информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100 		Где водятся OGRыСтрашный баг в WindowsПортрет посетителя
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / programming
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
rootkit.host.sk - готовое решение 27.03.04 16:46  Число просмотров: 1472
Автор: Kerk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
<programming>
[Win32] Обмануть мониторинг использования ресурсов? 27.03.04 00:42  
Автор: Lutien Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В Win NT есть возможность мониторить скоко какой процесс использовал чистого процессорного времени :((
Как ты думаешь, о всезнающий All, можно ли замаскироввать свой процесс, так чтоб мониторинг ничего не обнаруживал?

Можно попробовать отловить запуск, Диспетчера задач, и пока он открывается, по быстрому завершать свой процесс. Но имхо можно как то и проще? Но вот как?
[Win32] Как я уже говорил, 27.03.04 19:31  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Искать в гугле по словам ZwQuerySystemInformation+KeServiceDescriptorTable
Я встречал даже готовый исходник скрывалки процессов
rootkit.host.sk - готовое решение 27.03.04 16:46  
Автор: Kerk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
там и исходник есть 28.03.04 14:08  
Автор: Kerk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Очень хорошо все изложено 28.03.04 16:04  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Только, на мой взгляд, все кроме сервисов (там RPC используется, а я его все еще боюсь :-) ), можно перехватить гораздо легче - патчем на таблицу сервисов. Тогда из третьего кольца вообще невозможно будет заметить, что что-то изменилось (в нынешнем варианте процесс достаточно легко может увидеть, что некоторые записи в таблице экспортов того же ntdll указывают за пределы ntdll-а).

Кто соображает в RPC - киньте в меня докой типа RPC for dummies, чтоб если уж копать RPC, то можно было хоть немного понимать что происходит
и мне тоже доку про RPC киньте, если можно... 29.03.04 14:18  
Автор: Kerk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Гм, посадкой куска руткита... 27.03.04 03:19  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
Тогда можно вообще свой процесс из списка процессов "исключить" для пользователя.
1

Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach