Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Скрыть процессы программы на С++ |
21.05.2007, 00:15
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
Скрыть процессы программы на С++
Задача бональна но решения у меня нет.
Надо скрыть прогу на С++ из диспечера задач винды,
Как это можно сделать?
|
|
|
21.05.2007, 00:21
|
|
Познающий
Регистрация: 30.11.2006
Сообщений: 49
Провел на форуме:
36434
Репутация:
28
|
|
Я бы предложил хук SDT - ZwQuerySystemInformation(ProcessAndThreadsInformat ion...)
хм.. не знаю - подойдёт ли... вобщем ищем в процессах taskmgk.exe и вносим необходимые изменения там.. можно также перехватывать окошко диспетчера задач.
В первом случае необходимо залезть в память ядра - т.е. написать дров. Во втором нужен инжект в другой процесс.
|
|
|
|
21.05.2007, 00:26
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
А если юзаешь ProcessExplorerNT - то тяжко скрыть.
тут тока или через ring0 замодить таблицу процессов или перехватом ядрёных функций.
|
|
|
|
21.05.2007, 10:37
|
|
Постоянный
Регистрация: 03.02.2007
Сообщений: 520
Провел на форуме:
1777536
Репутация:
932
|
|
Проще инжекнуцо в процесс.
|
|
|
|
21.05.2007, 11:27
|
|
Новичок
Регистрация: 04.06.2006
Сообщений: 29
Провел на форуме:
133649
Репутация:
6
|
|
известная проблема.
для windows 9х подошёл бы вот такой код:
Код:
typedef DWORD (CALLBACK* TRegProc)(DWORD, DWORD);
HINSTANCE Kern;
TRegProc RegProc;
Kern = LoadLibrary("KERNEL32.DLL");
if(Kern)
{
RegProc = (TRegProc)GetProcAddress(Kern, "RegisterServiceProcess");
if(RegProc)
RegProc(GetCurrentProcessId(),1);
FreeLibrary(Kern);
}
А вот под NT уже нет. сам пробовал 
Тоже искал решение такой проблемы. Нашёл кое-что (надеюсь, что поможет): ссылка на решение проблемы |
|
|
|
21.05.2007, 11:31
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
В принципе есть еще способ - это через hook DLL просто встречал исходник дельфяный одно дллки которая прятала запущенный процесс, но её уже давным давно палят авиры. Хотя переписать можно запросто. Но тоскать с собой dll'ку - ни есть гуд.
Я помню когдатьо в своем трояна тоскал вообще драйвер для ring0  |
|
|
|
21.05.2007, 11:51
|
|
Постоянный
Регистрация: 11.03.2007
Сообщений: 581
Провел на форуме:
4172659
Репутация:
646
|
|
Есть серия отличных статей MS-Rem'a на тему "Перехват API функций в Windows NT". Точно не помню, но помойму на wasm'е есть.
|
|
|
|
21.05.2007, 16:38
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
Всем спасибо. Щя буду пытатся с инжектом в процесс а дальше посмотрим.
|
|
|
|
21.05.2007, 18:03
|
|
Статус пользователя:
Регистрация: 26.07.2005
Сообщений: 568
Провел на форуме:
1290766
Репутация:
1236
|
|
баян. самая тема - разорвать записи в списках описателей процессов. такое например реализовано в FU Rootkit (исходники на rootkit.com), единственный минус тут - нужно писать драйвер. хотя можно вообщето и без него, но тогда задача усложняется на порядок.
__________________
  
snow white world wide
|
|
|
|
21.05.2007, 18:08
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Вапсчета баян. закрыто
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
