Текущий архив: 2004.08.15;
Скачать: CL | DM;
Вниз
Скрытие процесса в NT Найти похожие ветки
← →
vidiv © (2004-06-14 13:35) [80]Смысл чтото скрывать... лучше всего скрыто то что лежит навиду ;)
← →
Игорь Шевченко © (2004-06-14 18:31) [81]Piter © (12.06.04 01:13)
> а мне вот чисто теоретически интересно - а если процесс
> будет скрываться также драйвером, работающим в режиме ядра
А это невозможно, так что вопрос "кто сильнее" не имеет смысла.
← →
Vetek (2004-06-14 21:17) [82]есть понятие - кто быстрее - кто первый "примет меры"
← →
Piter © (2004-06-15 00:24) [83]Игорь Шевченко (14.06.04 18:31) [81]
А это невозможно
почему?
← →
Vetek (2004-06-15 09:52) [84]например есть 2 проги - которые хотят "убить" друг друга :)
- выживет та, которая первая сделает terminate.. другой !
← →
Игорь Шевченко © (2004-06-15 11:43) [85]Piter © (15.06.04 00:24)
> почему?
Потому что если есть такое понятие, как процесс, оно будет доступно из режима ядра для обеспечения базовой функциональности работы системы. Скрыть чего-либо от драйвера режима ядра невозможно, так как в противном случае скрываемое просто не будет работать
← →
Piter © (2004-06-15 15:01) [86]Игорь Шевченко (15.06.04 11:43) [85]
а в режиме ядра доступна область памяти, где хранится информация о процессах?
← →
Игорь Шевченко © (2004-06-15 15:22) [87]Piter © (15.06.04 15:01)
> а в режиме ядра доступна область памяти, где хранится информация
> о процессах?
Конечно. В редиме ядра доступны все области памяти.
← →
Piter © (2004-06-16 14:37) [88]Игорь Шевченко (15.06.04 15:22) [87]
В редиме ядра доступны все области памяти
а по моему, даже вы говорили, что есть некие области, недоступные даже в режиме ядра... или Рихтер писал такое...
← →
Игорь Шевченко © (2004-06-16 16:13) [89]Piter © (16.06.04 14:37)
Давай определимся, кто говорил - я или Рихтер. За Рихтера отвечать я не могу, а вот я такого не говорил, потому что в режиме ядра доступна вся область памяти (которая, разумеется, отображена на физическую память или на (страничный) файл(ы), так как среди 4-х гигабайт адресного пространства не все страницы отображены куда-либо).
← →
Piter © (2004-06-17 14:25) [90]Игорь Шевченко (16.06.04 16:13) [89]
а-а-а, вы говорите про память процессов... я же говорю про другую память, которая не для процессов выделена, а для нужд самой Windows... вот там есть какая-то память вроде, которая из режима ядра даже недоступна...
← →
Игорь Шевченко © (2004-06-17 14:36) [91]
> я же говорю про другую память, которая не для процессов
> выделена, а для нужд самой Windows... вот там есть какая-то
> память вроде, которая из режима ядра даже недоступна...
Ты сам не видишь противоречия в этой фразе ? Для каких нужд Windows может быть выделена память, если они недоступна из самой Windows ?
Читай внимательно: "в режиме ядра доступна вся область памяти (которая, разумеется, отображена на физическую память или на (страничный) файл(ы)"
← →
Piter © (2004-06-22 00:49) [92]Игорь Шевченко (17.06.04 14:36) [91]
каких нужд Windows может быть выделена память, если они недоступна из самой Windows ?
не знаю. Не спец. Постараюсь найти фразу... только знать бы где я это прочитал... в Рихтере, наверное
← →
3APA3A (2004-07-05 00:52) [93]Возвращаясь непосредственно к вопросу: мне всегда казалось, что одно из уязвимых мест таких программ - это собственно ее запуск. Глупо делать такую программу и совать ее ярлык в Пуск->Автозагрузка... Поэтому вопрос - какие есть способы на 2k/XP/2k3 незаметно запустить процесс, пусть даже он сам виден в TaskManagere и нормально им убивается?
← →
Polevi © (2004-07-05 09:39) [94]сервис
← →
Vetek (2004-07-05 11:49) [95]Рекомендую запомнить эти ключи:
9x: HKEY_LOCAL_MACHINE\System\CurrentControlSet\MPRServices
NT: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
в нормально работающей винде они должны быть пустые :)
← →
Kerk © (2004-07-05 11:56) [96]01.04.04 11:38 - 05.07.04 11:49
Бессмертная ветка. :)
← →
VMcL © (2004-07-05 12:02) [97]>>Vetek (05.07.04 11:49) [95]
Да что ты, говоришь! А у меня в Winlogon\Notify аж 9 подразделов. Надо срочно бежать к админу. Диверсанты в компании!
← →
Vetek (2004-07-05 12:06) [98]VMcL © (05.07.04 12:02) [97]
- да, извини, немного ошибся - эту фразу стянул из одного форума ..
- но по любому то что там - всегда надо проверять на предмет "левых" прог .. :)
- даже A311Death оттуда запускается ! (Winlogon\Notify)
← →
Vetek (2004-07-05 12:08) [99]Kerk © (05.07.04 11:56) [96]
- это точно .. :)))
- создание невидимки - мечта каждого 2 начинающего программера :)
← →
zoXacker (2004-07-06 10:59) [100]а зачем скрывать процесс ?
Страницы: 1 2 3 вся ветка
Текущий архив: 2004.08.15;
Скачать: CL | DM;
Память: 0.64 MB
Время: 6.347 c
