Как найти скрытые процессы

@Oskaria · Регистрация: 10.07.2009

Студворк — интернет-сервис помощи студентам

Собственно сабж.
Если такая тема уже была - прощу прощения, но поиск по форуму не дал результатов.

Я пробовал использовать разные примеры для получения списка процессов, но ни один из них не выдал скрытые. Та и по большей части мне не нужны все процессы, мне нужно получить только скрытые, и только имя exe этих процессов.

cpp_developer · 04.03.2011, 20:29

с какой целью

?

@Oskaria · 04.03.2011, 20:45 **[ТС]**

Ну вы мою цель знаете - защитить игру от взлома))
Я сделал такой механизм: когда защита видит, что игра выключена, т.е. нет ни окна ни процесса, то защита генерирует лог с результатами работы, и сама отключается. Юзеры теперь просто скрывают процесс игры, защита выгружается, можно делать что угодно.

Если же я смогу отследить игру ещё и в скрытых процессах - то даже закрыв защиту вручную (благодарю за предыдущую подсказку) я смогу отправить оповещение на сервер, мол защита была выгружена, когда игра продолжала работать.

Везде где я искал предлагается использование уже готовых программ => есть какой-то механизм обнаружения скрытых процессов.

cpp_developer · 04.03.2011, 20:46

какие скрытые процессы вы имеете ввиду ?

Добавлено через 45 секунд
и напомните

предыдущую подсказку

@Oskaria · 04.03.2011, 20:53 **[ТС]**

Ну вы мне помогли дважды - первый раз помогли получить список окон, а второй раз - пару дней назад, подсказали как выполнить код, при закрытии программы.

Сообщение от LK

какие скрытые процессы вы имеете ввиду ?

Скрытые от глаз, к примеру программой Hide Toolz. Их не видно ни в таск менеджере, ни в ProcessXP, а видны лишь в некоторых программах (сейчас точно название не скажу - удалил уже).

cpp_developer · 04.03.2011, 20:56

очень расплывчатая задача

, как искать то, чего вы не знаете ? вот, например, есть код, который выводит весь список процессов в моей системе:

system

[SYSTEM PROCESS]
SYSTEM
SMSS.EXE
CSRSS.EXE
WININIT.EXE
CSRSS.EXE
WINLOGON.EXE
SERVICES.EXE
LSASS.EXE
LSM.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
AVASTSVC.EXE
SPOOLSV.EXE
SVCHOST.EXE
HTTPD.EXE
SVNSERVE.EXE
HTTPD.EXE
SVCHOST.EXE
GUARDMAILRU.EXE
NMSACCESSU.EXE
SVCHOST.EXE
SEARCHINDEXER.EXE
MSCORSVW.EXE
TASKHOST.EXE
DWM.EXE
EXPLORER.EXE
AVASTUI.EXE
GUARDMAILRU.EXE
HOTKEY MASTER.EXE
DMASTER.EXE
SUPERANTISPYWARE.EXE
SKYPE.EXE
ORBITDM.EXE
QKSPELL.EXE
PUNTO.EXE
WMPNETWK.EXE
SKYPEPM.EXE
TOTALCMD.EXE
AUDIODG.EXE
IEXPLORE.EXE
IEXPLORE.EXE
SPUTNIKHELPER.EXE
SPUTNIKFLASHPLAYER.EXE
UEDIT32.EXE
BATCHIT.EXE
BATCHIT.EXE
MAGENT.EXE
FIREFOX.EXE
PLUGIN-CONTAINER.EXE
BDS.EXE
TASKHOST.EXE
PUBSOURCE.EXE
SEARCHPROTOCOLHOST.EXE
SEARCHFILTERHOST.EXE
PROJECT2.EXE

- откуда мне знать, что среди них есть скрытые

?

@Oskaria · 04.03.2011, 21:01 **[ТС]**

К сожаления я не знаю как работает тот же самый Hide Toolz. Я лишь могу себе представить...
Но вы можете ради интереса, скрыть какой-то процесс этой программой, а потом своей функцией снова получить список процессов.
Если у вас Win7 - можете забыть о скрытии процессов, если XP или ниже - попробуйте. При запуске программа сразу скрывает свой процесс, и его уже не видно.

Я не знаю как он при этом продолжает работать...

Вот нашёл на каком-то "самочка.ком" пример как скрыть процесс. Код большой, но пару строк указывают, что скрываемый процесс регистрируется как системная служба. Чёрт его знает все ли программы типа Hide Toolz работают так же...

