Попалась программка HideToolz от Ms-Rem я никак не могу разобраться какие параметры нада передать zWterminateProcess чтоб эта апи сделала процесс невидимым, если кто копался то подскажите плиз

c6d1_11.09.2008_CRACKLAB.rU.tgz - HideToolz.rar

| Сообщение посчитали полезным:

а где ты там это нашел? Там в списке выбираешь процесс и жмешь Hide и все.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

да неееее, я хо4у написать свою прогу которая делает тоже самое вот тока не могу понять как используется ета апи сама процедура которая меня интерисует находится по адресу 40ED78

| Сообщение посчитали полезным:

тогда сюда
www.rootkit.com/index.php

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

MegaV0lt а вото сдесь -> wasm.ru/article.php?article=apihook_1 не пробовал почитать ?

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Спасиба за ссылку, я нашёл 4то нужную тему, правда там усё по ангельски....ща засяду переводить

| Сообщение посчитали полезным:

MACKLIA да, я когда то о4ень давно 4итал ети статьи, но я не помню 4тобы там говорилось о скрытии процесса НЕ ПЕРЕХВАТЫВАЯ апи

| Сообщение посчитали полезным:

MegaV0lt пишет:
но я не помню 4тобы там говорилось о скрытии процесса НЕ ПЕРЕХВАТЫВАЯ апи

А что разве HideToolz работает по другому принципу ?

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

HideToolz перехватывает апи и действительно передаёт информацию без девайсконтрола через похуканую функу, не создавая вообще в драйвере устройства. Доступ к сорцам или немного реверса вполне позволяют понять, что там происходит.
А теперь вопрос: накой это всё переделывать, если и так нормально работает? Троев поныкать решил своих?

| Сообщение посчитали полезным:

у емня нету сорцов етой програмки (буду благодарен за ссылку:s2, у меня есть тока сама прога которую я пытаюсь повторить... зло я не програмирую)) мне просто интересно как ето работает.

я наверно 4его то не понимаю, мне казалось перехват апи ето установка безусловного прыжка в на4але апи на свой обработ4ик и далее возврат в апи, однако в етой програмке я не встретил таких методов

| Сообщение посчитали полезным:

MegaV0lt пишет:
4его ... на4але ... обработ4ик

замена "ч" на "4" - это теперь заразно что ли?
может стоит поискать другой способ обратить на себя внимание?

| Сообщение посчитали полезным:

ManHunter ты странный....пиши суда пожалуста по теме однако я доволен [4етыре]то ты обратил на меня внимание я прям 4увствую ся выше других

| Сообщение посчитали полезным:

Archer пишет:
А теперь вопрос: накой это всё переделывать, если и так нормально работает?
Вчера запустил HideToolz и получил сходу бсод. ХР СП3.

ЗЫ: достали со своими 4, читать напрягает...Давайте каждый начнет к0веРкаТb 6ykВь| и писать как ему нравится, а все остальные ЭТО расшифровывать?

ЗЫЫ:хотя на варе ща погонял под СП3 на двух виндах-робит всё..Наверно, систему пора менять

| Сообщение посчитали полезным:

MegaV0lt сначала бы статьи Ms Rem'а перечитали несколько раз потом уже брались за опыты.

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Ara пишет:
Вчера запустил HideToolz и получил сходу бсод.

И у меня один раз такое тоже такое было ,хотя раньше ,когда программу смотрел всё нормально работала.Второй раз нормально пошло.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

CODERESS Я их не один раз пере4итывал, 4то то полу4алось а 4то то нет, вот то 4то не полу4ается я про то и спрашиваю

| Сообщение посчитали полезным:

ManHunter пишет:
может стоит поискать другой способ обратить на себя внимание?
Ну так если нет других способов обратить на себя внимание.
MegaV0lt пишет:
Я их не один раз пере4итывал, 4то то полу4алось а 4то то нет, вот то 4то не полу4ается я про то и спрашиваю
Ну вот это же из вредности, так думаю. Либо шутка юмора для избранных. Мы с Ara явно ее не поняли, но наверное должн быть дико весело.

-----
Программист SkyNet

| Сообщение посчитали полезным:

Забаньте его нах..й, задолбал со своими 4.

MegaV0lt пишет:
CODERESS Я их не один раз пере4итывал, 4то то полу4алось а 4то то нет, вот то 4то не полу4ается я про то и спрашиваю
Я даже смысла сообщения не могу уловить, постоянно на цифры отвлекаюсь.

| Сообщение посчитали полезным:

1. Всем закончить с оффтопом.
2. ТопикСтартеру исключить свои 4 или поедет в бан для начала на 3 дня.
3. Насколько я помню, хайдтулз просто в СДТ адреса функций подменяет, проверить это можно любым руткит анхукером типа GMER.

| Сообщение посчитали полезным:

просто вы не пытаетесь вникнуть в то 4то я пишу а просто отве4аете для рейтинга, я имею ввиду какие то вещи написанные в статьях ms-rem у меня полу4аются, а 4то то не выходит

пишу 444444 потому 4то проблемы с клавиатурой, не хо4у ради одной буквы доламывать клавиатуру на ноуте сильно тыкая на ету букву если бы вы меня спросили я бы вам об етом сразу ответил

Archer ты прав она какие то данные суёт в стек перед вызовом zwterminateprocess
кста расшифруй плиз СДТ) и где про ето можно по4итать

| Сообщение посчитали полезным:

MegaV0lt
кста расшифруй плиз СДТ) и где про ето можно по4итать

http://www.rootkit.km.ru/cxema.htm http://www.rootkit.km.ru/cxema.htm
"...Основное взаимодействие с ядром производится через ntdll.dll, большинство функций которой являются переходниками, обращающимся к ядру через прерывание INT 2Eh (следует заметить, что прикладной программе ничто не мешает напрямую вызывать INT 2Eh). Дальнейшее обращение к функциям ядра основана на структуре, именуемой KeServiceDescriptorTable (или сокращенно SDT), расположенной в ntoskrnl.exe. SDT – это таблица, содержащая адреса точек входа сервисов ядра NT."

| Сообщение посчитали полезным:

Спасиба за подробное разъяснение!)

| Сообщение посчитали полезным:

MegaV0lt пишет:
пишу 444444 потому 4то проблемы с клавиатурой
это ваши личные проблемы, решайте ее как угодно. Ткните один раз в блокноте и вставляйте потом по Ctrl+V. Или скопируйте прям тут, на форуме. Вот для образца: Ч и ч. Если будут проблемы с другими буквами - обращайтесь, выдадим весь алфавит, постить можно будет при помощи мышки.

| Сообщение посчитали полезным:

Ara, вот 4то вы как всегда так принципиально настаиваете на своём? я уверен 4то ето вам совсем не мешает а мне ето о4ень удобно!

| Сообщение посчитали полезным:

Это мешает не только мне (а мне мешает), но еще огромной куче народу. Интересно, насколько огромной - создайте топик новый с вопросом. Мне неинтересно читать ЛС с просьбой Вас забанить

| Сообщение посчитали полезным:

| Сообщение посчитали полезным:

MegaV0lt пишет:
я уверен 4то ето вам совсем не мешает а мне ето о4ень удобно!
Кому удобно, а кому нет, есть такие знакомые у меня которые пишут также, и это не очень удобно читать.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

кто нибудь может поделица сорцами хайд тоолз? или дать какой нибудь пример? а то што то никак не полушается

кста я заметил што в процессе работы создаётся в папке temp драйвер.sys играет ли он роль в скрытии процесса или же он используется для других функций етой проги?
у меня стоит вопрос написать программу и скрыть её не используя дополнительных библиотек и драйверов подскажите есть ли ещё какие нибудт меетоды ето сделать

| Сообщение посчитали полезным:

MegaV0lt пишет:
в процессе работы создаётся в папке temp драйвер.sys играет ли он роль в скрытии процесса или же он используется для других функций етой проги?

там все функции работаю в ring0

| Сообщение посчитали полезным:

MegaV0lt пишет:
кто нибудь может поделица сорцами хайд тоолз? или дать какой нибудь пример? а то што то никак не полушается
я знал, что к этому все придет.
зы если хочешь что-нибудь написать - напиши поргу, которая бы меняла тебе 4 на ч.

| Сообщение посчитали полезным: