Как это сделать ...... теории наелся ...... примеров нет ..... читал статью с васма скрытие в НТ .... толку без примеров мало ...... с++ к сожалению не знаю так что сишных кодов полно а без толку .......
Какие варианты бывают ? ......ногами не бить ...самоучка

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

А какой язык вообще знаешь ?
Вариант выучить язык какой-нибудь

| Сообщение посчитали полезным:

если теория не помогла, то.. ищи того, кто даст тебе готовый код или напишет все за тебя.
зы. на васме примеры есть

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Я знаю Ассемблер на нем и пишу .....но плохо структуру винды......так получилось что я с него начал ...и вот ..... на васме смотрел примеры .....они на с++ ... честно мне помощь нужна .... учить так и так буду ....а помощь сейчас нузна

А какой язык вообще знаешь ?
Вариант выучить язык какой-нибудь да уж смешно )))))

ну не знаю ....слишком коротко там ....8 строчек как это делается ...и все ... даже хода мысли нет ((((

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

lord_Phoenix пишет:
.. ищи того, кто даст тебе готовый код или напишет все за тебя
Вот mak и ищет.
Я когдато пытался результат =>

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

на васме есть и на delphi примеры.. www.rootkit.com тебе еще в помощь. а вообще, научись задавать вопросы ГУГЛу!

| Сообщение посчитали полезным:

mak пишет:
Какие варианты бывают ?
Вопрос ужасно абстрактный. Если ты собрался скрыть процесс от таскменеджера, то про это уже тома наверное написаны. Если собрался писать трояна. то обсуждение этого в паблике здесь не приветствуется.
Скрыть от каких-то конкретных программ - перехватываешь API, которые они используют и обманываешь.
Про список API тут постоянно спрашивают(и на васме) - ищи, см. тот же С++ Для решения задачки не для тренировки, а по настоящему, требуется Windows знать вдоль и поперек. Когда узнаешь, таких вопросов не будешь задавать.

| Сообщение посчитали полезным:

darkeagle пишет:
а вообще, научись задавать вопросы ГУГЛу!
Задавал ,находил примеры - только в XP нехрена не получается.
tundra37 пишет:
Если собрался писать трояна. то обсуждение этого в паблике здесь не приветствуется.
tundra37 юзер ищет проявление троя не в процессах,а при помощи антивира - кто смог спрячеться от антивирусника и от alt+ctrl+del какнибудь скроется.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

rootkit.com
rootkits.ru
wasm.ru
wasm.ru/forum
29A ezine
vx.netlux.org/
полно информации и примеров....

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Вообще то Ms-Rem уже много раз доказывал, что нормально скрыть процесс невозможно.

| Сообщение посчитали полезным:

Для хэккеров нет ничего невозможного.

| Сообщение посчитали полезным:

MACKLIA пишет:
lord_Phoenix пишет:
.. ищи того, кто даст тебе готовый код или напишет все за тебя
Вот mak и ищет.
Я когдато пытался результат =>
Похоже да .... вопросы гуглу тоже умею задавать ..... конкретнее не зя помочь ? ... на сайтах выше указанных )))) точно также говорят иди туда сюда .... а информация обрывками .... Примерно так получается .... хочу научиться водить машину ....покажите как ...... это даст точчок дальше развиваться ............ ааааа неееет !!!! ты изучи вдоль и поперек машину как устроена а потом води ....

когда начинаешь это не приемлемо и учишься упорством и примерами ....... мое упорство неделю сидит в ауте ...... прошу помощи .....

P.S. мне вообще пофиг на ClickF1 пишет:
А какой язык вообще знаешь ?
Вариант выучить язык какой-нибудь на такие дурацкие унижения ...... саморазвитие главное ... просто помойму тупо писать если не можешь помочь ...... чистой воды флуд ..... Мой вопрос остается открытым ............ Уж извините администраторы за такой настрой ....

