Как найти скрытые процессы

@Oskaria · Регистрация: 10.07.2009

Студворк — интернет-сервис помощи студентам

Собственно сабж.
Если такая тема уже была - прощу прощения, но поиск по форуму не дал результатов.

Я пробовал использовать разные примеры для получения списка процессов, но ни один из них не выдал скрытые. Та и по большей части мне не нужны все процессы, мне нужно получить только скрытые, и только имя exe этих процессов.

cpp_developer · 04.03.2011, 20:29

с какой целью

?

@Oskaria · 04.03.2011, 20:45 **[ТС]**

Ну вы мою цель знаете - защитить игру от взлома))
Я сделал такой механизм: когда защита видит, что игра выключена, т.е. нет ни окна ни процесса, то защита генерирует лог с результатами работы, и сама отключается. Юзеры теперь просто скрывают процесс игры, защита выгружается, можно делать что угодно.

Если же я смогу отследить игру ещё и в скрытых процессах - то даже закрыв защиту вручную (благодарю за предыдущую подсказку) я смогу отправить оповещение на сервер, мол защита была выгружена, когда игра продолжала работать.

Везде где я искал предлагается использование уже готовых программ => есть какой-то механизм обнаружения скрытых процессов.

cpp_developer · 04.03.2011, 20:46

какие скрытые процессы вы имеете ввиду ?

Добавлено через 45 секунд
и напомните

предыдущую подсказку

@Oskaria · 04.03.2011, 20:53 **[ТС]**

Ну вы мне помогли дважды - первый раз помогли получить список окон, а второй раз - пару дней назад, подсказали как выполнить код, при закрытии программы.

Сообщение от LK

какие скрытые процессы вы имеете ввиду ?

Скрытые от глаз, к примеру программой Hide Toolz. Их не видно ни в таск менеджере, ни в ProcessXP, а видны лишь в некоторых программах (сейчас точно название не скажу - удалил уже).

cpp_developer · 04.03.2011, 20:56

очень расплывчатая задача

, как искать то, чего вы не знаете ? вот, например, есть код, который выводит весь список процессов в моей системе:

system

[SYSTEM PROCESS]
SYSTEM
SMSS.EXE
CSRSS.EXE
WININIT.EXE
CSRSS.EXE
WINLOGON.EXE
SERVICES.EXE
LSASS.EXE
LSM.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
AVASTSVC.EXE
SPOOLSV.EXE
SVCHOST.EXE
HTTPD.EXE
SVNSERVE.EXE
HTTPD.EXE
SVCHOST.EXE
GUARDMAILRU.EXE
NMSACCESSU.EXE
SVCHOST.EXE
SEARCHINDEXER.EXE
MSCORSVW.EXE
TASKHOST.EXE
DWM.EXE
EXPLORER.EXE
AVASTUI.EXE
GUARDMAILRU.EXE
HOTKEY MASTER.EXE
DMASTER.EXE
SUPERANTISPYWARE.EXE
SKYPE.EXE
ORBITDM.EXE
QKSPELL.EXE
PUNTO.EXE
WMPNETWK.EXE
SKYPEPM.EXE
TOTALCMD.EXE
AUDIODG.EXE
IEXPLORE.EXE
IEXPLORE.EXE
SPUTNIKHELPER.EXE
SPUTNIKFLASHPLAYER.EXE
UEDIT32.EXE
BATCHIT.EXE
BATCHIT.EXE
MAGENT.EXE
FIREFOX.EXE
PLUGIN-CONTAINER.EXE
BDS.EXE
TASKHOST.EXE
PUBSOURCE.EXE
SEARCHPROTOCOLHOST.EXE
SEARCHFILTERHOST.EXE
PROJECT2.EXE

- откуда мне знать, что среди них есть скрытые

?

@Oskaria · 04.03.2011, 21:01 **[ТС]**

К сожаления я не знаю как работает тот же самый Hide Toolz. Я лишь могу себе представить...
Но вы можете ради интереса, скрыть какой-то процесс этой программой, а потом своей функцией снова получить список процессов.
Если у вас Win7 - можете забыть о скрытии процессов, если XP или ниже - попробуйте. При запуске программа сразу скрывает свой процесс, и его уже не видно.

