Скрытие сервиса в SCM

Сейчас на форуме: asfa, bartolomeo, hgdagon (+6 невидимых)

Посл.ответ	Сообщение
Denis_2006 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 26 мая 2006 16:31 · Личное сообщение · #1 Всем добрый день. Нашел статью которая как там написано позволяет скриывать сервисы в винде. Очень полезная вещь иногда. www.rootkit.com/newsread.php?newsid=419 Но проблема в том что я никогда не писал драйверы не могу понять что надо сделать что бы заставить этот код работать. Буду очень признателен за рекомендации - задачка и вправду интересная.

Denis_2006 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 26 мая 2006 16:54 · Личное сообщение · #2 Уважаемые постоянные форумчане. Вы хотя бы ответьте интересна ли данная тема и вообще по адрессу ли я зашел?
Paxan Ранг: 104.1 (ветеран) Активность: 0.07↘0 Статус: Участник искатель истЕны	Создано: 26 мая 2006 17:04 · Личное сообщение · #3 Denis_2006 скачать DDK и читать ст0тьи с wasm.ru Four-F
S_T_A_S_ Ранг: 163.7 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 26 мая 2006 17:17 · Личное сообщение · #4 Denis_2006 Прочитай внимательно статью ещё раз - ничто не мешает делать все тоже самое из юзерленда (кроме жалания взять и заюзать готовый код)
Viktoro Ранг: 116.9 (ветеран) Активность: 0.04↘0 Статус: Участник	Создано: 26 мая 2006 17:21 · Личное сообщение · #5 можно сделать ещё проще, читай про перехват API функций в NT ----- Nothing just happens. You choose it to happen.
S_T_A_S_ Ранг: 163.7 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 26 мая 2006 17:28 · Личное сообщение · #6 Это проще, но не даст результата - кто-нибудь просканирует список руками ;)
intty Ранг: 122.3 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 26 мая 2006 18:02 · Поправил: intty · Личное сообщение · #7 хотим значит писать троянчегов но не умеем компелировать протев. а вообще поставить ддк и посмотреть как собираются экзамплы.
Ms-Rem Ранг: 120.6 (ветеран) Активность: 0.09↘0 Статус: Участник rootkit developer	Создано: 27 мая 2006 07:44 · Личное сообщение · #8 По поводу непонимания кода с rootkit.com ничем не могу помочь (так как голову надо свою иметь), но хочу добавить, что для скрытия сервиса описаново там метода будет мало. Программа может получить список сервисов еще из реестра (а значит нужны апи хуки), может сдампить ветку реестра через ZwSaveKey и парсить вручную, может через ZwQueryKey получить количество ключей в ветке реестра и сравнить с кол-вом полученым при перечислении (многие руткиты это не обрабатывают), ну и в крайнем случае может прочитать файл реестра прямым обращением к диску. Если хочеться полной невидимости сервиса от руткит детекторов, то хорошо подумай как все ети случаи будешь обрабатывать. Собственно, среди них сложно обработать только чтение файла реестра с диска. Делать все это настоятельно рекомендую в драйвере, но прежде чем ставить SDT хуки подумай о том, что эти хуки тоже придется както скрывать (есть много софта который их детектит). Если ты скрываешь загруженый драйвер, то не забудь корректно удалить его из LoadedModulesList, а также не забудь про программы сканирующие память в поисках таких скрытых драйверов (вроде modgreper). Короче говоря, учись писать драйвера, и вперед к невидимому руткиту ----- Скажем дружно - нафиг нужно.

Для печати