Как это сделать ...... теории наелся ...... примеров нет ..... читал статью с васма скрытие в НТ .... толку без примеров мало ...... с++ к сожалению не знаю так что сишных кодов полно а без толку .......
Какие варианты бывают ? ......ногами не бить ...самоучка

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

asd пишет:
можно ли чтобы библиотека была встроена в ехе а потом отделялась
rootkits.ru/library/ShowLib.aspx?id_l=21 пункт Извлечение .sys файла из ресурсов

-----
ring 0

| Сообщение посчитали полезным:

Ресурсы - это очень сложно


# bin2cpp.pl

# Ахтунг! движок форума жостко гонит со слешами, я не виноват.

$columns = 16;

foreach $arg (0 .. $#ARGV)
{
$file = $ARGV[$arg];
print "\nProcessing file `$file'\n";
open(IN, $file) or die "Can't open file: $!";
binmode(IN);

open(OUT, ">$file.cpp") or die "Can't open output file: $!";
print OUT "unsigned char data [] =\n{\n";

$column = 0;
while ( ! eof(IN) )
{
print OUT ' ' unless $column;
printf OUT "0x%02X, ", ord(getc(IN));
$column = 0 if ++$column >= $columns;
print OUT "\n" unless $column;
}
print OUT "\n};\n";
close(OUT);
close(IN);
}


// cpp

static inline
int drop_pe(const char file_name[])
{
HANDLE f = CreateFileA(file_name, FILE_ALL_ACCESS, 0, 0, CREATE_ALWAYS, 0, 0);
DWORD written;
const int r = WriteFile(f, data, sizeof(data), &written, 0);
CloseHandle(f);
return r;
}


На fasme bin2cpp.pl делается средствами компилятора.

| Сообщение посчитали полезным:

apple
Сейчас читать лень, там про сброс из ресурсов, судя по названию?

S_T_A_S_
А ну на диск, конечно, легко сбросить. Я почему-то подумал, что всё в памяти сделать надо.

А про библиотеку жду ASD
И что я сделать должен, пару страниц исходников запостить?

Если подойдёт сброс на диск - то вон сколько способов, а если не подойдёт - изучай пе формат и процес загрузки длл.

| Сообщение посчитали полезным:

Если не надо дропать файл на диск, то зачем что-то "разделять"?

| Сообщение посчитали полезным:

asd пишет:
Сейчас читать лень, там про сброс из ресурсов, судя по названию?
Да. Самый банальный сброс ресурсов.

-----
ring 0

| Сообщение посчитали полезным:

apple
Мне нужен трой со скрытием процесса и невидимостью в фаерволлах. Сколько это будет стоить?

| Сообщение посчитали полезным:

Infernal_Terror пишет:
Мне нужен трой со скрытием процесса и невидимостью в фаерволлах. Сколько это будет стоить?
Чувствую, меня скоро постигнет участь Ms-Rem (не в плане высокого рейтинга как программиста): навесят на меня звание "rootkit developer" и будут ломиться все за приватными троями и руткитами.
На заказ троев я не делаю, впрочем, как и не продаю. Пока есть средства на жизнь .

Продают обычно за тысячи три баксов, если есть готовая реализация, работающая в нескольких версия виндовс и без исходников.
[add]
Про разработку с нуля я писал на васме.
Если обход файервола тебе не нужен, то сумма уменьшается на порядок, а то и меньше.

-----
ring 0

| Сообщение посчитали полезным:

Нет, вы точно жидохэккер и скаммерсант, а стало быть вам надо покаяться (В МЕСТЕ МЫ С ИЛА), и скомпелировать немного этих руткитов.

| Сообщение посчитали полезным:

Infernal_Terror пишет:
Нет, вы точно жидохэккер и скаммерсант, а стало быть вам надо покаяться (В МЕСТЕ МЫ С ИЛА), и скомпелировать немного этих руткитов.
Отголоски БЭХОЦЕ? Мессир, прибей последнего одепта.

-----
ring 0

| Сообщение посчитали полезным:

А вы не боитесь, что одепты похэкают ваш сайтес? Мы это можем устроить.

| Сообщение посчитали полезным:

Infernal_Terror пишет:
А вы не боитесь, что одепты похэкают ваш сайтес? Мы это можем устроить.
Что за бред .....с жалобами не сюда .....тема другая ...

asd пишет:
А про библиотеку жду ASD
И что я сделать должен, пару страниц исходников запостить?
хахаха нееетт ...просто ты так написал что я подумал расскажешь ....вот ...
apple пишет:
asd пишет:
можно ли чтобы библиотека была встроена в ехе а потом отделялась
rootkits.ru/library/ShowLib.aspx?id_l=21 пункт Извлечение .sys файла из ресурсов

Да это тоже класно .......... просто когда быстро это просматривал ....отбросил вариант .....так как с С++ я не знаком ..... Асм или Делфя на крайняк ...... Все равно Большое спасибо !!!!!S_T_A_S_ пишет:
Ресурсы - это очень сложно


# bin2cpp.pl

# Ахтунг! движок форума жостко гонит со слешами, я не виноват.

$columns = 16;

