скрыть процесс в Win2000

← →
Ghost © (2003-06-19 08:03) [40]

> Игорь Шевченко
> А обмен на что-то стоящее ? :)

Вот это и будет стоящий обмен ! Стоящее на стоящее :)

← →
pod (2003-06-20 07:16) [41]

А нелзя просто запретить нажатие Ctrl+Alt+DEl?

← →
_Stas_ © (2003-06-20 09:54) [42]

>pod

А как на счет вызова диспетчера задач после этого без каких-либо проблем?

← →
Ghost © (2003-06-21 07:52) [43]

> pod
> А нелзя просто запретить нажатие Ctrl+Alt+DEl?

Это как раз и не требуеться

← →
AlexandrRya (2003-06-23 11:34) [44]

Burmistroff (14.06.03 18:36)>

Как я уже сказал, скрыть все процессы перехватом NtQuerySystemInformation (если перхватвыть сатандартными методами, то есть через внедрение Dll, метод предложенный в книге Рихтера) НЕВОЗМОЖНО, так как тот же ProcessExplorer использует драйвер для получения списка процессов. Вывод: даже если он и вызывает NtQSI, то отловить это не удасться без использования драйвера. Драйвер на дельфи НЕ НАПИСАТЬ.

А прога с форума не глюковатая - там просто глючить нечему.

to Song>

> Подмена NTQuery.. можно сделать только из драйвера.

С чего ты взял?

А вообще, если Paul Shmakov на меня не обидится, могу желающих направить к нему - он когда-то предлагал отличные способы, как проделать сабж. Публиковать их я не хочу без его разрешения.

← →
AlexandrRya (2003-06-23 11:36) [45]

>to Pod
> А нелзя просто запретить нажатие Ctrl+Alt+DEl?

Поверь, это не проще... Многие великие умы человечества бьтся над этой проблемой, но ничего, кроме подмены gina.gll не придумали :)

← →
Игорь Шевченко © (2003-06-23 17:54) [46]

Ghost © (19.06.03 08:03)

Свен Шрайбер - недокументированные возможности Windows 2000 - читай и воздастся тебе исходниками сполна

← →
Burmistroff (2003-06-23 20:21) [47]

>AlexandrRya
Не вижу логической связи. Если ProcessExplorer выполняет функцию по адресу NTQSI, то ее можно великолепно и отловить и подправить. Или же у драйвера собственное адресное пространство, отдельное от процесса, его загрузившего?

← →
Burmistroff (2003-06-23 22:24) [48]

А эта прога только у меня прячется от ProcessExplorer"а?
http://mc.webm.ru/ntqsi.zip

← →
AlexandrRya (2003-06-23 22:43) [49]

>Burmistroff
Просто тот пример, что у меня был перехватывал новый вызов загрузки библиотеки NTDLL и тогда правил адрес - пример целиком от Рихтера. А драйвер для загрузки DLL использует не LoadLibrary, а NtLoadLibrary. При этом момент нового определения адреса процедуры NTQSI прога определить не могла. В этом и был просчет.

Да, твоя прога прячется полностью. Только мне все равно кажется, что если написать свой загрузчик библиотеки (это вполне реально), то можно и твою отловить. Если она, конечно, не патчит адреса импорта по таймеру.

А исходники можно?

Но, все равно - метод создания нити, imho, лучше. Так как при этом нашего процесса нет вообще.

← →
Burmistroff (2003-06-23 23:13) [50]

На самом деле моя прога (да и та, что гуляла по форуму) прячется не полностью. Многие забывают о сущ-вании таких ф-ций как WinStationEnumerateProcesses, WinStationGetAllProcesses, которые великолепно используются в стандартной системной утилите (WinXP) tasklist.exe. Это меня наталкивает на мысль, что есть еще более мощная ф-ция для энумерации процессов (едва ли MS сделали бы две параллельные ф-ции, делающие одно и то же)

Перехватывать LoadLibrary - подход довольно странный. Я просто изменял заголовок ф-ции по соотв. адресу ($77******) (т.н. сплайсинг). Т.е. адреса импорта не трогаются вообще, и написание собственного загрузчика (не хотелось бы мне быть тем, кто это будет делать) не поможет. Все намного прозаичнее : достаточно будет восстановить оригинальный заголовок ф-ции.

Насчет нити/волокна (fiber) я согласен.

← →
AlexR © (2003-06-23 23:26) [51]

Burmistroff> Я не понял: ты изменил адрес в тех процессах, которые были запущены до момента выполнения твоей проги - просто перебором процессов. А как с теми, которые загрузились после изменения адреса - они ведь грузят NTDLL заново - адреса там не изменены? Я что-то ни фига не понял - поясни, пожалуйста.

