[C++] Маскировка процесса в Windows Task Manager
#1
Отправлено 04 августа 2005 - 11:46
#4
Отправлено 04 августа 2005 - 13:24
а что определённую "строку" удалить нельзя? Или у тебя ограничен список вызываемых методов?Причом я нашёл способ как вообще обнулить весь список в Task Manager'e через прямое обращение к его контролам и Child окнам.
альтернативный вариант - сделать его защищённым, т.е. недоступным для команды End Process (типа как у некоторых антивирусников)
тут копать только в сторону приоритетов, выдаваемых процессу операционной системой... например устанавливать прогу как сервис и как-то поиграться с настройками..
#5
Отправлено 04 августа 2005 - 13:36
http://www.hot.ee/voland/hidingru.txt
#6
Отправлено 04 августа 2005 - 13:58
Для SysListView32 есть такая константа LVM_DELETECOLUMN (удаляет весь столбец), но как из этого List'а вытащить контент и потом удалить конкретную строку я не знаю. Я сегодня ещё поковыряю снова, хотя уверенности у меня всё меньше, что такой способ может сработать.Slash
а что определённую "строку" удалить нельзя? Или у тебя ограничен список вызываемых методов?
#8
Отправлено 04 августа 2005 - 14:10
Вообще для этой проблемы есть несколько вариантов решения.
Покопайтесь по сети, велосипеды давно изобретены.
Добавлено в [mergetime]1123157455[/mergetime]
А пишет он по ходу трояна, что быу денги воровать.
Хехе
#10
Отправлено 04 августа 2005 - 14:29
Пишу полезный тул, который поможет мне немного подкорректировать учёт рабочего времени. Функционал уже закончен, осталось только немного замаскировать.Slash, а что пишеш если не секрет?
А мне другие не очень нужны. Понятное дело его можно будет через SystemInfo углядеть, даже если он как сервис будет. Ну чтоб хотя бы в Task Manager'e не было видно, ну или убить было бы нельзя.Slash, да, и ещё. Ну спрячешся ты от таск мэенеджэра путём удаления строк, а как на счёт других процесс вьюверов?
Сообщение изменено: Slash (04 августа 2005 - 14:31 )
#11
Отправлено 11 августа 2005 - 22:19
Политкорректный способ: запуск процесса и изменение к нему доступа. Реализуется с помощью удаления соответствующих прав из ACL процесса. Документировано частично в MSDN , используется AddAccessDeniedAce, SetSecurityDescriptorDacl и.т.п.
Лобовой способ: перехват (hook) NtQuerySystemInformation и переход к следующему процессу при опросе собственного. В нете есть исходники. Процесс тем не менее можно косвенно обнаружить по его деятельности. Типа доступ к файлам, реестру итд. К тому же, процесс вроде видно на уровне ядра, подробнее не помню.
Элегантный способ: прицепление к чужому процессу.
1) создание удаленного потока (keywords: create remote thread) в существующем процессе. нужны соотв. права доступа.
2) прикрепление собственной библиотеки к существующему процессу посредством хуков (windows hooks). например на сообщения или еще чего
3) загрузка собственной библиотеки средствами опсистемы как плугина или расширяющего модуля. много способов, частично описано в интернете и MSDN