eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 1 марта!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: stran34 (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Программирование —› Маскировка процесса
Посл.ответ Сообщение

Ранг: 4.0 (гость)
Статус: Участник

Создано: 28 мая 2015 04:19 New!
Цитата · Личное сообщение · #1

Подскажите пожалуйста, что подразумевается под этим, в частности в утилите AVZ Олега Зайцева?
Я приблизительно догадываюсь что, только мне надо создать код (программу) для идентификации скрытых процессов и их нейтрализации. Давно этим не занимался, может есть готовые работающие примеры?
Одни затирают (тема Затираем следы в PEB), другие ищут концы, откуда это берётся. Сам я затираловым не занимась (детство давно не играет), а вот полезными вещами изредка занимаюсь. Заранее спасибо за совет.


Ранг: 577.9 (!)
Статус: Модератор
Research & Development

Создано: 28 мая 2015 07:33 New!
Цитата · Личное сообщение · #2

Для начала стоит почитать цикл статей Ms-Rem, в них довольно доступно разобраны популярные на тот момент методы скрытия. Принципиально ситуация не изменилась; сейчас даже сложнее манипулировать данными о процессах из user mode.
Дополнительно рекомендую изучить исходники Process Hacker.

Ранг: 138.7 (ветеран)
Статус: Участник

Создано: 28 мая 2015 07:50 · Поправил: 28 мая 2015 07:51 crc1 New!
Цитата · Личное сообщение · #3

Jupiter пишет:
рекомендую изучить исходники Process Hacker.

Юпитер наверно имел ввиду Process Hunter от Ms-Rem'a

Ранг: 4.0 (гость)
Статус: Участник

Создано: 28 мая 2015 15:14 · Поправил: 28 мая 2015 15:54 ex_AlexKlm New!
Цитата · Личное сообщение · #4

Об Ms-Rem информация из гугла датируется 2007..2009 годами. Вот нашёл на wasm.ru: Поиск скрытых процессов, статья Ms-Rem. Буду изучать. Спасибо за информацию.

Вообще-то прорываться в таблицы дескрипторов процессов (потоков) из user mode связана с трудностями, было бы проще из driver mode и написать для этого драйвер и войти через дверь, а не через окно. Только опять же, нет примеров, во всяком случае у меня. В старом NTDDK тоже ничего подобного из сорцов не нашёл.

Вот, повезло:
Download Process Hunter 1.1 + sources (4 January 2006) http://dl.dropbox.com/u/3760172/PHunter%2BPowerKILL.rar
- там и драйвер даже есть, что радует. С паскаля в си придётся перегонять, но это не проблема. Уже есть основа!
 eXeL@B —› Программирование —› Маскировка процесса

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS