Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Процессы в WinNT и Win9x 17.05.01 11:12 Число просмотров: 741
Автор: z0 <z0> Статус: Member
|
> Хочу спросить, возможно-ли вообще как-нибудь скрыть от task
> managera выполнение задачи или процесса, т.е. написать
> программу которая работает, но в taskmanagere не видна
> вообще....
в нт-шке есть такой double-linked list в памяти который есть список всех процесов на которые шедьюлер IPQ0 передает управление. в него входят все запущенные CreateProcess-ом программы в том числе и сервисные и драйверы. я тогда для прикола прямо в памяти в отладчике написал микроскопическую прогу, живущую в области данных сообщения об ошибках какого-то драйверка и перехватывающую SYSCALL int 2e (да именно как в старом добром мс-досе). забавно что поскольку для cs я использовал естественно дескриптор 0-го кольца я не мог использовать WIN32 функции напрямую. такая программа ТОЧНО не видна в списке задач (ее там и нет собственно). остальные проги МОЖНО видеть если не таск менеджером так чем-нибудь другим.
с чикагой все значительно проще, вот как мы недавно прикалывались:
1) на любом языке например асме пишется пустой экзешник типа
push dword 0
call exitprocess
2) в нем же указываешь что есть еще длл к нему
3) в длл пишешь так
entry_point:
mov eax,[esp+8]
test eax,eax
jz detach_process
mov eax,1
retn 0ch
detach_process:
; вот тут и работай. с этого момента чикага считает процесс убитым и ни в каких списках его не покажет
mov eax,1
retn 0ch
|
|
<hacking>
|
Процессы в WinNT и Win9x 17.05.01 07:54
Автор: serpent Статус: Незарегистрированный пользователь
|
|
Хочу спросить, возможно-ли вообще как-нибудь скрыть от task managera выполнение задачи или процесса, т.е. написать программу которая работает, но в taskmanagere не видна вообще....
|
|
Процессы в WinNT и Win9x 17.05.01 11:12
Автор: z0 <z0> Статус: Member
|
> Хочу спросить, возможно-ли вообще как-нибудь скрыть от task
> managera выполнение задачи или процесса, т.е. написать
> программу которая работает, но в taskmanagere не видна
> вообще....
в нт-шке есть такой double-linked list в памяти который есть список всех процесов на которые шедьюлер IPQ0 передает управление. в него входят все запущенные CreateProcess-ом программы в том числе и сервисные и драйверы. я тогда для прикола прямо в памяти в отладчике написал микроскопическую прогу, живущую в области данных сообщения об ошибках какого-то драйверка и перехватывающую SYSCALL int 2e (да именно как в старом добром мс-досе). забавно что поскольку для cs я использовал естественно дескриптор 0-го кольца я не мог использовать WIN32 функции напрямую. такая программа ТОЧНО не видна в списке задач (ее там и нет собственно). остальные проги МОЖНО видеть если не таск менеджером так чем-нибудь другим.
с чикагой все значительно проще, вот как мы недавно прикалывались:
1) на любом языке например асме пишется пустой экзешник типа
push dword 0
call exitprocess
2) в нем же указываешь что есть еще длл к нему
3) в длл пишешь так
entry_point:
mov eax,[esp+8]
test eax,eax
jz detach_process
mov eax,1
retn 0ch
detach_process:
; вот тут и работай. с этого момента чикага считает процесс убитым и ни в каких списках его не покажет
mov eax,1
retn 0ch
|
|
|
подробно о проекте
Анализ криптографических сетевых...
