1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
1 | |
Изменение PID или hProcess04.01.2012, 16:20. Показов 7038. Ответов 51
Метки нет (Все метки)
0
|
04.01.2012, 16:20 | |
Ответы с готовыми решениями:
51
Закрытие процесса по его PID и заморозка процесса по его имени или PID Определить заголовок окна по PID или по процессу Получить имя или pid родительского процесса Получить имя или pid родительского процесса |
0 / 0 / 0
Регистрация: 22.11.2011
Сообщений: 7
|
|
19.02.2012, 18:57 | 21 |
[bold]Добраться до нулевого кольца не так уж и трудно. Есть два способа:
1)через драйвер(этот способ описан в MSDN); 2)открытие секции DevicePhysicalMemory и модификации глобальной таблицы дескрипторов(GDT). Более подробно на http://wasm.ru/print.php?article=apihook_3. P.S: эти способы просты в использовании, даже средний программист может использовать их в своих целях. На вопрос spirin'а зачем это надо, отвечу на ring0 можно делать что-угодно. Прочитай статью и поймёшь ))[/bold]
0
|
Messir
|
|
20.02.2012, 01:35 | 22 |
Сообщение от gelion
В кольце ядра, естественно, можно тотально менять поведение системы. Как варианты - еще можно пропатчить ntoskrnl, тогда и драйвера никакие вообще не нужны Но это все требует наличия соответсвтующих прав (Локальная система или Админ) и немалого геморроя и осторожности. Оно вам надо? Проще АПИ юзермода перехватывать. |
7 / 7 / 12
Регистрация: 13.02.2007
Сообщений: 1,255
|
|
20.02.2012, 02:08 | 23 |
ну вообще-то понятно для чего это все надо ORST вирус пишет или ломает, а может просто всех разводит...
непонятно другое, почему эта дискуссия ведется в разделе: "Программирование на Visual Basic", хех
0
|
0 / 0 / 0
Регистрация: 22.11.2011
Сообщений: 7
|
|
20.02.2012, 02:50 | 24 |
[bold]Я пишу на Delphi и MASM32, и мне совершенно безразличен VB. Мне просто интересна эта тема.
Сейчас у меня есть разроботка программы, которая не палится антивирусами, невидимая в процессах и на жестком диске, также она работает в ring0. Этот движок можно использовать для создания систем удаленного доступа aka троянов, или навороченых файрволов. Если кому-то интересно это, пиши на nullS0ft@hotmail.ru Также на заказ я могу сделать на этой основе троян, который будет [underline]покруче!!![/underline] X-Control'а.[/bold]
0
|
7 / 7 / 12
Регистрация: 13.02.2007
Сообщений: 1,255
|
|
20.02.2012, 03:23 | 25 |
ну я пишу на C++ и Java и мне совершенно безразличны вирусы/антивирусы и невидимые процессы, меня просто удивило, что твой товарищ, вполне неплохо подкованный теоретически, взялся за задачу доступа к нижним уровням платформы Win32, планируя при этом использовать Visual Basic
0
|
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
20.02.2012, 14:21 [ТС] | 26 |
Сообщение от boombastik
Я конечно знаю, что с такой задачой C++ или Delphy справяться без проблем. На том же http://www.wasm.ru/ приведены яркие примеры реализации данной задачи.
0
|
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
22.02.2012, 12:18 [ТС] | 27 |
Через [bold]Delphy[/bold] перешол на [bold]Ring0[/bold] , все идет как по маслу...
Сделаю динамическую библиотеку и тогда простое приложение VB6 сможет скрыть себя из списка процессов [bold]и даже убить из процессов KAV!!![/bold] Кстате, насет KAV'а, по ходу ж KAV тоже пахает на нулевом кольце? И если я не ошибаюсь, он хукает функции Код
TerminateProcess Код
OpenProcess Но вот когда я перешол на нулевое кольцо мне удалось получить его хендл и через Код
TerminateProcess Получаеться что мой процесс находиться на более низком уровне чем KAV и поєтому он не может отловит Код
TerminateProcess
0
|
0 / 0 / 0
Регистрация: 01.06.2011
Сообщений: 27
|
|
22.02.2012, 14:25 | 28 |
вмешиваясь в обший ход мыслей TerminateProcess убивает не процес KAV
он просто останавливает службу ребята в KAV не настолько углубили свою прогу чтобы она работала на уровне запросов системного ядра, а служба просто с переодичностью перезапускается но ето не факт что процес не будет виден в списке процессов. Хотя видел пример того как можно заустить процес от имени другого процесса но и ето не спасает от списка процессов на момент запуска все равно там виден
0
|
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
22.02.2012, 16:14 [ТС] | 29 |
Зачем встраивать свой процесс в другой?
Я так делал, но когда перешол на уровень ядра Win32 мне это уже не нужно. Я просто загружаю свой драйвер и использую его как шлюз через который выполняю свой код на низком уровне. Вот именно сдесь я могу установить глобальный хук или вообще физически скрыть свой процесс. А насчет KAV ты не прав, он убиваеться, я ж говорил, я использую NATIVE API'шную функцию. А та, что мой код віполняеться на более низком уровне чем KAV позволяет мне без проблем обойти все его методы защиты и с уверенностью стереть его с памяти.