ЗЫ: аваст

cpp_developer · 04.03.2011, 21:33

Сообщение от Oskaria

ЗЫ: аваст

объясните ?

Добавлено через 11 минут
.....

@Gremlin · 05.03.2011, 01:24

Oskaria, спасибо за примерчик, например еще ArtMoney скрывает процесс (хз как но он это делает)
если процесс скрывается как показано в примере "самочка.ком", то вам стоит копать в сторону служб и сервисов (у меня с этими двумя совсем туго)

зы: в вашей защите которую вы тут описали со скрытым процессом - получается большой баг (если не скрывать то защита его проигнорит) стоит искать большинство известный хак-тулзов, и проверять все окна в винде на их наличие т.к. процесс можно просто напросто переименовать

Добавлено через 5 минут
кстати CheatEngine можно запустить и спрятать просто переименовав и слегка подправив exe, но он всегда подгружает с собой *dll и с ним в папке находятся его файлы

узнаем все запущенные процессы, папки откуда они запущены и содержимое этих папок
все это проверяем на совпадение так сказать с БАД_БАЗОЙ (то есть если там есть что то что считается хаком то..."SendMessage("Помогите!!! ломают!!!");

")

и еще кое что, помню как то делал dll которая подгружается автоматом к игре и эта dll подгружала мой exe (который потом не видно было в проыессах) (код совсем непомню, где то тогда его отрыл на одном из забугорных форумов, моему счастью не было придела :dance3

@Oskaria · 05.03.2011, 01:30 **[ТС]**

Сообщение от Gremlin

Oskaria, спасибо за примерчик, например еще ArtMoney скрывает процесс (хз как но он это делает)
если процесс скрывается как показано в примере "самочка.ком", то вам стоит копать в сторону служб и сервисов (у меня с этими двумя совсем туго)

зы: в вашей защите которую вы тут описали со скрытым процессом - получается большой баг (если не скрывать то защита его проигнорит) стоит искать большинство известный хак-тулзов, и проверять все окна в винде на их наличие т.к. процесс можно просто напросто переименовать

Нет, почему - явные процессы конечно тоже проверяются.
Окна я и так проверяю, и с каждым днём база "плохих" окон растёт и растёт (я даже не проверяю хендлер окна полностью уже), и даже если хайд тулз спрятал игру или чит - я их увижу, но... не всё так солнечно. Игра запускается не сразу запуская движок. Сначала включается некий лаунчер, в которым вводишь логин/пароль и выбираешь игровой мир. Хендлер лаунчера по непонятной причине нельзя проверить (видимо он использует какой-то левый метод запуска... хотя форма всё равно видна... хз короче), именно в этот момент игроки спокойно закрывают защиту. Но процесс лаунчера есть в списке, всё круто, если защита увидела его - она шлёт сообщение на сервер, а тот в свою очередь банит юзера на сутки, с оповещением, мол низя защиту выгружать, однако если защита не увидит процесс - она просто выключится и всё.

Добавлено через 2 минуты
Но опять таки - не каждый юзер умеет работать с хекс-редактором, что бы сменить титл программы. Для этого я сейчас понемногу учусь перехватывать API... К примеру - ловить WriteProcessMemory по отношению к памяти игры.

Добавлено через 2 минуты
Забыл указать - я проверяю не имя exe, а то, что написано в титле программы. Хендлер, шапку, как вам угодно. Даже если у вас будет открыт сайт, и в шапке эксплорера будет написано "Читы для онлайн игры ** ****** скачать Cheat Engine - Internet explorer", защита вас выкинет из игры, забанит, и оповестит меня, что у юзера открыто такое-то окно, а я уже решу - разбанить или наоборот бан продлить.

cpp_developer · 05.03.2011, 01:32

а я уже решу

жестокий ты...

@Gremlin · 05.03.2011, 01:36

меня интересует 1 вопрос как юзеры закрывают защиту? - банально "taskkill ?"
если да то сделайте ее скрытую, пусть тоже голову поломают =)

и еще 1
защита должна работать постоянно? если да то пусть во время работы посылает данные типо "все ок я жива" и если данные перестали приходить то... килл клиент игры

вот кое что нарыл, не вникал еще ссылка т.е. список сервисов узнать можно, правда я не понял на чем написан код

cpp_developer · 05.03.2011, 01:39

Сообщение от Gremlin

если данные перестали приходить

исключительно вследствие зловредных действий пользователя? других причин не может быть по умолчанию?

