Нахождение скрытого процесса

Сейчас на форуме: Rio, tyns777, zombi-vadim (+7 невидимых)

Посл.ответ	Сообщение
xdeadlyx Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 25 августа 2014 17:38 · Личное сообщение · #1 Всем привет! Надеюсь на конструктивный диалог и ваши подсказки). Проблема торчит с 2011 года, в нете не нашел толкового решения, итак на 64 ос процесс l2.exe не скрыт(Не отображается через стандартные средства и функции), на 32 битных скрыт полностью, просмотреть можно через программу Spyware Process Detector, эта замечательная программа ее видит но помечает как "скрытый"( может кто знает как она находит его). тестовая ось 7 32 бита Изначально думал что просто где то идет перехват в системе функции zwQuerySystemInformation, написал простенькую прогу на плюсах: Code: typedef struct _SYSTEM_PROCESS_INFO { ULONG NextEntryOffset; ULONG NumberOfThreads; LARGE_INTEGER Reserved[3]; LARGE_INTEGER CreateTime; LARGE_INTEGER UserTime; LARGE_INTEGER KernelTime; UNICODE_STRING ImageName; ULONG BasePriority; HANDLE ProcessId; HANDLE InheritedFromProcessId; }SYSTEM_PROCESS_INFO, PSYSTEM_PROCESS_INFO; int* _tmain(int argc, _TCHAR* argv[]) { NTSTATUS status; PVOID buffer; PSYSTEM_PROCESS_INFO spi; buffer = VirtualAlloc(NULL, 1024 * 1024, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); spi = (PSYSTEM_PROCESS_INFO)buffer; _asm { push NULL push 1024 * 1024 push spi push SystemProcessInformation mov eax, 0x105 mov edx, esp int 0x2e add esp, 10; add esp, 4; } while (spi->NextEntryOffset) { printf("\nProcess name: %ws \| Process ID: %d\n", spi->ImageName.Buffer, spi->ProcessId); spi = (PSYSTEM_PROCESS_INFO)((LPBYTE)spi + spi->NextEntryOffset); } getchar(); VirtualFree(buffer, 0, MEM_RELEASE); return 0; } то есть на прямую вызывается системное прерывание в обход всех функций, но сюрпрайз программы l2.exe все равно нет в структуре, как еще можно обнаружить скрытый процесс?

Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 25 августа 2014 17:52 · Личное сообщение · #2 это делается через драйвер Вот парочка мониторов с исходниками http://processhacker.sourceforge.net/ http://yaprocmon.sourceforge.net/
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 25 августа 2014 17:55 · Личное сообщение · #3 Ремовский hide toolz его не видит?
xdeadlyx Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 25 августа 2014 18:02 · Личное сообщение · #4 Спасибо за столь оперативный ответ, но к сожалению hide toolz,http://processhacker.sourceforge.net/,http://yaprocmon.sourceforge.net/, не видят данный процесс(
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 25 августа 2014 18:54 · Личное сообщение · #5 xdeadlyx пишет: официальный сервер все серьезно Сталобыть там GameGuard висит на клиенте. Ищи инфу по нему. А вообще, тему скорее всего прикроют, т.к. тут не любят читы и читеров
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 25 августа 2014 19:23 · Личное сообщение · #6 По поводу вызова прерывания напрямую-это обойдёт всего лишь ринг3 перехваты, но никак не драйвер, читай схему устройства апи винды. Что касается по теме-явно не помешает почитать статью MsRem Обнаружение скрытых процессов. Вместо издохшего васма найти можно где-нить тут http://nepanda.net/wasm/print.php-article=hiddndt.htm или в гугле. А теперь конкретно: сам-то что сделал, кроме написания бесполезного кода? Все эти проты к игрушкам регулярно обсасываются.
xdeadlyx Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 25 августа 2014 22:44 · Личное сообщение · #7 Archer пишет: По поводу вызова... большое спасибо за ответ, я в принципе так и подумал, боюсь мое знание на уровне драйверов стремиться к минимуму, по поводу обсасывания не соглашусь т.к. эта защита "фрост" не обновлялась с 2010 года!, то есть публичного решения нет, и я сильно сомневаюсь, что оно мудреное, что я сделал, процесс l2.exe запускает некий лаунчер launcher.exe(название другое), так вот любой процесс который создает этот лаунчер(параметры запуска дефолтные для процесса, пробовал менять на блокнот создался скрытый процесс блокнота)), создаются скрытые, обход я нашел, перехватывать вызов этого процесса(createprocess) и просто копировать команду запуска, вставлять ее в ярлык и запускать через ярлык, тогда процесс не скрытый, но мне интересна сама технология по которой скрывается процесс, большое спасибо за ссылку, с удовольствием почитаю).
redlord Ранг: 33.4 (посетитель), 24thx Активность: 0.02↘0 Статус: Участник	Создано: 25 августа 2014 23:57 · Личное сообщение · #8 http://exelab.ru/f/action=vthread&forum=1&topic=20263 \| Сообщение посчитали полезным: xdeadlyx
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 26 августа 2014 03:33 · Личное сообщение · #9 http://fyyre.ivory-tower.de/ \| Сообщение посчитали полезным: xdeadlyx

Для печати