0
|
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
22.02.2012, 16:19 [ТС] | 30 |
Забыл. Ты имел ввиду встраивание процесса в другой?
В NativeApi есть такая функция, с помощью которой можно спокойно инжектировать свой процесс в другой (Точно не помню названия, помоемо чтото типа вот этого: InjectInProcess) - прикольная вещь.
0
|
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
22.02.2012, 20:24 [ТС] | 31 |
Короче вот прога, которая скрывает, переименновывает и изменяет PID.
Советую вводить только корректные данные, а то я не доделал полностью контроль ошибок и может произойти сбой системы... Там есть два способа инициализации: Через CallMode или через драйвер. Скрытие всех процессов покачто не работает. Вот он:
0
|
2 / 2 / 1
Регистрация: 18.10.2007
Сообщений: 1,748
|
|
23.02.2012, 10:59 | 32 |
кому интересна программа без исходников?
0
|
Comanche
|
|
23.02.2012, 11:22 | 33 |
Блин, как отписАться от этого топика?! О! щас сниму галку - и да наступит тишина...
|
Messir
|
|
23.02.2012, 11:26 | 34 |
Сообщение от ORST
|
Comanche
|
|
23.02.2012, 11:29 | 35 |
Smalig, вот я снял галку "Подписаться на ответы" (в прошлом своём посте), а оповещение мне всё равно пришло! непорядок, знаете ли...
|
2 / 2 / 1
Регистрация: 18.10.2007
Сообщений: 1,748
|
|
23.02.2012, 11:33 | 36 |
Команч, невнимательный ты
Видишь внизу ссылку - ПОДПИСКА. Кликай туда - там есть ОТписка
0
|
Сумрак
|
|
23.02.2012, 17:39 | 37 |
Ребята..я пошел искать скрытые процесы... на компе... :-)
Хотя... в наш век все возможно. У меня гад какойто висит.. в компе к Лисе прилипает, успевает второй экземпляр Лисы создать пржде чем 1 моя зажщита отключит. И дружно 2 лисы виснет. Но вот проказника отловить не могу... может посоветуете чемнить? |
Сумрак
|
|
24.02.2012, 18:29 | 38 |
Можно офтоп? Все равно ветка умерла
Прсто, рад увидитеь тут Вас всех, Всем доброго здравия, я уж думал что отвалили на другой форум. Персонально каждому жму руку. Блин хотел скать чтонить, а сказать нечего. Получается флейм. Вс рад всех видеть. :-) |
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
25.02.2012, 03:01 [ТС] | 39 |
Итак, вот я и доделал динамическую библиотеку...
Реализовал на Delphy. ╔═══════════════╗ ║HideProcess.dll║ ╚═══════════════╝ ╔═Functions:════════════════════════════════════════════════════════════════════ ═════════════════════════════════════════╗ ║Private Declare Function HideProcessA Lib "HideProcess.dll" (ByVal ProcessID As Long) As Long ║ ║Private Declare Function ShowProcessA Lib "HideProcess.dll" (ByVal ProcessAddr As Long) As Long ║ ║Private Declare Function ShowInfo Lib "HideProcess.dll" () As Long ║ ║Private Declare Function ShutdownFirstHardDrive Lib "HideProcess.dll" () As Long ║ ║Private Declare Function XTerminateProcess Lib "HideProcess.dll" (ByVal pHandle As Long, ByVal ExitCode As Long) As Long║ ║Private Declare Function XChangePID Lib "HideProcess.dll" (ByVal ProcessId As Long, ByVal NewName As String) As Long ║ ║Private Declare Function XChangeName Lib "HideProcess.dll" (ByVal OldPid As Long, ByVal NewPid As Long) As Long ║ ╚═══════════════════════════════════════════════════════════════════════════════ ═════════════════════════════════════════╝
0
|
1 / 1 / 0
Регистрация: 01.05.2011
Сообщений: 203
|
|
25.02.2012, 03:04 [ТС] | 40 |
Сорри за "мусор"
Код
[image]Private Declare Function HideProcessA Lib "HideProcess.dll" (ByVal ProcessID As Long) As Long Private Declare Function ShowProcessA Lib "HideProcess.dll" (ByVal ProcessAddr As Long) As Long Private Declare Function ShowInfo Lib "HideProcess.dll" () As Long Private Declare Function ShutdownFirstHardDrive Lib "HideProcess.dll" () As Long Private Declare Function XTerminateProcess Lib "HideProcess.dll" (ByVal pHandle As Long, ByVal ExitCode As Long) As Long Private Declare Function XChangePID Lib "HideProcess.dll" (ByVal ProcessId As Long, ByVal NewName As String) As Long Private Declare Function XChangeName Lib "HideProcess.dll" (ByVal OldPid As Long, ByVal NewPid As Long) As Long [/image]
0
|
25.02.2012, 03:04 | |
25.02.2012, 03:04 | |
Помогаю со студенческими работами здесь
40
Хэндлы hProcess и hThread Как определить PID процесса или имя по сети Как узнать Handle или PID процесса, зная его имя и класс? Подсветка ключевых слов или изменение размера шрифта в TextBlock или RichTextBox Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |