Хочу спросить, возможно-ли вообще как-нибудь скрыть от task managera выполнение задачи или процесса, т.е. написать программу которая работает, но в taskmanagere не видна вообще....
Процессы в WinNT и Win9x17.05.01 11:12 Автор: z0 <z0> Статус: Member
> Хочу спросить, возможно-ли вообще как-нибудь скрыть от task > managera выполнение задачи или процесса, т.е. написать > программу которая работает, но в taskmanagere не видна > вообще.... в нт-шке есть такой double-linked list в памяти который есть список всех процесов на которые шедьюлер IPQ0 передает управление. в него входят все запущенные CreateProcess-ом программы в том числе и сервисные и драйверы. я тогда для прикола прямо в памяти в отладчике написал микроскопическую прогу, живущую в области данных сообщения об ошибках какого-то драйверка и перехватывающую SYSCALL int 2e (да именно как в старом добром мс-досе). забавно что поскольку для cs я использовал естественно дескриптор 0-го кольца я не мог использовать WIN32 функции напрямую. такая программа ТОЧНО не видна в списке задач (ее там и нет собственно). остальные проги МОЖНО видеть если не таск менеджером так чем-нибудь другим.
с чикагой все значительно проще, вот как мы недавно прикалывались:
1) на любом языке например асме пишется пустой экзешник типа
push dword 0
call exitprocess
2) в нем же указываешь что есть еще длл к нему
3) в длл пишешь так
entry_point:
mov eax,[esp+8]
test eax,eax
jz detach_process
mov eax,1
retn 0ch
detach_process:
; вот тут и работай. с этого момента чикага считает процесс убитым и ни в каких списках его не покажет
mov eax,1
retn 0ch
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