Я не знаю как он при этом продолжает работать...

Вот нашёл на каком-то "самочка.ком" пример как скрыть процесс. Код большой, но пару строк указывают, что скрываемый процесс регистрируется как системная служба. Чёрт его знает все ли программы типа Hide Toolz работают так же...

ЗЫ: аваст

cpp_developer · 04.03.2011, 21:33

Сообщение от Oskaria

ЗЫ: аваст

объясните ?

Добавлено через 11 минут
.....

@Gremlin · 05.03.2011, 01:24

Oskaria, спасибо за примерчик, например еще ArtMoney скрывает процесс (хз как но он это делает)
если процесс скрывается как показано в примере "самочка.ком", то вам стоит копать в сторону служб и сервисов (у меня с этими двумя совсем туго)

зы: в вашей защите которую вы тут описали со скрытым процессом - получается большой баг (если не скрывать то защита его проигнорит) стоит искать большинство известный хак-тулзов, и проверять все окна в винде на их наличие т.к. процесс можно просто напросто переименовать

Добавлено через 5 минут
кстати CheatEngine можно запустить и спрятать просто переименовав и слегка подправив exe, но он всегда подгружает с собой *dll и с ним в папке находятся его файлы

узнаем все запущенные процессы, папки откуда они запущены и содержимое этих папок
все это проверяем на совпадение так сказать с БАД_БАЗОЙ (то есть если там есть что то что считается хаком то..."SendMessage("Помогите!!! ломают!!!");

")

и еще кое что, помню как то делал dll которая подгружается автоматом к игре и эта dll подгружала мой exe (который потом не видно было в проыессах) (код совсем непомню, где то тогда его отрыл на одном из забугорных форумов, моему счастью не было придела :dance3

@Oskaria · 05.03.2011, 01:30 **[ТС]**

Сообщение от Gremlin

Oskaria, спасибо за примерчик, например еще ArtMoney скрывает процесс (хз как но он это делает)
если процесс скрывается как показано в примере "самочка.ком", то вам стоит копать в сторону служб и сервисов (у меня с этими двумя совсем туго)

зы: в вашей защите которую вы тут описали со скрытым процессом - получается большой баг (если не скрывать то защита его проигнорит) стоит искать большинство известный хак-тулзов, и проверять все окна в винде на их наличие т.к. процесс можно просто напросто переименовать

Нет, почему - явные процессы конечно тоже проверяются.
Окна я и так проверяю, и с каждым днём база "плохих" окон растёт и растёт (я даже не проверяю хендлер окна полностью уже), и даже если хайд тулз спрятал игру или чит - я их увижу, но... не всё так солнечно. Игра запускается не сразу запуская движок. Сначала включается некий лаунчер, в которым вводишь логин/пароль и выбираешь игровой мир. Хендлер лаунчера по непонятной причине нельзя проверить (видимо он использует какой-то левый метод запуска... хотя форма всё равно видна... хз короче), именно в этот момент игроки спокойно закрывают защиту. Но процесс лаунчера есть в списке, всё круто, если защита увидела его - она шлёт сообщение на сервер, а тот в свою очередь банит юзера на сутки, с оповещением, мол низя защиту выгружать, однако если защита не увидит процесс - она просто выключится и всё.

Добавлено через 2 минуты
Но опять таки - не каждый юзер умеет работать с хекс-редактором, что бы сменить титл программы. Для этого я сейчас понемногу учусь перехватывать API... К примеру - ловить WriteProcessMemory по отношению к памяти игры.

Добавлено через 2 минуты
Забыл указать - я проверяю не имя exe, а то, что написано в титле программы. Хендлер, шапку, как вам угодно. Даже если у вас будет открыт сайт, и в шапке эксплорера будет написано "Читы для онлайн игры ** ****** скачать Cheat Engine - Internet explorer", защита вас выкинет из игры, забанит, и оповестит меня, что у юзера открыто такое-то окно, а я уже решу - разбанить или наоборот бан продлить.

cpp_developer · 05.03.2011, 01:32

а я уже решу

жестокий ты...

@Gremlin · 05.03.2011, 01:36

меня интересует 1 вопрос как юзеры закрывают защиту? - банально "taskkill ?"
если да то сделайте ее скрытую, пусть тоже голову поломают =)

и еще 1
защита должна работать постоянно? если да то пусть во время работы посылает данные типо "все ок я жива" и если данные перестали приходить то... килл клиент игры

вот кое что нарыл, не вникал еще ссылка т.е. список сервисов узнать можно, правда я не понял на чем написан код

cpp_developer · 05.03.2011, 01:39

Сообщение от Gremlin

если данные перестали приходить

исключительно вследствие зловредных действий пользователя? других причин не может быть по умолчанию?

@Gremlin · 05.03.2011, 01:43

Сообщение от LK

исключительно вследствие зловредных действий пользователя? других причин не может быть по умолчанию?

ну сбой произошел в системе и защита отключилась, пусть перезапустят игру - не проблема
(если в палец попала заноза, вы же не будете весь палец отрубать? поэтому просто принудительно закрыть клиент и оповестить, так мол так, произошло отключение бла бла, перезапустите игру)

@Oskaria · 05.03.2011, 02:02 **[ТС]**

А как я перезапущу клиент, если нет доступа к клиентскому приложению?) Вопрос на засыпку. Если на сервере забанить игрока - его выкинет из игры только в течении часа (раз в час сервер проверяет список банов). Опять таки нет смысла держать защиту постоянно - достаточно её работы во время работы клиента игры. Отправить серверу команду kick тоже нельзя извне - надо зайти в игру под логином админа, прописать команду и только тогда пользователя выкинет. Можно заблокировать доступ его IP на пару секунд, т.е. разорвать соединение по порту для конкретного IP, но я до этого ещё не дорос.

Добавлено через 3 минуты
Закрывают же по-разному. Кто-то кто поумнее, и не ищет лёгких путей написали программу, которая отправляет защите команду закрыться, кто-то через менеджер процессов, пару раз даже умудрились разобрать ексешку гварда и подтёрли блок список (сейчас храню его на сервере). Радует одно - получилось использовать для игры и для защиты один порт, и пользователи уже не могут перекрыв порт, по которому защита передаёт/получает данные, продолжить игру.

Добавлено через 8 минут
Благодарю за пример со списком служб, но сейчас не могу проверить - у меня вин7 х32, а на ней хайд тулз не пашет.

cpp_developer · 05.03.2011, 02:07

не понял на чем написан код

C# ...

@Gremlin · 05.03.2011, 12:42

Oskaria, так зачем посылать kick? яж говорил о том, чтоб закрыть клиент игры тем же "taskkill" например (хотя но форуме где то был хороший вариант)

я так понял что есть ИГРА не ваша, к ней вы пишите защиту
так вот, игра скорее всего использует dll напишите функцию с циклом что то вроде:
for(int i = 0; i < 5; i++)
{
i = 0;
если процесса защиты не видно (закрылась, закрыли итд) то и убить клиент игры
}

и прилепите эту функцию к длл игры

итого будет:
запускается защита
запускается клиент (он подгружает длл и идет проверка = работает ли защита)

@Oskaria · 05.03.2011, 16:37 **[ТС]**

Можно и так, но подшивать dll придётся через дизассемблер, а я этого больно не люблю... Сейчас мне главное запихнуть все необходимые функции конкретно в клиентскую программу защиты. Потом уже её можно будет перевести в dll и так же подшить к игре.

Но запрещена игра в 2 окна. К примеру - написанная мной dll будет запущена как дочерний процесс игры => будет скрываться тем же hide toolz вместе с самой игрой. Защита будет видеть только тот процесс, который не скрыт, и будет считать, что игра запущена только 1 раз.

Новые блоги и статьи Все статьи Все блоги /
Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .
SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101

	Как найти скрытые процессы 04.03.2011, 18:42. Показов 8020. Ответов 17 Метки нет (Все метки) Собственно сабж. Если такая тема уже была - прощу прощения, но поиск по форуму не дал результатов. Я пробовал использовать разные примеры для получения списка процессов, но ни один из них не выдал скрытые. Та и по большей части мне не нужны все процессы, мне нужно получить только скрытые, и только имя exe этих процессов. 0

cpp_developer 20124 / 5691 / 417 Регистрация: 09.04.2010 Сообщений: 22,546 Записей в блоге: 1
	04.03.2011, 20:29
	с какой целью ? 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	04.03.2011, 20:45 [ТС]
	Ну вы мою цель знаете - защитить игру от взлома)) Я сделал такой механизм: когда защита видит, что игра выключена, т.е. нет ни окна ни процесса, то защита генерирует лог с результатами работы, и сама отключается. Юзеры теперь просто скрывают процесс игры, защита выгружается, можно делать что угодно. Если же я смогу отследить игру ещё и в скрытых процессах - то даже закрыв защиту вручную (благодарю за предыдущую подсказку) я смогу отправить оповещение на сервер, мол защита была выгружена, когда игра продолжала работать. Везде где я искал предлагается использование уже готовых программ => есть какой-то механизм обнаружения скрытых процессов. 0

cpp_developer 20124 / 5691 / 417 Регистрация: 09.04.2010 Сообщений: 22,546 Записей в блоге: 1
	04.03.2011, 20:56
	очень расплывчатая задача , как искать то, чего вы не знаете ? вот, например, есть код, который выводит весь список процессов в моей системе: system [SYSTEM PROCESS] SYSTEM SMSS.EXE CSRSS.EXE WININIT.EXE CSRSS.EXE WINLOGON.EXE SERVICES.EXE LSASS.EXE LSM.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE AVASTSVC.EXE SPOOLSV.EXE SVCHOST.EXE HTTPD.EXE SVNSERVE.EXE HTTPD.EXE SVCHOST.EXE GUARDMAILRU.EXE NMSACCESSU.EXE SVCHOST.EXE SEARCHINDEXER.EXE MSCORSVW.EXE TASKHOST.EXE DWM.EXE EXPLORER.EXE AVASTUI.EXE GUARDMAILRU.EXE HOTKEY MASTER.EXE DMASTER.EXE SUPERANTISPYWARE.EXE SKYPE.EXE ORBITDM.EXE QKSPELL.EXE PUNTO.EXE WMPNETWK.EXE SKYPEPM.EXE TOTALCMD.EXE AUDIODG.EXE IEXPLORE.EXE IEXPLORE.EXE SPUTNIKHELPER.EXE SPUTNIKFLASHPLAYER.EXE UEDIT32.EXE BATCHIT.EXE BATCHIT.EXE MAGENT.EXE FIREFOX.EXE PLUGIN-CONTAINER.EXE BDS.EXE TASKHOST.EXE PUBSOURCE.EXE SEARCHPROTOCOLHOST.EXE SEARCHFILTERHOST.EXE PROJECT2.EXE - откуда мне знать, что среди них есть скрытые ? 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	04.03.2011, 21:01 [ТС]
	К сожаления я не знаю как работает тот же самый Hide Toolz. Я лишь могу себе представить... Но вы можете ради интереса, скрыть какой-то процесс этой программой, а потом своей функцией снова получить список процессов. Если у вас Win7 - можете забыть о скрытии процессов, если XP или ниже - попробуйте. При запуске программа сразу скрывает свой процесс, и его уже не видно. Я не знаю как он при этом продолжает работать... Вот нашёл на каком-то "самочка.ком" пример как скрыть процесс. Код большой, но пару строк указывают, что скрываемый процесс регистрируется как системная служба. Чёрт его знает все ли программы типа Hide Toolz работают так же... ЗЫ: аваст 2