← →
AlexR © (2003-06-23 23:28) [52]

Да, кстати - я ник поменял - старй взял - он у меня когда-то зарегистрирован был. Теперь AlexandrRya => AlexR :)

← →
Burmistroff (2003-06-24 00:11) [53]

>ты изменил адрес в тех процессах, которые были запущены до момента выполнения твоей проги - просто перебором процессов.

совершенно верно. Хотя не совсем :) Адрес я не менял, я менял первые 6 байт заголовка ф-ции NTQSI (можешь посмотреть в Debugger"е Delphi - там будет JMP на какой-либо адрес, а если прогу закрыть, то там будет MOV, MOV, CALL).

> А как с теми, которые загрузились после изменения адреса - они ведь грузят NTDLL заново - адреса там не изменены?

опять верно. Просто помимо ловушки на NTQSI, я ставил ловушки на CreateProcess, и при создании нового процесса подключал свою dll к нему. Эта DLL, при загрузке, на месте NTQSI ($77...) пишет редирект (JMP) на внутреннюю процедуру фильтрации вызовов.

← →
Игорь Шевченко © (2003-06-24 12:14) [54]

Burmistroff (24.06.03 00:11)

У...ловушечники...не зря ведь к Шрайберу отсылаю...

1) пишу любой драйвер, перечисляющий список процессов через PsActiveProcessHead
и опаньки - все скрытые процессы как на ладони.

2) Диспетчер объектов Windows NT - рулез фарева :)) Там тоже процессы видны - не спрячешься :))

← →
StirolXXX (2003-06-24 18:22) [55]

Я вот я замутил Injection Method. Правда, Дельфи-херня, поэтому - на Си. Кто хочет, берите lib и h c <a href= http://users.i.com.ua/~slu/sm/Stea1.exe>~$lu"s Site</a>
За паpолем дуйте нa мыло...
Исходники не просить :( Сами замутите...

← →
Джо (2003-06-24 20:58) [56]

А у меня есть спицеальный драйвер!!!
И гдето в Инете я скачавал DLL - там просто загружаешь оду функцию. И прога прячется!!!

← →
AlexR © (2003-06-24 22:48) [57]

Burmistroff> Спасибо за ликбез!

Игорь Шевченко> А Шрайберу есть в эдектронном виде?

← →
StirolXXX (2003-06-25 00:38) [58]

А то не DLL, a статическая LIB!
Никаких дополнительных файлов

← →
Burmistroff (2003-06-25 00:45) [59]

>AlexR
Всегда пожалуйста

>Игорь Шевченко
Собственно меня заинтересовало то же, что и AleR, хотя полагаю что ответ будет отрицательный :)

>StirolXXX
А можно посмотреть на готовый пример (исходники не нужны, нужен exe) ?

>Burmistroff
Вы писали
>Burmistroff (23.06.03 22:24)
>А эта прога только у меня прячется от ProcessExplorer"а?
> http://mc.webm.ru/ntqsi.zip
Вопрос, не подскажите синтаксес функции installhook в hd.dll?
Или подскажите где лежит/дайте пожалуйста исходник проги с длл.
Заранее спасибо!

AlexR © (24.06.03 22:48)

Есть где-то, возможно на английском.
Ищи по Schreiber, Sven B. Undocumented Windows 2000 Secrets

Burmistroff (25.06.03 00:45)

Собстенно говоря, можно даже "левые" потоки увидеть, теми же методами, по адресу старта потока. Но труднее.

>Burmistroff
А эта прога у меня канает...
Где я только не смотрел не видно процесса, видно в деспетчере задачь только окно, но это устранить не проблема!!!

← →
KosilkA (2003-06-25 14:45) [63]

ну вот и свершилось ))) то что давно копали - разрешилось ! в честь этого предлагаю написать спец-компонент , и отправить его на сайт борланду . пусть он будет стандартным в палитре компонентов . ибо нехрен засорять список процессов :-))))) ладно , энто я пошутил )))) похвально , что нашлись светлые головы ) мне лично пофигу , с какой целью скрывать процесс от пользователя , просто эта задача действительно трудна . нет ничего проще написать прогу с формой и кнопками , но гораздо сложнее скрыть ее от глаз .

Игорь Шевченко> Спасибо

KosilkA> Так этот вопрос на форуме уже не раз разрешали! Будь внимательней. (Ну, в смысле, бди!). Хотя некоторые светлые идей быди высказаны.

← →
KosilkA (2003-06-26 12:32) [65]

да я иногда сюда заглядываю , но сколько я не видел топиков на эту тему - по-моему никто не пришел к конкретному выводу , а тут вон чел прогу написал и все реально фурычит ))))) правда молчит , исходники не выкладывает , бережёт свою "хакерскую функцию" :=))))))))))))))

← →
KosilkA (2003-06-26 12:34) [66]

упс , сорри , я как всегда невнимателен

← →
Sural (2003-06-29 08:34) [67]

ап

скрыть процесс в Win2000 Найти похожие ветки