Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.144.38.24] |
|
Сообщ.
#1
,
|
|
|
Когда пытаются скрыть какие-нибудь процессы в системе (NT), дело содится к перехвату NtQuerySystemInformation (c SystemProcessesAndThreadsInformation).
Вопросы. 1)Есть ли способ определить список процессов другим способом, который не обращается к NtQuerySystemInformation. (Думаю есть - переписать его. Нужна информация по его работе)? 2) Если нет - то способы обхода такого скрытия? (идея у меня пока только одна - т.к. переделывается чаще всего не весь возвращаемый буфер, а только указатель в списке(NextEntryDelta), есть возможность найти неиспользуемую запись, или хотя бы узнать, что что-то скрывается). Этот способ не надежен. |
Сообщ.
#2
,
|
|
|
;D блин вирусописатели.... скажу сразу, забивай на перехваты функций. это гон все...
CreateRemoteThread и WriteProcessMemory тебе должны помочь, читай по поводу code injection. скользкая довольно тема, давай не будем ее слишком публично обсуждать... тк последствия мне потом если чаго расхлебывать... (сам понимаешь) |
Сообщ.
#3
,
|
|
|
И ещё один "намёк": ключик в реестре, позволяющий заставить эксполер грузить любую длл:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad ЗЫ есть и в 9х |
Сообщ.
#4
,
|
|
|
Меня наверно не так поняли. Мне нужно НАЙТИ скрываемые процессы. Это совсем не вирусы.
|
Сообщ.
#5
,
|
|
|
Есть ещё функции Process32Next/First правда я не знаю, может тоже они работуют через NtQuerySystemInformation
|