Скрытие процессов х86+x64 - eXeL@B

Сейчас на форуме: rmn, exp50848 (+7 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 25 августа 2012 21:16 · Поправил: Nightshade · Личное сообщение · #1 Есть такой протектор Frost. Предназначен он для защиты онлайн игр. Одной из его функций является скрытие процесса и защита процесса от чтения и изменения. Теперь самое интересное. Протектор использует драйвера для этого и с недавнего времени они подписали драйвер для х64 систем. А это значит, что можно использовать их драйвер на 64 битных системах, например для скрытия процесса ольки. Код там не сильно сложный. http://rghost.ru/40000130 В архиве 2 драйвера и прога, которая их использует. Code: 013A3A91 \|. 53 PUSH EBX ; /pOverlapped 013A3A92 \|. 8D45 9C LEA EAX,DWORD PTR SS:[EBP-64] ; \| 013A3A95 \|. 50 PUSH EAX ; \|pBytesReturned 013A3A96 \|. 8B45 A0 MOV EAX,DWORD PTR SS:[EBP-60] ; \| 013A3A99 \|. 6A 04 PUSH 4 ; \|OutBufferSize = 4 013A3A9B \|. 8D4D A8 LEA ECX,DWORD PTR SS:[EBP-58] ; \| 013A3A9E \|. 51 PUSH ECX ; \|OutBuffer 013A3A9F \|. 8B08 MOV ECX,DWORD PTR DS:[EAX] ; \| 013A3AA1 \|. 6A 44 PUSH 44 ; \|InBufferSize = 44 (68.) 013A3AA3 \|. 8D95 50FFFFFF LEA EDX,DWORD PTR SS:[EBP-B0] ; \| 013A3AA9 \|. 52 PUSH EDX ; \|InBuffer 013A3AAA \|. 68 0824409C PUSH 9C402408 ; \|IoControlCode = 9C402408 013A3AAF \|. 51 PUSH ECX ; \|hDevice 013A3AB0 \|. 895D A8 MOV DWORD PTR SS:[EBP-58],EBX ; \| 013A3AB3 \|. 895D 9C MOV DWORD PTR SS:[EBP-64],EBX ; \| 013A3AB6 \|. FF15 D0A45001 CALL DWORD PTR DS:[<&KERNEL32.DeviceIoCo>; \DeviceIoControl Скрыть процесс Code: 013A3DE2 \|> \C745 F8 00000>MOV DWORD PTR SS:[EBP-8],0 013A3DE9 \|. C745 F4 00000>MOV DWORD PTR SS:[EBP-C],0 013A3DF0 \|. C745 FC 00000>MOV DWORD PTR SS:[EBP-4],0 013A3DF7 \|. FF15 D8A45001 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; [GetCurrentProcessId 013A3DFD \|. 35 7F917700 XOR EAX,77917F 013A3E02 \|. 6A 00 PUSH 0 ; /pOverlapped = NULL 013A3E04 \|. 05 D8290000 ADD EAX,29D8 ; \| 013A3E09 \|. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX ; \| 013A3E0C \|. 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C] ; \| 013A3E0F \|. 50 PUSH EAX ; \|pBytesReturned 013A3E10 \|. 8B06 MOV EAX,DWORD PTR DS:[ESI] ; \| 013A3E12 \|. 6A 04 PUSH 4 ; \|OutBufferSize = 4 013A3E14 \|. 8D4D F8 LEA ECX,DWORD PTR SS:[EBP-8] ; \| 013A3E17 \|. 51 PUSH ECX ; \|OutBuffer 013A3E18 \|. 6A 04 PUSH 4 ; \|InBufferSize = 4 013A3E1A \|. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] ; \| 013A3E1D \|. 52 PUSH EDX ; \|InBuffer 013A3E1E \|. 68 4424409C PUSH 9C402444 ; \|IoControlCode = 9C402444 013A3E23 \|. 50 PUSH EAX ; \|hDevice 013A3E24 \|. FF15 D0A45001 CALL DWORD PTR DS:[<&KERNEL32.DeviceIoCo>; \DeviceIoControl Убрать скрытие Если точнее скрываться будут процессы созданные прогой. Т е прога говорит драйверу "Защищай мной созданные процессы" \| Сообщение посчитали полезным: Hellspawn, BAHEK, _ruzmaz_, plutos, Dart Raiden, Gideon Vi, ELF_7719116, mak, NikolayD, gena-m

ifareri Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 09 сентября 2012 17:36 · Личное сообщение · #2 Nightshadeпривет, если есть минутка будь добр стукни в скайп chicalda1936 или на почту chicalda1396@yandex.ru есть вопрос, много времени не займу, если поможешь отблагодарю. даю слово
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 09 сентября 2012 17:58 · Личное сообщение · #3 ifareri А ты это в личку ему написать не мог? Nightshade Зря ты это затеял с фростом, вирусописатели уже интересуются этим. Хотя, может, хорошо, что интересуются. Аверы забанят фрост, и будет лулз.
Dart Raiden Ранг: 81.6 (постоянный), 102thx Активность: 0.06↘0.02 Статус: Участник	Создано: 09 сентября 2012 20:13 · Личное сообщение · #4 Просто оставлю это здесь https://kaimi.ru/2012/09/process-hide-tool/ \| Сообщение посчитали полезным: Admintools, amtp
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 09 сентября 2012 22:07 · Поправил: Nightshade · Личное сообщение · #5 Да хрен с ним. Или получим утиль для скрытия или убьем прот. В любом случае в плюсе. Ну а если троянщики сделают скрытые трои... так они это и раньше делали... Надо еще отписать авторам фроста. Мол, что вы думаете по поводу того, что ваш драйвер пользуют все кому не лень, в довольно сомнительных целях)
sub-zero Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 02 декабря 2012 13:10 · Личное сообщение · #6 Перезалейте пожалуйста файл. (http://rghost.ru/40000130 В архиве 2 драйвера и прога, которая их использует.)
amtp Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 февраля 2013 21:09 · Личное сообщение · #7 Перезалейте пожалуйста файл. (http://rghost.ru/40000130 В архиве 2 драйвера и прога, которая их использует.) +++++++++++
amtp Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 февраля 2013 21:13 · Личное сообщение · #8 Nightshade можно с вами связаться?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 18 февраля 2013 21:54 · Личное сообщение · #9 Ну в личку ему написать никак? Обязательно это в топике каком-нибудь запостить?
amtp Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 февраля 2013 22:41 · Личное сообщение · #10 Code: Ну в личку ему написать никак? Обязательно это в топике каком-нибудь запостить? писал уже, его нет онлайн, думал может кто контактами поделится...
antipod Ранг: 9.5 (гость), 4thx Активность: 0.01↘0 Статус: Участник	Создано: 19 февраля 2013 14:32 · Личное сообщение · #11 amtp http://rghost.ru/43911641

<< . 1 . 2 .

Для печати

Для печати