В общем, решил я сделать публичной одну тулзу (поскольку она всеравно особой ценности не представляет).

Все наверно помнят, что раньше у меня была идея создать плугин для скрытия OllyDbg, но не хватило ни времени, ни желания... Теперь я к этой идее вернулся, но только хочу сделать универсальную тулзу, для скрытия всего чего угодно.
Уже написан драйвер скрывающий процесс и все его следы от ЛЮБЫХ возможных юзермодных методов обнаружения. От аналогов отличается качеством написания, и количетвом учетнных методов обнаружения.

З.Ы. многие наверно скажут что боян, но мне пофиг. Никого юзать не заставляю.

2d7a_04.10.2006_CRACKLAB.rU.tgz - HideToolz.exe

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

TOR пишет:
Не факт,что ее уже не анализируют
А что там анализировать? Занес в базу и все.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Ну и аверы тоже могут в вирусы это записать (если уже не записали)
Фтопку тогда аверы. Кстати, мне не редко попадают "вири" которые попросту падают, т.к. были не корректно обработаны каким- то протом или скрямблером. При этом авири в большинстве(но не все) палят это мертвое г*** как вирь. Вообще не пойму какая с них польза, единственно, если после какой-то секретарши надо восстановить работоспособность зараженных исполняемых файлов, и на этом все... Кстати, из личного опыта, McAfee все что нипопадя за вири принимает
Если авири будут палить эту ОЧЕНЬ нужную и полезную тулзу, то это проблемы тех, кто их юзает

-----
Research is my purpose

| Сообщение посчитали полезным:

Ms-Rem, большое спасибо и за релиз, и за паблик.

| Сообщение посчитали полезным:

Ребят, вы что так беспокоитесь за AV, будет политься, дак будет, какая вам разница. Вы же не собираетесь впуливать сию тулзу кому-либо, а для себя использовать и антивири не помешаютю

| Сообщение посчитали полезным:

Вот что я еще заметил, драйвер мешает переводу системы в гипернахт, что не есть гуд. Остается только перезазрузка и заверщение работы... Подправить никак нельзя?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Хм. Тестил на нескольких компах, все спокойно входят в hibernate. Ты наверно не отключил reboot protection (хотя тогда даже заребутить не даст). Попробуй отключать разные опции до тех пор, пока не заработает, и скажи мне результат.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem, ты был прав, reboot protection не был отключен... Не заметил... Извиняюсь...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Не хватает списка доверительных процессов для reboot protection. Или хотя б опцию, что б через explorer можно было перезагрузиться.

| Сообщение посчитали полезным:

Ок. в следующей версии сделаю такой список.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Найден файлик, который все равно закрывает ProcessExplorer. Хоть путь к нему и прописан в HideTools. Или от поиска по названиям окон или их классов HideTools не спасает? Правда, каким именно способом файлик находит ProcessExplorer я еще не копал. Файл могу выложить.

| Сообщение посчитали полезным:

seeq пишет:
Или от поиска по названиям окон или их классов HideTools не спасает?
Спасает, если стоит галочка hide windows.
Файлик прошу выложить, посмотрим что в нем такое.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Вот файл. Пароль ушел в ПМ

4804_12.10.2006_CRACKLAB.rU.tgz - File.rar

| Сообщение посчитали полезным:

Выложи пароль или в ПМ отправь.Тоже хочется посмотреть на енто

| Сообщение посчитали полезным:

В общем посмотрел. Эта хрень инжектиться в explorer.exe который является родительским процессом для многих запускаемых. А родительскому процессу разрешено видеть и изменять дочерний процесс. Вот поэтому этот червь и видит запущеные из експлорера процессы. Впринципе, в новой версии можно сделать более строгий контроль, разрешающий доступ родительского процесса к дочернему только до момента вызова ZwResumeThread

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem

если есть желание можно встроить в твою прогу фунционал, чтоб можно было длл в определенном процессе скрыть.

ПС: скрываемые процессы нужно однозначно прятать от родительских процессов

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul пишет:
ПС: скрываемые процессы нужно однозначно прятать от родительских процессов

Однозначно прятать (с полным перекрытием доступа) нельзя, ибо после создания процесса еще происходит его инициализация, и запись в его память со стороны родительского процесса. Придется просто отлавливать момент, после которого прятать уже можно.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem молодец!

Спасибо.

хорошо бы сделать чтобы при запуске HideToolz проверял пути уже запущенных процессов на наличие в списке и скрывал их

| Сообщение посчитали полезным:

обнаружить все скрытые процессы можно путем восстановления таблицы SDT. при ее восстановлении, перехваты все снимаются...

а так, респект за прогу!

| Сообщение посчитали полезным:

darkeagle пишет:
путем восстановления таблицы SDT

Врошу прощение за возможно лупый вопрос, каким образом можно восстановить таблицу?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

SDTRestore?

| Сообщение посчитали полезным:

Проты это врядли будут юзать, так как таким образом можно снести хуки защитного софта (хотя это отстойный софт, если не контролирует снос хуков через \device\physicalmemory). А вообще ИМХО прикрыть надо лазейку, это все таки юзер-моде метод (драйвер не надо юзать).

-----
Research is my purpose

| Сообщение посчитали полезным:

KingSise: читай статьи на rootkit.com, их там полно по этой теме.

| Сообщение посчитали полезным:

топик почистил. еще один флудопост - БАН!

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Готов новый релиз утилиты. Из новшеств введено:

1) Защита от SetWindowsHookEx для скрытых процессов.
2) Доступ родительского процесса к дочернему (если он скрытый) обрубается при старте его первого потока.
3) Анти-анти отладка (отдельная опция), которая включает в себя следующее:
1 - Защита от получения debug port процесса
2 - Защита от ThreadHideFromDebugger
3 - Валидация хендлов передаваемых в ZwClose
4) Добавлена совместимость с глючным и кривым KIS6 (да отсохнут руки тех кто его писал)
5) Исправлены мелкие баги.

При обновлении со старой версии на новую, перезагрузка обязательна.

320a_12.01.2007_CRACKLAB.rU.tgz - HideToolz.exe

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Классная тулзина! У меня одна прога все время Ольку палила.. терь заткнулась шикарно багов не заметил! Однозначно маст хэв! Еще одна Фемидой запротекчена была.. тоже отладчик детектила.. терь заткнулась.. тупо конечно на Фемиду с Олькой лезть ды я и не пытаюсь

-----
Researcher

| Сообщение посчитали полезным:

Ms-Rem, благодарствуем

| Сообщение посчитали полезным:

Ms-Rem пишет:
Готов новый релиз утилиты.

Спасибо.

зы. Ты хотел сделать список доверенных приложений, которым позволено Reboot делать.

| Сообщение посчитали полезным:

Спасибо !

Классная тулзина и детектила!

| Сообщение посчитали полезным:

Gideon Vi пишет:
Готов новый релиз утилиты.
И ещё обнаружение скрытых процессов.

| Сообщение посчитали полезным:

Почему-то если скрыть все процессы кроме system и бездействия системы, то прекращает работать меню пуск после первого уровня - меню появляется, а на клики не реагирует. В прочем, баг не критичный, если это вообще баг, учитывая, что explorer-то я тоже скрыл.

| Сообщение посчитали полезным: