Создано: 28 мая 2015 04:19 New! Цитата · Личное сообщение · #1
Подскажите пожалуйста, что подразумевается под этим, в частности в утилите AVZ Олега Зайцева? Я приблизительно догадываюсь что, только мне надо создать код (программу) для идентификации скрытых процессов и их нейтрализации. Давно этим не занимался, может есть готовые работающие примеры? Одни затирают (тема Затираем следы в PEB), другие ищут концы, откуда это берётся. Сам я затираловым не занимась (детство давно не играет), а вот полезными вещами изредка занимаюсь. Заранее спасибо за совет.
Ранг: 599.9 (!) Статус: Модератор Research & Development
Создано: 28 мая 2015 07:33 New! Цитата · Личное сообщение · #2
Для начала стоит почитать цикл статей Ms-Rem, в них довольно доступно разобраны популярные на тот момент методы скрытия. Принципиально ситуация не изменилась; сейчас даже сложнее манипулировать данными о процессах из user mode. Дополнительно рекомендую изучить исходники Process Hacker.
Создано: 28 мая 2015 15:14 · Поправил: 28 мая 2015 15:54 ex_AlexKlm New! Цитата · Личное сообщение · #4
Об Ms-Rem информация из гугла датируется 2007..2009 годами. Вот нашёл на wasm.ru: Поиск скрытых процессов, статья Ms-Rem. Буду изучать. Спасибо за информацию.
Вообще-то прорываться в таблицы дескрипторов процессов (потоков) из user mode связана с трудностями, было бы проще из driver mode и написать для этого драйвер и войти через дверь, а не через окно. Только опять же, нет примеров, во всяком случае у меня. В старом NTDDK тоже ничего подобного из сорцов не нашёл.
Вот, повезло: Download Process Hunter 1.1 + sources (4 January 2006) http://dl.dropbox.com/u/3760172/PHunter%2BPowerKILL.rar - там и драйвер даже есть, что радует. С паскаля в си придётся перегонять, но это не проблема. Уже есть основа!