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

AdOLF_04 пишет:
Вообще то Ms-Rem уже много раз доказывал, что нормально скрыть процесс невозможно
В ринг-0 не может быть победителей и побежденных; затруднительно скрыться от неизвестных методик обнаружения, ровно как и сложно обнаружить руткит если не известно какие методики для скрытия он использует. Могу одно сказать - концептуально недетектируемого ничего не может быть. Возможна ситуация, когда паблик-антируткиты не ловят какой-то руткит(ы); но еще никому не удавалось доказать существование концептуально не детектирумого руткита, все равно можно найти признаки его присутствия. Недавно авторы rku опубликовали материал и руткит Unreal.A на руткитком, который не ловится тем софтом что есть сейчас в нете. Но могу заверить, что словить его не так и сложно, как заверяют авторы
Все это лишь игра в кошки-мышки...

-----
Research is my purpose

| Сообщение посчитали полезным:

mak пишет:
P.S. мне вообще пофиг на ClickF1 пишет:
А какой язык вообще знаешь ?
Вариант выучить язык какой-нибудь на такие дурацкие унижения ...... саморазвитие главное ... просто помойму тупо писать если не можешь помочь ...... чистой воды флуд .....
Нормальный вопрос, еслиб ты назвал язык, возможно уже получил бы исходники на нём.

Как скрыться от того, кто особо и не ищет.
www.wasm.ru/article.php?article=apihook_1
www.wasm.ru/article.php?article=apihook_2
Что конкретно непонятно? Или тут всё понятно, а тебе охото от всех и вся скрыться?

| Сообщение посчитали полезным:

asd

Ну спасибо тебе !!!!!!! Честно это я не читал !!!!! Щас буду читать ..... А где можно в общих чертах еще глянуть 1. Перехват АПи 2. и т.д. ...??? для общ. разв.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Держи дровину

5e14_10.02.2007_CRACKLAB.rU.tgz - HideProc_ZwQuerySystemInformation.7z

-----
ring 0

| Сообщение посчитали полезным:

mak почитай ,что посоветовал asd
asd пишет:
www.wasm.ru/article.php?article=apihook_1
www.wasm.ru/article.php?article=apihook_2

..там в приложение есть прога ProcHide (10 кб) - посмотри. Измени имя WINLOGON.EXE в Hide.dll на имя своей проги ,а потом сделай из своей вызов Hide.dll У меня получилось

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

apple пишет:
Держи дровину

5e14_10.02.2007_CRACKLAB.rU.tgz - HideProc_ZwQuerySystemInformation.7z
Архив битый ......... Перезалей плиззззз

MACKLIA пишет:
mak почитай ,что посоветовал asd
asd пишет:
www.wasm.ru/article.php?article=apihook_1
www.wasm.ru/article.php?article=apihook_2

..там в приложение есть прога ProcHide (10 кб) - посмотри. Измени имя WINLOGON.EXE в Hide.dll на имя своей проги ,а потом сделай из своей вызов Hide.dll У меня получилось

хахаха хитрюгга ))))) ....знаю , но лучше перепишу это на АСМ и разберусь что к чему ....... мне важно понять ....


Кстати вот такой вопрос ..... можно ли чтобы библиотека была встроена в ехе а потом отделялась ??????
Как это делается ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Получаешь двусвязный список EPROCESS, находишь предыдущий твоему EPROCESS-у и следующий блоки и патчишь указатель предыдущего, чтобы он указывал не на твой, а на следующий за ним, а в следующем - меняешь указатель, чтобы показывал на предыдущий. Таким образом выкидываешь свой процесс из списка.

| Сообщение посчитали полезным:

Кстати www.wasm.ru/print.php?article=apihook_2 в приложении два файла advApiHook (38 кб) и Fire (10 кб). Так у меня при скачивании ,что одного ,что другого антивирусник ругается (NOD32)

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Скрытие процессов - как секс стоя в гамаке. Сначала создаём проблему, а потом решаем.

Error_Log пишет:
концептуально недетектируемого ничего не может быть
blue-pill?

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
blue-pill?


| Сообщение посчитали полезным:

S_T_A_S_ пишет:
blue-pill?
Ну на пЕаре кто-то срубит бабла, вот и все... виртуализация конечно-же открывает много новых возможностей, сам лично не разбирался, но после общения с толковыми людьми понял, что это тоже не абсолютно.

-----
Research is my purpose

| Сообщение посчитали полезным:

www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf страницы 43 44
Абсолютно и концептуально - не совсем одно и то же.

| Сообщение посчитали полезным:

mak пишет
P.S. мне вообще пофиг на ClickF1 пишет:
А какой язык вообще знаешь ?
Вариант выучить язык какой-нибудь на такие дурацкие унижения ...... саморазвитие главное ... просто помойму тупо писать если не можешь помочь ...... чистой воды флуд .....
мда , ну поступай как хочешь, я откуда знаю что ты умеешьзнаешь , и это был не флуд.
Во-первых ты нихрена не объяснил что тебе надо, во вторых ты не написал какой язык ты знаешь, что я ещё мог тебе написать ? грубиян.

| Сообщение посчитали полезным:

AdOLF_04 пишет:
Вообще то Ms-Rem уже много раз доказывал, что нормально скрыть процесс невозможно.
Сейчас посмотрел - alt+ctrl+del нихрена нет ,а в LordPE и PETools видно

ClickF1 пишет:
Во-первых ты нихрена не объяснил что тебе надо
Что ему надобыло указанно в названии темы...

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

mak, вот чать из того исходника.

Операционная система Windows использует функцию ZwQuerySystemInformation, чтобы запрашивать многие разные типы информации. Например, Taskmgr.exe использует эту функцию для получения списка процессов системы. Тип возвращаемой ниформации зависит от требуемого SystemInformationClass. Чтобы получить список процессов, SystemInformationClass установлен в 5, как определено в Microsoft Windows DDK.
Как только Ваш руткит заменил функцию NtQuerySystemInformation в SSDT, ваш перехват может вызвать оригинальную функцию с отфильтрованным результатом.
Информация, содержащаяся в буфере включает структуры _SYSTEM_PROCESSES и их передачу _SYSTEM_THREADS структуры. Один важный пункт в структуре _SYSTEM_PROCESSES это содержание в имени процесса UNICODE_STRING. Есть также два LARGE_INTEGERs содержащий User Mode и Kernel Mode время процесса. Когда Вы скрываете процесс, Ваш руткит должен добавить время, потраченное процессом, к другому процессу так, чтобы все зарегистрированные времена составили в целом 100% времени ЦП.
Следующий код иллюстрирует формат процесса и структур в возвращенном ZwQuerySystemInformation буфере. Функция NewZwQuerySystemInformation фильтрует все процессы, чье название начинается с "_cool_." Она также добавляет время выполнения этих процессов к неактивному (Idle) процессу.

Ее пример, как и весь код, в аттаче.

В только что рассмотренном способе перехвата Ваш Rootkit скроет все имена процессов, имеющих в начале имени строку "_cool_." Имя процесса для скрытия может быть изменено; это только один пример. Есть много других функций в пределах SSDT, которые также могут быть перехвачены.
Теперь, когда Вы имеете лучшее понимание о перехвате of SSDT, давайте поговорим о других местах в ядре, где можно поставить перехват.
Полностью доку можно мотреть здесь

-----
ring 0

| Сообщение посчитали полезным:

Набрёл на один блог
kareldjag.over-blog.com/

| Сообщение посчитали полезным:

mak пишет:
Кстати вот такой вопрос ..... можно ли чтобы библиотека была встроена в ехе а потом отделялась ??????
Как это делается ?
Можно, но сначала с одним разберись, а то ничего не поймёшь

| Сообщение посчитали полезным:

asd пишет:
mak пишет:
Кстати вот такой вопрос ..... можно ли чтобы библиотека была встроена в ехе а потом отделялась ??????
Как это делается ?
Можно, но сначала с одним разберись, а то ничего не поймёшь

Плиз Плиз Плиз как встраивают длл ......... с Хайд проц. этим вроде разобрался .....я перевожу код с С++ на асм ....мне так читабельнее ...будут проблемы выложу сюда посмотреть как перевел .... вот ....

А про библиотеку жду ASD

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: