Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2004.08.15;
Скачать: CL | DM;

Вниз

Скрытие процесса в NT   Найти похожие ветки 

 
имя   (2004-05-16 23:08) [40]

Удалено модератором


 
AlexKniga ©   (2004-05-17 13:45) [41]

mixir
Читай не тока ответы, но и вопросы.

> DelphiN! ©   (12.05.04 21:42) [37]
> Назовите вы файл вашей программы какнибудь типо winlogon.exe
> и его никто снять не сможет(процесс)


> AlexKniga ©   (13.05.04 19:33) [38]
> DelphiN!
> Любой третьесторонний Task Killer прибивает winlogon.exe
> на ура!


Имелся ввиду не настоящий winlogon.exe, а поддельный.


 
mixir   (2004-05-17 21:14) [42]

И тишина....

Самый простой способ:
(Не нужны права админа)

1 Делай глобальный хук WH_CBT
2 Ставь хук  на таблицу импорта (можно использовать madHook или как там его... вобщем читай Рихтера),или хукай по абсолютному адресу.
3 Сделай свою процедуру-wrapper.
4 Для глобального скрытия нескольких процессов используй виртуальные файлы.

Примечание: работает только с GUI приложениями.

Другой метод: создать драйвер и перехватить ф-цию в Ntoskrnl.exe.
Можно также и без драйвера подменить таблицу процессов.(Мощная тема, но только, как и драйвер, работает с правами админа).


 
Keyboard   (2004-05-20 14:22) [43]

Удалено модератором


 
mixir   (2004-05-20 16:29) [44]

Удалено модератором
Примечание: Offtopic


 
trix   (2004-05-23 11:34) [45]

замени стандартный системный файл


 
FireMan_Alexey ©   (2004-05-25 14:22) [46]

Я как-то просил Digitman-а прислать кусок кода для XP с перехватом АПИ функций. Он прислал, но т.к. в то время не сохранялись результаты в архивы этот кусок кода был потерян.
Я думаю если ты его уговоришь, то он поделится ну и не забудь поделиться со всеми. :)


 
Kerk ©   (2004-05-27 10:20) [47]


> FireMan_Alexey ©   (25.05.04 14:22) [46]

Я ссылку на статью про скрытие с помощью перехвата в этом форуме N*10 раз давал...


 
Vetek_   (2004-05-27 13:10) [48]

Керк, ту статью только _Профи_ поймёт ! (без обид)


 
Kerk ©   (2004-05-27 13:35) [49]


> Vetek_   (27.05.04 13:10) [48]

Перехват АПИ вообще дело не для чайников.


 
IraiZor ©   (2004-05-27 15:57) [50]

Имелся ввиду не настоящий winlogon.exe, а поддельный.

winlogon.exe , настоящий, убивает process killer(третьесторонний таск манагер) , без вопросов


 
FireMan_Alexey ©   (2004-05-28 11:14) [51]

>Kerk
Понимаешь ссылку кинуть может каждый, а объеснить как это работает не каждому терпения хватает! Тем более, что ссылка наверное на сишный код который ссылается на книгу Рихтера или какая статья, я не помню где видел, которая заполнена такими коментариями, что смысл статьи вообще не понятен, то ли она для самоутверждения писалась, либо от безделья. А Digitman дал точно, что требовалось, но у меня тогда Винда упала и все что с ней было тоже! По этому я посоветовал обратиться к ПРОФИ за советом.
Да и хочу заметить, что сколько я не обращался к Digitman-у всегда получал исчерапывающие ответы.
А когда тебе отвечают убивай "Таск менеджер", а кроме таск менеджера может найтись еще более миллиона программ которые показывают список процессов, то лучше такие ответы в оффтоп запихивать, потому что они только запутывают и не несут полезной информации.


 
Игорь Шевченко ©   (2004-05-28 12:44) [52]


> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает!


А главное, что никто не будет этим заниматься. Ибо нефиг скрывать процессы в NT.