@Gremlin 519 / 307 / 58 Регистрация: 30.07.2008 Сообщений: 607
	05.03.2011, 01:24
	Oskaria, спасибо за примерчик, например еще ArtMoney скрывает процесс (хз как но он это делает) если процесс скрывается как показано в примере "самочка.ком", то вам стоит копать в сторону служб и сервисов (у меня с этими двумя совсем туго) зы: в вашей защите которую вы тут описали со скрытым процессом - получается большой баг (если не скрывать то защита его проигнорит) стоит искать большинство известный хак-тулзов, и проверять все окна в винде на их наличие т.к. процесс можно просто напросто переименовать Добавлено через 5 минут кстати CheatEngine можно запустить и спрятать просто переименовав и слегка подправив exe, но он всегда подгружает с собой *dll и с ним в папке находятся его файлы узнаем все запущенные процессы, папки откуда они запущены и содержимое этих папок все это проверяем на совпадение так сказать с БАД_БАЗОЙ (то есть если там есть что то что считается хаком то..."SendMessage("Помогите!!! ломают!!!"); ") и еще кое что, помню как то делал dll которая подгружается автоматом к игре и эта dll подгружала мой exe (который потом не видно было в проыессах) (код совсем непомню, где то тогда его отрыл на одном из забугорных форумов, моему счастью не было придела :dance3 0

@Gremlin 519 / 307 / 58 Регистрация: 30.07.2008 Сообщений: 607
	05.03.2011, 01:36
	меня интересует 1 вопрос как юзеры закрывают защиту? - банально "taskkill ?" если да то сделайте ее скрытую, пусть тоже голову поломают =) и еще 1 защита должна работать постоянно? если да то пусть во время работы посылает данные типо "все ок я жива" и если данные перестали приходить то... килл клиент игры вот кое что нарыл, не вникал еще ссылка т.е. список сервисов узнать можно, правда я не понял на чем написан код 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	05.03.2011, 02:02 [ТС]
	А как я перезапущу клиент, если нет доступа к клиентскому приложению?) Вопрос на засыпку. Если на сервере забанить игрока - его выкинет из игры только в течении часа (раз в час сервер проверяет список банов). Опять таки нет смысла держать защиту постоянно - достаточно её работы во время работы клиента игры. Отправить серверу команду kick тоже нельзя извне - надо зайти в игру под логином админа, прописать команду и только тогда пользователя выкинет. Можно заблокировать доступ его IP на пару секунд, т.е. разорвать соединение по порту для конкретного IP, но я до этого ещё не дорос. Добавлено через 3 минуты Закрывают же по-разному. Кто-то кто поумнее, и не ищет лёгких путей написали программу, которая отправляет защите команду закрыться, кто-то через менеджер процессов, пару раз даже умудрились разобрать ексешку гварда и подтёрли блок список (сейчас храню его на сервере). Радует одно - получилось использовать для игры и для защиты один порт, и пользователи уже не могут перекрыв порт, по которому защита передаёт/получает данные, продолжить игру. Добавлено через 8 минут Благодарю за пример со списком служб, но сейчас не могу проверить - у меня вин7 х32, а на ней хайд тулз не пашет. 0

@Gremlin 519 / 307 / 58 Регистрация: 30.07.2008 Сообщений: 607
	05.03.2011, 12:42
	Oskaria, так зачем посылать kick? яж говорил о том, чтоб закрыть клиент игры тем же "taskkill" например (хотя но форуме где то был хороший вариант) я так понял что есть ИГРА не ваша, к ней вы пишите защиту так вот, игра скорее всего использует dll напишите функцию с циклом что то вроде: for(int i = 0; i < 5; i++) { i = 0; если процесса защиты не видно (закрылась, закрыли итд) то и убить клиент игры } и прилепите эту функцию к длл игры итого будет: запускается защита запускается клиент (он подгружает длл и идет проверка = работает ли защита) 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	05.03.2011, 16:37 [ТС]
	Можно и так, но подшивать dll придётся через дизассемблер, а я этого больно не люблю... Сейчас мне главное запихнуть все необходимые функции конкретно в клиентскую программу защиты. Потом уже её можно будет перевести в dll и так же подшить к игре. Но запрещена игра в 2 окна. К примеру - написанная мной dll будет запущена как дочерний процесс игры => будет скрываться тем же hide toolz вместе с самой игрой. Защита будет видеть только тот процесс, который не скрыт, и будет считать, что игра запущена только 1 раз. 0