PDA

Просмотр полной версии : Как скрыть мой процесс в Task Manager (функция RegisterServiceProcess не работает)

Shady
15.09.2005, 16:00
:confused:
qBiN
15.09.2005, 17:29
Если уж не получится с помощью сервиса,то можно перехватами...
Поищи людей на форумах по програмиированию,врятли ты тут найдешь ответ.
NeytriNO
15.09.2005, 18:21
Способов существует несколько. Смотря для какой цели тебе это нужно.
KEZ
15.09.2005, 19:34
ой... во первых выполнение кода в другом процессе.тут два (мне известно варианта)
первый - просто скопировать код подгрузки dll к другому процессу и выполнить его CreateRemoteThread. а в инициал. dll разместить нужный код (DLL_PROCESS_ATTACH).
второй способ - просто записать свой код в другой процесс и CreateRemoteThread. уже без dll. конечно это не скрытие процесса, а можно сказать вообще его уничтожение, т.к. весь нужный код выполнит скажем explorer.exe. другая фишка намного круче и интереснее. она заключается в 1) написании дров (уровень ядра) 2) прога которая оформляет шлюз 1)задачи 2)ловушки 3)прер и тем самым перелазает в 0 кольцо камня.
тут можно найти инфу о тек. процессе (тип EPROCESS) и в нем ImageName заменить на свое или вовсе удалить. Никакой антивирус/фаервол непропалит. так (или не так) и делают руткиты. я например использовал (и модернизировал) FU Rootkit, hackers defender, NT Rootkit, FU Rootkit кажется самый простой, он может прятать процессы. причем потом даже сам их не видит. т.к. если ImageName=NULL то ХРЕН))
qBiN
15.09.2005, 21:05
NT Rootkitсамый самый))) Сидит как драйвер. Только 40 сборка неработает на хп а 44 компилить лень.
FRAGNATIC
15.09.2005, 21:27
добавлю что RegisterServiceProcess это тока для вин9х )
кода по скрытию процеса в сети оч много ) пошарся по форумам кодеров)
Raider
16.09.2005, 01:12
кода по скрытию процеса в сети оч много ) пошарся по форумам кодеров)
Ага :) и ничего лучше чем в DRKB не найдёшь ;)
(один фиг привязка к dll)
FRAGNATIC
19.09.2005, 00:41
(один фиг привязка к dll)
не обезательно)
KEZ
19.09.2005, 01:06
кода по скрытию процеса в сети оч много ) пошарся по форумам кодеров)

Не скажи. То что пишут везде про внедрение через инжектирование в explorer.exe - фигня. Надо вас искать про уровень ядра, это поинтереснее.


(один фиг привязка к dll)

Не, можно копировать код, который подгрузит DLL, в DLL_PROCESS_ATTACH у которой написан код, а можно просто копировать этот код без DLL.