 
Kerk ©   (2004-05-28 15:42) [53]


> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает! Тем более, что ссылка
> наверное на сишный код который ссылается на книгу Рихтера

Ссылка не на код, а на статью. Кода там нет, там описываются технологии. К тому же в статье есть ссылка на исходники проги на Делфи. И на Рихтера там тоже ссылок нет.


 
Kerk ©   (2004-05-28 15:50) [54]


> Понимаешь ссылку кинуть может каждый, а объеснить как это
> работает не каждому терпения хватает!

Кстати, у меня хватило терпения эту статью перевести...  :)
Специально для тех, у кого с аглицким плохо... :)


 
AlexKniga ©   (2004-05-28 18:47) [55]

IraiZor
Для прибития настоящего winlogon.exe нужны права администратора, а они не у всех есть.


 
Vetek   (2004-05-28 21:54) [56]

если кильнуть winlogon.exe - по моему всё зависнет ..
- а права админа - конечно не у всех, но это дело времени и желания ..


 
Марк   (2004-05-29 13:40) [57]

Удалено модератором


 
Глеб ©   (2004-05-29 13:52) [58]

Удалено модератором
Примечание: Личная переписка


 
Vetek   (2004-05-29 13:56) [59]

Удалено модератором


 
IraiZor ©   (2004-05-29 18:23) [60]

если кильнуть winlogon.exe - по моему всё зависнет ..
не зависнет а заребутится , мгновенно =) быстрее EWX_FORCE =)

насчет Прав , возможно я нуб , негодяй итд, но разве для того чтобы завалить сис процесс не нужны всего лишь DeBug привилегии ?

Глеб , да =) шокирован ?


 
Gero ©   (2004-05-29 18:26) [61]


> чтобы можно было без проблем скрывать программу (по необходимости ..)

LOL


 
IraiZor ©   (2004-05-29 18:33) [62]

чтобы можно было без проблем скрывать программу (по необходимости ..)
страшно подумать скока вирей резидентов появится o_0 ?


 
Smiler   (2004-05-30 02:10) [63]

И почему все хотят скрыть процесс?
Может просто сделать его неубиваемым, т.е. неубиваемой на TerminateProcess...//

Полностью сошласен.Если при насильном закрытии убивать lsass.exe то появиться окошко экстренного завершения работы системы(вроде через 30 сек.) и после этого явно никому не надо больше будет трогать твой процесс. И прятать не надо.просто надо замаскировать под системный.

Может это и примитивно, но работает.


 
IraiZor ©   (2004-05-30 07:58) [64]

Smiler
если убить настоящий lsass , а если фальшивый то все будет ок! вообще скрыть процесс имхо лучше тк если ты его просто замаскируешь или попытаешся сделать неубиваемым то все равно если кто-то очень захочет избавится от твоего процесса,он найдет способ +) а если процесс просто невидим, то юзер ничего даже подозревать не будет...

Тем более мы же пишем админские проги а не вирусы какие-нибудь =)) для нас это несерьезно ;)


 
Polevi ©   (2004-05-30 09:46) [65]

именно "проги"


 
Koster   (2004-06-03 11:11) [66]

Ребята, а "shutdown -a" набрать не пробовали, когда окошко с обратным остчетом пойдет?
Попробуйте ;-)


 
Просто Серёга   (2004-06-07 12:59) [67]

Koster
shutdown -a есть такая фишка, но один мой дружок поступал более красиво: после вылетания этого окошка он быстро переставлял дату на год назад и затем это окошко прятал под таскбар =))

А вот насчёт скрытия процессов можно вроде бы как-то дээлэлки к свцхосту присобачивать или юзать утилитку regsvr32 в этой дээлэлке якобы должны функции DllCanUloadNow, DllRegisterServer и т.д., вот хотелось бы об этом попдронее узнать )


 
Piter ©   (2004-06-09 15:56) [68]

А как поймать процесс, если он перехватывает NtQuerySystemInformation ?


 
Игорь Шевченко ©   (2004-06-09 16:06) [69]

Piter ©   (09.06.04 15:56)


> А как поймать процесс, если он перехватывает NtQuerySystemInformation
> ?


Существует несколько способов.


 
Piter ©   (2004-06-09 17:42) [70]

Игорь Шевченко (09.06.04 16:06) [69]

Я думаю задам очень логичный вопрос - какие способы?


 
Piter ©   (2004-06-10 18:04) [71]

Удалено модератором
Примечание: Создание пустых сообщений


 
Piter ©   (2004-06-11 18:09) [72]

Удалено модератором
Примечание: Создание пустых сообщений


 
Игорь Шевченко ©   (2004-06-11 23:48) [73]

Piter ©   (09.06.04 17:42)


> Я думаю задам очень логичный вопрос - какие способы?


Способ первый - просмотр списка описателей процессов открытых процессом CSRSS.EXE (Для этого достаточно Process Explorer от Sysinternals)
Способ второй - вызов NtQuerySystemInformation с несколько другими параметрами, не всегда документированными :)
Способ третий - написать драйвер режима ядра или использовать готовый, например, Свена Шрайбера, и получить список процессов так, как его получает ядерная часть NtQuerySystemInformation (способ самый сложный, но и самый надежный)


 
Piter ©   (2004-06-12 01:12) [74]

Игорь Шевченко (11.06.04 23:48) [73]
Способ первый - просмотр списка описателей процессов открытых процессом CSRSS.EXE


а-а-а. Так вроде адреса памяти по которым находится таблица описателей запрещены для чтения?! Как же их можно просмотреть?
Цитирую:

Игорь Шевченко (31.05.04 11:24) [10]
только доступ из пользовательского режима туда запрещен даже на чтение


 
Piter ©   (2004-06-12 01:12) [75]

блин, поздно сейчас. Я туплю... сорри


 
Piter ©   (2004-06-12 01:13) [76]

Игорь Шевченко (11.06.04 23:48) [73]
Способ третий - написать драйвер режима ядра


а мне вот чисто теоретически интересно - а если процесс будет скрываться также драйвером, работающим в режиме ядра... то какой драйвер окажется "сильнее"?


 
Vetek   (2004-06-12 23:24) [77]

сильнее будет тот, кто первый выгрузит другой драйвер !


 
Vetek   (2004-06-13 15:41) [78]

Да, кстати, самое лучшее решение IMXO (по критериям:
простота*надёжность/профессионализм)
- создавать поток в существующем _ресурсоёмком_ приложении и работать оттуда :) (например Explorer.exe)
- IMXO обычный пользователь _никогда_ такой поток не обнаружит, и  будет работать на всей линейке M$ Windows , не будет глюков !!!
- а профессионал/спецпрога засекёт в любом случае .. %-:)
- у кого какие мнения на этот счёт ?
да, кстати, [2] - этот принцип используется с успехом в разных "левых"  прогах :(


 
kot   (2004-06-14 11:04) [79]

нет не стоит скрывать ничего ..


 
vidiv ©   (2004-06-14 13:35) [80]

Смысл чтото скрывать... лучше всего скрыто то что лежит навиду ;)



Страницы: 1 2 3 вся ветка

Текущий архив: 2004.08.15;
Скачать: CL | DM;

Наверх




Память: 0.63 MB
Время: 0.047 c
3-1090388090
ksa2002
2004-07-21 09:34
2004.08.15
Проблема с IBquery1.RecordCount


1-1091184470
ИМХО
2004-07-30 14:47
2004.08.15
Application.Terminate


8-1086101616
ki11er
2004-06-01 18:53
2004.08.15
Порезать AVI


1-1091081401
ksa2002
2004-07-29 10:10
2004.08.15
combobox в Stringgride


3-1090448400
Viner
2004-07-22 02:20
2004.08.15
ADO и MySQL