| Сейчас на форуме: UniSoft, bartolomeo (+6 невидимых) |
 |
eXeL@B —› Программирование —› соседние Pid-клоны |
| Посл.ответ | Сообщение |
|
|
Создано: 28 ноября 2010 16:51 · Личное сообщение · #1 Самостоятельно строю список процессов на машине, парся все PID-в диспетчере задач процесс имеет свой PID у себя я вижу его, и кроме этого идентефикатора, несколько соседних идент выше занимают процессы клоны. Например калькулятор с pid 3280, у себя точно такие же процессы идут еще с 3281 и 3282. Потоки ?  |
|
|
Создано: 28 ноября 2010 17:23 · Личное сообщение · #2 При чём тут потоки, это другой уровень совершенно. 1 процесс имеет несколько соседних пидов, можешь считать это фичей. И парсить пиды не подряд, а через 4. |
|
|
Создано: 28 ноября 2010 18:08 · Личное сообщение · #3 Чем парсишь то? Со стандартными апи у меня не было таких глючков. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 ноября 2010 18:21 · Личное сообщение · #4 Такие пиды можно получить только брутом. Был даже как то детект ольги с фантомом таким способом. |
|
|
Создано: 28 ноября 2010 19:29 · Поправил: ELF_7719116 · Личное сообщение · #5 Archer Есть цепи с более чем 4 пидами-клонами. А есть какое нибудь объяснение этой "фитчи" ? А за "Потоки" - количество клонов, чаще всего совпадает с кол-вом потоков, я эт хотел сказать. Psalmopoeus Pulcher Удачно детектилось? |
|
|
Создано: 28 ноября 2010 19:38 · Личное сообщение · #6 ELF_7719116 пишет: Удачно детектилось? Пока была дыра удачно, но это уже давно прикрыто. |
|
|
Создано: 28 ноября 2010 22:05 · Личное сообщение · #7 PE_Kill Вручную через native Api заметил (в обход CreateToolhelp32Snapshot,ProcessNext...). Затем брутом. Если ход моих мыслей правилен, то в теории, при стандартном подходе получения списка процессов возможно исключить свой процесс из зоны видимости удалив пиды кратные 4 ИЛИ установив пид ведущего процесса сразу нечетным ? |
|
|
Создано: 28 ноября 2010 22:56 · Личное сообщение · #8 ELF_7719116 пишет: Если ход моих мыслей правилен, то в теории, при стандартном подходе получения списка процессов возможно исключить свой процесс из зоны видимости удалив пиды кратные 4 ИЛИ установив пид ведущего процесса сразу нечетным ? Либо я чего то не понимаю, либо я чего то не понимаю  Ты хочешь таким образом скрыть свой процесс? Ничего не выйдет. В EPROCESS (ринг0) можно прописать любой пид, и он будет корректно отображаться. |
|
|
Создано: 29 ноября 2010 09:46 · Личное сообщение · #9 Psalmopoeus Pulcher Тогда какое назначение пид клонов ? |
|
|
Создано: 29 ноября 2010 17:52 · Личное сообщение · #10 ELF_7719116 пишет: Тогда какое назначение пид клонов ? А Гейтс его знает! Фрагмент из ntoskrnl.exe: Code:
arg_0 - переданный ProcessId. |
|
|
Создано: 30 ноября 2010 04:10 · Личное сообщение · #11 Psalmopoeus Pulcher И остается диссасемблить ядро только: А так пока догадки: В [ecx+34h] цифра 4 наверно. Может быть как-то косвенно с потоками связано или кол-вом процессоров на машине. Причем на разных осях кол-во клонов у одного и того приложения неодинаково. Одним словом, Гейтс их знает 
|
|
eXeL@B —› Программирование —› соседние Pid-клоны |
Для печати