольно нужная задача, что бы на корню изничтожать этих гадов, которые стараются спрятаться от пользователя.
Только нужна вятка автомат, запустил и она отлеживает всех этих чудо деятелей, которые позже ее запускаются.

Если не удается спрятаться от проги то ее следует гасить.

Я сделал это!!!! Я спрятал процесс от Task Manager а. Найти похожие ветки