Как скрыть процесс

MegaDiablo · 07.05.2006

Как скрыть процесс после нажатия клавиш CRL+ALT+DEL(под Windows XP, 2000), но не используя библиотек( мне надо что бы приложение шло одним EXE файлом). Или подскажите как сделать приложение с библиотекой и всё запихнуть в одну EXE-ку причем запуск библиотеки должен происходить через external.
И как скрыть приложение из списка приложений.

zubr · 07.05.2006

Перехватом функции ZwQuerySystemInformation. Без библиотеки сложно - это надо делать снапшоты процессов в цикле и подзаражать таскменеджер или все процессы.
Запускай дллку из экзешника. Я где то на форуме выкладывал пример запуска экзешника из экзешника без сохранения его на диске, с дллкой тоже самое.

kostindima · 12.05.2006

zubr сказал(а):
Перехватом функции ZwQuerySystemInformation. Без библиотеки сложно - это надо делать снапшоты процессов в цикле и подзаражать таскменеджер или все процессы.
Запускай дллку из экзешника. Я где то на форуме выкладывал пример запуска экзешника из экзешника без сохранения его на диске, с дллкой тоже самое.

Да нет вот так можно обойтись без либы:
Внедрение в процесс кода функции, связанных с ней данных и запуск потока.
Process - хэндл открытого процесса,
Thread - адрес процедуры потока в текущем контексте,
Info - адрес данных передаваемых потоку
InfoLen - размер данных передаваемых потоку
Results - необходимость возврата результата (возврат назад переданных данных)
}
function InjectThread(Process: dword; Thread: pointer; Info: pointer;
InfoLen: dword; Results: boolean): THandle;
var
pThread, pInfo: pointer;
BytesRead, TID: dword;
begin
pInfo := InjectMemory(Process, Info, InfoLen);
pThread := InjectMemory(Process, Thread, SizeOfProc(Thread));
Result := CreateRemoteThread(Process, nil, 0, pThread, pInfo, 0, TID);
if Results then
begin
WaitForSingleObject(Result, INFINITE);
ReadProcessMemory(Process, pInfo, Info, InfoLen, BytesRead);
end;
end;

zubr · 12.05.2006

kostindima
Ты прежде чем постить, хотя бы разберись в вопросе.
1. Что за функция InjectMemory - в MSDN такой нет? Ты по тупому где то увидел этот код и без понятия тут выложил (наверно на www.wasm.ru).
2. Код, что ты выложил, позволяет внедриться в какой то конкретный процесс, но чтобы скрыть свой процесс, надо внедряться во все процессы, которые могут найти твой процесс, таскменеджер только один из них. Поэтому, о чем, я писал во 2 посте, без библиотеки надо делать снапшоты процессов в цикле и подзаражать вновь открывающиеся процессы, имхо совсем некрасивое решение.

kostindima · 13.05.2006

Просто у меня есть Pas'ы по етому вопросу...

(И я етим не пользовался за ненадобностью,я внедрял целый ексешник без Рантайма)

Elvis · 25.05.2006

Читаю и просто стало интересно. Если можно ответьте на следующие вопросы.
1. Можно ли запустить процесс от имени другого процесса (например системного)?
2. Если да то можно ли отследить что или кто именно запустил процесс (какой именно ЕХЕ), ведь в начале до того как внедриться в процесс ,всёравно что-то должно запускаться и не возникнет каких либо конфликтов в системе?

kostindima · 25.05.2006

Elvis сказал(а):
Читаю и просто стало интересно. Если можно ответьте на следующие вопросы.
1. Можно ли запустить процесс от имени другого процесса (например системного)?
2. Если да то можно ли отследить что или кто именно запустил процесс (какой именно ЕХЕ), ведь в начале до того как внедриться в процесс ,всёравно что-то должно запускаться и не возникнет каких либо конфликтов в системе?

1Возможно внедрение в него потока
2возможно сделать,чтобы "левоый"CreateProcess слал какието данные другой проге,напривер через АПИ,конфликты могут возникнуть в некоторых случаях,например:Внедряймая либа с рантаймом.

zubr · 25.05.2006

Для: kostindima
Внедрение потока - это немного не то. Это запуск своего процесса или потока в адресном пространстве заражаемого процесса.

1. Можно ли запустить процесс от имени другого процесса (например системного)?

Можно запускать процесс из сервиса, он будет работать в 3-ем кольце, но на правах системного сервиса.

2. Если да то можно ли отследить что или кто именно запустил процесс (какой именно ЕХЕ), ведь в начале до того как внедриться в процесс ,всёравно что-то должно запускаться и не возникнет каких либо конфликтов в системе?

Для этого надо опять таки перехватывать функцию ZwQuerySystemInformation. У нее один из параметров - структура типа:

Код:

SYSTEM_PROCESSES = packed record
NextEntryDelta,
ThreadCount: dword;
Reserved1 : array [0..5] of dword;
CreateTime,
UserTime,
KernelTime: LARGE_INTEGER;
ProcessName: TUnicodeString;
BasePriority: dword;
ProcessId,
InheritedFromProcessId,
HandleCount: dword;
Reserved2: array [0..1] of dword;
VmCounters: VM_COUNTERS;
IoCounters: IO_COUNTERS; // Windows 2000 only
Threads: array [0..0] of SYSTEM_THREADS;
end;

Используя InheritedFromProcessId, можно определить процесс-родитель.

Guest · 11.07.2006

zubr сказал(а):
Я где то на форуме выкладывал пример запуска экзешника из экзешника без сохранения его на диске, с дллкой тоже самое.

А хде?

Я искал, не нашел!

zubr · 11.07.2006

~~link removed~~

Все сервисы Codeby

Поиск

Поиск

Как скрыть процесс

MegaDiablo

zubr

kostindima

zubr

kostindima

Elvis

kostindima

zubr

Guest

zubr