Список процессов2

Когда пытаются скрыть какие-нибудь процессы в системе (NT), дело содится к перехвату NtQuerySystemInformation (c SystemProcessesAndThreadsInformation).
Вопросы.
1)Есть ли способ определить список процессов другим способом, который не обращается к NtQuerySystemInformation. (Думаю есть - переписать его. Нужна информация по его работе)?

2) Если нет - то способы обхода такого скрытия? (идея у меня пока только одна - т.к. переделывается чаще всего не весь возвращаемый буфер, а только указатель в списке(NextEntryDelta), есть возможность найти неиспользуемую запись, или хотя бы узнать, что что-то скрывается). Этот способ не надежен.

;D блин вирусописатели.... скажу сразу, забивай на перехваты функций. это гон все...
CreateRemoteThread и WriteProcessMemory тебе должны помочь, читай по поводу
code injection. скользкая довольно тема, давай не будем ее слишком публично обсуждать... тк последствия мне потом если чаго расхлебывать... (сам понимаешь)

Сообщение отредактировано: _IX0DeS - 29.07.03, 22:57

И ещё один "намёк": ключик в реестре, позволяющий заставить эксполер грузить любую длл:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

ЗЫ есть и в 9х

Меня наверно не так поняли. Мне нужно НАЙТИ скрываемые процессы. Это совсем не вирусы.

Есть ещё функции Process32Next/First правда я не знаю, может тоже они работуют через NtQuerySystemInformation

Сообщение отредактировано: OlegGG - 31.07.03, 23:24