@Gremlin · 05.03.2011, 01:43

Сообщение от LK

исключительно вследствие зловредных действий пользователя? других причин не может быть по умолчанию?

ну сбой произошел в системе и защита отключилась, пусть перезапустят игру - не проблема
(если в палец попала заноза, вы же не будете весь палец отрубать? поэтому просто принудительно закрыть клиент и оповестить, так мол так, произошло отключение бла бла, перезапустите игру)

@Oskaria · 05.03.2011, 02:02 **[ТС]**

А как я перезапущу клиент, если нет доступа к клиентскому приложению?) Вопрос на засыпку. Если на сервере забанить игрока - его выкинет из игры только в течении часа (раз в час сервер проверяет список банов). Опять таки нет смысла держать защиту постоянно - достаточно её работы во время работы клиента игры. Отправить серверу команду kick тоже нельзя извне - надо зайти в игру под логином админа, прописать команду и только тогда пользователя выкинет. Можно заблокировать доступ его IP на пару секунд, т.е. разорвать соединение по порту для конкретного IP, но я до этого ещё не дорос.

Добавлено через 3 минуты
Закрывают же по-разному. Кто-то кто поумнее, и не ищет лёгких путей написали программу, которая отправляет защите команду закрыться, кто-то через менеджер процессов, пару раз даже умудрились разобрать ексешку гварда и подтёрли блок список (сейчас храню его на сервере). Радует одно - получилось использовать для игры и для защиты один порт, и пользователи уже не могут перекрыв порт, по которому защита передаёт/получает данные, продолжить игру.

Добавлено через 8 минут
Благодарю за пример со списком служб, но сейчас не могу проверить - у меня вин7 х32, а на ней хайд тулз не пашет.

cpp_developer · 05.03.2011, 02:07

не понял на чем написан код

C# ...

@Gremlin · 05.03.2011, 12:42

Oskaria, так зачем посылать kick? яж говорил о том, чтоб закрыть клиент игры тем же "taskkill" например (хотя но форуме где то был хороший вариант)

я так понял что есть ИГРА не ваша, к ней вы пишите защиту
так вот, игра скорее всего использует dll напишите функцию с циклом что то вроде:
for(int i = 0; i < 5; i++)
{
i = 0;
если процесса защиты не видно (закрылась, закрыли итд) то и убить клиент игры
}

и прилепите эту функцию к длл игры

итого будет:
запускается защита
запускается клиент (он подгружает длл и идет проверка = работает ли защита)

@Oskaria · 05.03.2011, 16:37 **[ТС]**

Можно и так, но подшивать dll придётся через дизассемблер, а я этого больно не люблю... Сейчас мне главное запихнуть все необходимые функции конкретно в клиентскую программу защиты. Потом уже её можно будет перевести в dll и так же подшить к игре.

Но запрещена игра в 2 окна. К примеру - написанная мной dll будет запущена как дочерний процесс игры => будет скрываться тем же hide toolz вместе с самой игрой. Защита будет видеть только тот процесс, который не скрыт, и будет считать, что игра запущена только 1 раз.

Новые блоги и статьи Все статьи Все блоги /
Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .	Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	1С: Контроль уникальности заводского номера Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере документа выдачи шин для спецтехники с табличной частью. Данные берутся из регистра сведений, по которому настроено. . .	Хочу заставить корпорации вкладываться в здоровье сотрудников: делаю мат модель здравосохранения anaschu 22.03.2026 e7EYtONaj8Y Z4Tv2zpXVVo https:/ / github. com/ shumilovas/ med2. git
1С: Программный отбор элементов справочника по группе Maks 22.03.2026 Установка программного отбора элементов справочника "Номенклатура" из модуля формы документа. В качестве фильтра для отбора справочника служит группа номенклатуры. Отбор по наименованию группы. . .	Как я обхитрил таблицу Word Alexander-7 21.03.2026 Когда мигает курсор у внешнего края таблицы, и нам надо перейти на новую строку, а при нажатии Enter создается новый ряд таблицы с ячейками, то мы вместо нервных нажатий Энтеров мы пишем любые буквы. . .	Krabik - рыболовный бот для WoW 3.3.5a AmbA 21.03.2026 без регистрации и смс. Это не торговля, приложение не содержит рекламы. Выполняет свою непосредственную задачу - автоматизацию рыбалки в WoW - и ничего более. Однако если админы будут против -. . .	1С: Программный отбор элементов справочника по значению перечисления Maks 21.03.2026 Установка программного отбора элементов справочника "Сотрудники" из модуля формы документа. В качестве фильтра для отбора служит значение перечислений. / / Событие "НачалоВыбора" реквизита на форме. . .

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101

	Как найти скрытые процессы 04.03.2011, 18:42. Показов 8045. Ответов 17 Метки нет (Все метки) Собственно сабж. Если такая тема уже была - прощу прощения, но поиск по форуму не дал результатов. Я пробовал использовать разные примеры для получения списка процессов, но ни один из них не выдал скрытые. Та и по большей части мне не нужны все процессы, мне нужно получить только скрытые, и только имя exe этих процессов. 0

cpp_developer 20124 / 5691 / 417 Регистрация: 09.04.2010 Сообщений: 22,546 Записей в блоге: 1
	04.03.2011, 20:29
	с какой целью ? 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	04.03.2011, 20:45 [ТС]
	Ну вы мою цель знаете - защитить игру от взлома)) Я сделал такой механизм: когда защита видит, что игра выключена, т.е. нет ни окна ни процесса, то защита генерирует лог с результатами работы, и сама отключается. Юзеры теперь просто скрывают процесс игры, защита выгружается, можно делать что угодно. Если же я смогу отследить игру ещё и в скрытых процессах - то даже закрыв защиту вручную (благодарю за предыдущую подсказку) я смогу отправить оповещение на сервер, мол защита была выгружена, когда игра продолжала работать. Везде где я искал предлагается использование уже готовых программ => есть какой-то механизм обнаружения скрытых процессов. 0

cpp_developer 20124 / 5691 / 417 Регистрация: 09.04.2010 Сообщений: 22,546 Записей в блоге: 1
	04.03.2011, 20:56
	очень расплывчатая задача , как искать то, чего вы не знаете ? вот, например, есть код, который выводит весь список процессов в моей системе: system [SYSTEM PROCESS] SYSTEM SMSS.EXE CSRSS.EXE WININIT.EXE CSRSS.EXE WINLOGON.EXE SERVICES.EXE LSASS.EXE LSM.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE SVCHOST.EXE AVASTSVC.EXE SPOOLSV.EXE SVCHOST.EXE HTTPD.EXE SVNSERVE.EXE HTTPD.EXE SVCHOST.EXE GUARDMAILRU.EXE NMSACCESSU.EXE SVCHOST.EXE SEARCHINDEXER.EXE MSCORSVW.EXE TASKHOST.EXE DWM.EXE EXPLORER.EXE AVASTUI.EXE GUARDMAILRU.EXE HOTKEY MASTER.EXE DMASTER.EXE SUPERANTISPYWARE.EXE SKYPE.EXE ORBITDM.EXE QKSPELL.EXE PUNTO.EXE WMPNETWK.EXE SKYPEPM.EXE TOTALCMD.EXE AUDIODG.EXE IEXPLORE.EXE IEXPLORE.EXE SPUTNIKHELPER.EXE SPUTNIKFLASHPLAYER.EXE UEDIT32.EXE BATCHIT.EXE BATCHIT.EXE MAGENT.EXE FIREFOX.EXE PLUGIN-CONTAINER.EXE BDS.EXE TASKHOST.EXE PUBSOURCE.EXE SEARCHPROTOCOLHOST.EXE SEARCHFILTERHOST.EXE PROJECT2.EXE - откуда мне знать, что среди них есть скрытые ? 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	04.03.2011, 21:01 [ТС]
	К сожаления я не знаю как работает тот же самый Hide Toolz. Я лишь могу себе представить... Но вы можете ради интереса, скрыть какой-то процесс этой программой, а потом своей функцией снова получить список процессов. Если у вас Win7 - можете забыть о скрытии процессов, если XP или ниже - попробуйте. При запуске программа сразу скрывает свой процесс, и его уже не видно. Я не знаю как он при этом продолжает работать... Вот нашёл на каком-то "самочка.ком" пример как скрыть процесс. Код большой, но пару строк указывают, что скрываемый процесс регистрируется как системная служба. Чёрт его знает все ли программы типа Hide Toolz работают так же... ЗЫ: аваст 2

@Gremlin 519 / 307 / 58 Регистрация: 30.07.2008 Сообщений: 607
	05.03.2011, 01:24
	Oskaria, спасибо за примерчик, например еще ArtMoney скрывает процесс (хз как но он это делает) если процесс скрывается как показано в примере "самочка.ком", то вам стоит копать в сторону служб и сервисов (у меня с этими двумя совсем туго) зы: в вашей защите которую вы тут описали со скрытым процессом - получается большой баг (если не скрывать то защита его проигнорит) стоит искать большинство известный хак-тулзов, и проверять все окна в винде на их наличие т.к. процесс можно просто напросто переименовать Добавлено через 5 минут кстати CheatEngine можно запустить и спрятать просто переименовав и слегка подправив exe, но он всегда подгружает с собой *dll и с ним в папке находятся его файлы узнаем все запущенные процессы, папки откуда они запущены и содержимое этих папок все это проверяем на совпадение так сказать с БАД_БАЗОЙ (то есть если там есть что то что считается хаком то..."SendMessage("Помогите!!! ломают!!!"); ") и еще кое что, помню как то делал dll которая подгружается автоматом к игре и эта dll подгружала мой exe (который потом не видно было в проыессах) (код совсем непомню, где то тогда его отрыл на одном из забугорных форумов, моему счастью не было придела :dance3 0

@Gremlin 519 / 307 / 58 Регистрация: 30.07.2008 Сообщений: 607
	05.03.2011, 01:36
	меня интересует 1 вопрос как юзеры закрывают защиту? - банально "taskkill ?" если да то сделайте ее скрытую, пусть тоже голову поломают =) и еще 1 защита должна работать постоянно? если да то пусть во время работы посылает данные типо "все ок я жива" и если данные перестали приходить то... килл клиент игры вот кое что нарыл, не вникал еще ссылка т.е. список сервисов узнать можно, правда я не понял на чем написан код 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	05.03.2011, 02:02 [ТС]
	А как я перезапущу клиент, если нет доступа к клиентскому приложению?) Вопрос на засыпку. Если на сервере забанить игрока - его выкинет из игры только в течении часа (раз в час сервер проверяет список банов). Опять таки нет смысла держать защиту постоянно - достаточно её работы во время работы клиента игры. Отправить серверу команду kick тоже нельзя извне - надо зайти в игру под логином админа, прописать команду и только тогда пользователя выкинет. Можно заблокировать доступ его IP на пару секунд, т.е. разорвать соединение по порту для конкретного IP, но я до этого ещё не дорос. Добавлено через 3 минуты Закрывают же по-разному. Кто-то кто поумнее, и не ищет лёгких путей написали программу, которая отправляет защите команду закрыться, кто-то через менеджер процессов, пару раз даже умудрились разобрать ексешку гварда и подтёрли блок список (сейчас храню его на сервере). Радует одно - получилось использовать для игры и для защиты один порт, и пользователи уже не могут перекрыв порт, по которому защита передаёт/получает данные, продолжить игру. Добавлено через 8 минут Благодарю за пример со списком служб, но сейчас не могу проверить - у меня вин7 х32, а на ней хайд тулз не пашет. 0

@Gremlin 519 / 307 / 58 Регистрация: 30.07.2008 Сообщений: 607
	05.03.2011, 12:42
	Oskaria, так зачем посылать kick? яж говорил о том, чтоб закрыть клиент игры тем же "taskkill" например (хотя но форуме где то был хороший вариант) я так понял что есть ИГРА не ваша, к ней вы пишите защиту так вот, игра скорее всего использует dll напишите функцию с циклом что то вроде: for(int i = 0; i < 5; i++) { i = 0; если процесса защиты не видно (закрылась, закрыли итд) то и убить клиент игры } и прилепите эту функцию к длл игры итого будет: запускается защита запускается клиент (он подгружает длл и идет проверка = работает ли защита) 0

@Oskaria 3 / 3 / 0 Регистрация: 10.07.2009 Сообщений: 101
	05.03.2011, 16:37 [ТС]
	Можно и так, но подшивать dll придётся через дизассемблер, а я этого больно не люблю... Сейчас мне главное запихнуть все необходимые функции конкретно в клиентскую программу защиты. Потом уже её можно будет перевести в dll и так же подшить к игре. Но запрещена игра в 2 окна. К примеру - написанная мной dll будет запущена как дочерний процесс игры => будет скрываться тем же hide toolz вместе с самой игрой. Защита будет видеть только тот процесс, который не скрыт, и будет считать, что игра запущена только 1 раз. 0