 |
|
05.04.2010, 10:35
|
|
Познавший АНТИЧАТ
Регистрация: 05.03.2007
Сообщений: 1,985
С нами:
10097606
Репутация:
3349
|
|
2 iGlass
1) Если у меня не русская винда то пахать не будет. А делать поддержку для каждого языка - это тяжко
2) нужно постоянно в таймере гонять это
3) и главное - при юзанье любого альтернативного диспетчера задач, этот способ не будет работать
|
|
|
05.04.2010, 12:25
|
|
Постоянный
Регистрация: 13.11.2009
Сообщений: 437
С нами:
8680278
Репутация:
17
|
|
Сообщение от slesh
Упс. А чтото вы все забыли один хороший способ. Связанный с приложениями отладчиками. В ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
прописать параметр Debugger указывающий на пусть в несуществующей проге или к проге которая ничего не делает или к своей.
т.е. смысл в том, что при старте taskmgr.exe автоматически запустится прога указанная в параметре Debugger. таким образом наша прога получит управленяи первой. А настоящий диспечер задач незапустится
И главное - это будет работать всегда почти. именно такой метод юзает ProcessExplorerNT чтобы запускаться вместо стандартного диспечера задач
Интересно...
И как же прописать ключ?
Код:
system("reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe А дальше как?"
Да кстати slesh предложи вариант для скрывания процесса от taskmng 
Последний раз редактировалось cheater_man; 05.04.2010 в 12:27..
|
|
|
|
05.04.2010, 12:31
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
С нами:
10943066
Репутация:
1236
|
|
ищите процесс на который зарегана хоткей CtrlAltDel (вроде это кстати винлогон) хукайте обработчик и вот пожалуйста. еще кстати в реестре отрубается таскманагер, как в прочем и регедит и тд
__________________
  
snow white world wide
|
|
|
|
05.04.2010, 13:23
|
|
Познавший АНТИЧАТ
Регистрация: 05.03.2007
Сообщений: 1,985
С нами:
10097606
Репутация:
3349
|
|
2 cheater_man а ты попробуй снчало открыть этот ключ, а потом сам поймешь
Вот reg файл для примера:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="\"C:\\WINDOWS\\MYPROG.EXE\""
|
|
|
|
05.04.2010, 13:24
|
|
Познающий
Регистрация: 16.07.2008
Сообщений: 82
С нами:
9379631
Репутация:
142
|
|
Сообщение от sn0w
ищите процесс на который зарегана хоткей CtrlAltDel (вроде это кстати винлогон) хукайте обработчик и вот пожалуйста. еще кстати в реестре отрубается таскманагер, как в прочем и регедит и тд
не все так просто)))
http://wasm.ru/article.php?article=gui_subsystem
вроде это кстати винлогон
Да при запуске он регистрирует эту комбинацию. И перехватить ее нельзя( обычными способами там защита стоит см. Руссиновича).
Последний раз редактировалось _antony; 05.04.2010 в 13:26..
|
|
|
|
05.04.2010, 14:29
|
|
Banned
Регистрация: 14.06.2009
Сообщений: 256
С нами:
8899013
Репутация:
105
|
|
а как включи, а то заблочили?
|
|
|
|
05.04.2010, 14:54
|
|
Постоянный
Регистрация: 13.11.2009
Сообщений: 437
С нами:
8680278
Репутация:
17
|
|
а как включи, а то заблочили?
Удали эту ветку из реестра.
Сообщение от slesh
2 cheater_man а ты попробуй снчало открыть этот ключ, а потом сам поймешь
Вот reg файл для примера:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="\"C:\\WINDOWS\\MYPROG.EXE\""
Ага примерчик так ниче
Прописал
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="\"C:\\WINDOWS\\SYSTEM32\\cmd.exe\""
[/QUOTE]
Запускается cmd, но с именем taskmng.exe
По идее если заблочить диспетчер, то уже от него необязательно скрывать процесс?
И приведи нормальный пример скрытия екзешника от диспетчера, только не тот пример который из DelphiWorld
|
|
|
|
05.04.2010, 15:45
|
|
Познавший АНТИЧАТ
Регистрация: 09.11.2009
Сообщений: 1,077
С нами:
8686406
Репутация:
265
|
|
cheater_man блокиратор пишеш?
не забудь отключить остальные клавиши закрытия программы.
|
|
|
|
05.04.2010, 16:25
|
|
Постоянный
Регистрация: 13.11.2009
Сообщений: 437
С нами:
8680278
Репутация:
17
|
|
Сообщение от stepashka_
cheater_man блокиратор пишеш?
не забудь отключить остальные клавиши закрытия программы.
Я хз че пишу  Что в голову приходит Банер + блокератор + кейлогер + еще что нибудь пока незнаю За одно вспомнить бейсиковский синтаксис, то наверное уже лет десять его невидел (пишу на PureBasic)
Если надо потом когда допишу могу сорс выложить
Последний раз редактировалось cheater_man; 05.04.2010 в 16:29..
|
|
|
|
05.04.2010, 17:15
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
С нами:
10943066
Репутация:
1236
|
|
Код:
Немного теории
Процесс Winlogon при загрузке создает окно "SAS window", которое регистрирует HOTKEY для Ctrl+Alt+Del (CAD) и Ctrl+Shift+Esc (CSE). Вот собственно и все.
Перехват
Для перехвата CAD (CSE) нам необходимо внедрить DLL в процесс Winlogon, сабклассить указанное окно, и обрабатывать сообщение WM_HOTKEY:
// Новая оконная функция
LRESULT WINAPI NewSASProc( HWND hSAS, UINT msg, WPARAM wParam, LPARAM lParam )
{
if( WM_HOTKEY == msg ){
// Поймали HOTKEY CAD (CSE) - выводим сообщение на десктоп "Default" и затем выходим
if( MAKELONG( MOD_CONTROL | MOD_ALT, VK_DELETE ) == lParam ){
MessageBoxEx( GetActiveWindow(), TEXT("Ctrl + Alt + Del"),
TEXT("SAS Hook"), MB_DEFAULT_DESKTOP_ONLY, 0 );
return 0;
}
if( MAKELONG( MOD_CONTROL | MOD_SHIFT, VK_ESCAPE ) == lParam ){
MessageBoxEx( GetActiveWindow(), TEXT("Ctrl + Shift + Esc"),
TEXT("SAS Hook"), MB_DEFAULT_DESKTOP_ONLY, 0 );
return 0;
}
}
// Вызываем стандартный обработчик
return CallWindowProc( g_OldSASProc, hSAS, msg, wParam, lParam );
}
Функция DllMain:
BOOL WINAPI DllMain( HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad )
{
if( DLL_PROCESS_ATTACH == fdwReason ){
// Находим окно
g_hSASwnd = FindWindow( TEXT("SAS Window class"), TEXT("SAS window") );
// Заменяем обработчик
if( g_hSASwnd != NULL )
g_OldSASProc = (WNDPROC) SetWindowLong( g_hSASwnd, GWL_WNDPROC, (LONG) NewSASProc );
}
if( DLL_PROCESS_DETACH == fdwReason ){
// Возвращаем обработчик
if( g_hSASwnd != NULL )
SetWindowLong( g_hSASwnd, GWL_WNDPROC, (LONG) g_OldSASProc );
}
return TRUE;
}
=) мб уже не актуально - не проверял
__________________
snow white world wide
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