Что это такое ??? ...Я не знаю Си

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

bin2cpp.pl - скрипт на перле, который преобразует бинарник в пригодный для drop_pe() сорец.
В fasm вместо этого есть директива file.

| Сообщение посчитали полезным:

Infernal_Terror пишет:
Мне нужен трой со скрытием процесса и невидимостью в фаерволлах. Сколько это будет стоить?
Отжиг просто улет apple пишет:
Если обход файервола тебе не нужен, то сумма уменьшается на порядок, а то и меньше
Интуиция мне подсказывает, что товарисч Infernal_Terror просто всех разводит (оригинальным способом)
mak
Для начала рекомендую почитать стотью Ms-Rem про обнаружение скрытых процессов и последовательно, шаг за шагом, преодолеть каждый из способов (это вполне реально). Если расчитваешь на готовый код - лучше сразу пей йад, и забудь про качественное скрытие процессов, без включения моска успеха не достичь. И вообще, мы все равно похекаем ваши руткитесы (с).

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
mak
Для начала рекомендую почитать стотью Ms-Rem про обнаружение скрытых процессов и последовательно, шаг за шагом, преодолеть каждый из способов (это вполне реально). Если расчитваешь на готовый код - лучше сразу пей йад, и забудь про качественное скрытие процессов, без включения моска успеха не достичь. И вообще, мы все равно похекаем ваши руткитесы (с).

ХМ .... кто это мы ???? или важные персоны говорят о себе во множественном числе ))))))))) можно подумать я вот тут сижу и думаю как бы Error_Log замочить хахаха
все в целях самообразования ........... в нете много исходников рабочих ...которые можно собрать и использовать ........... я же хочу изучить с целью поднятия проф. уровня .......

Вот .... Пасибки за совет

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Читать всё веселей

Думаю где-нть пригодится
Утилита от Jacob Lorch's
msdn.microsoft.com/msdnmag/issues/1000/VTrace/
www.cs.berkeley.edu/~lorch/vtrace
VTrace source page
www.cs.berkeley.edu/~lorch/vtrace/source/

| Сообщение посчитали полезным:

Заводить процесс - это лажа для руткита... Слишком много тонкостей, тогда как польза от полноценного процесса весьма сомнительна. Все что надо, можно сделать из ядра. На крайняк - можно жить в чужих процессах.

| Сообщение посчитали полезным:

Угу, и отмониторить просто, если процесс создан, но не завершился и его нет - значит он скрыт =)

| Сообщение посчитали полезным:

MoonShiner пишет:
Получаешь двусвязный список EPROCESS, находишь предыдущий твоему EPROCESS-у и следующий блоки и патчишь указатель предыдущего, чтобы он указывал не на твой, а на следующий за ним, а в следующем - меняешь указатель, чтобы показывал на предыдущий. Таким образом выкидываешь свой процесс из списка.

все бы хорошо только планировщик тоже забудет о процессе

-----
have a nice day

| Сообщение посчитали полезным:

MoonShiner, еще надо время ЦПУ править, чтобы в сумме дало 100%
[add]
Это я про EPROCESS

-----
ring 0

| Сообщение посчитали полезным:

Nimnul пишет:
все бы хорошо только планировщик тоже забудет о процессе
Учи матчасть про руткитосы, а потом убей сибя.

| Сообщение посчитали полезным:

MoonShiner пишет:
Заводить процесс - это лажа для руткита... Слишком много тонкостей, тогда как польза от полноценного процесса весьма сомнительна. Все что надо, можно сделать из ядра. На крайняк - можно жить в чужих процессах.

Нуда ....верно ....на файловом топике книг вроде кто то хотел книгу выложить .....про руткитесы и спайварэ ....... интересно глянуть ..... вообще я много чего нашел про скрытие процессов ........но не мог найти раньше потому что не знал как это назвать ....... апи скрытие или еще как ........ поэтому пару строчек названий ....апи и т.д . смотри там и все ..... )))))))) кстати ту библиотеку найд ..........у меня ни один ехе не скрывает .........а только по пиду .............и все ...... хотя у других работает ....СП2 + атлон 2х 4000+ 64бит... у меня ....мож. есть особенности

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
Нуда ....верно ....на файловом топике книг вроде кто то хотел книгу выложить .....про руткитесы и спайварэ
Скачай "Rootkits: Subverting the Windows Kernel"
Здесь http://rootkits.ru/library/ShowLib.aspx?id_l=21 , здесь http://forum.rootkits.ru/viewtopic.php?id=24 и здесь http://forum.rootkits.ru/viewtopic.php?id=39 , попытки перевода.
Здесь http://forum.rootkits.ru/viewtopic.php?id=27 файлики к книге Зайцева, который по сути стянул код у Хугланда.
Завтра отдам книжку того зайчика сканить =)

-----
ring 0

| Сообщение посчитали полезным:

Зайцев это еще тот пиарщег, ему давно пора убиццо.

| Сообщение посчитали полезным:

Nimnul пишет:
все бы хорошо только планировщик тоже забудет о процессе
ничего подобного, так поступает FU, но этого ОЧЕНЬ мало, так как еще есть тонна способов найти процесс. Вот интересная статейка от 90210 про PHIDE2 engine http://hi-tech.nsys.by/33/ . При желании можно наколоть даже проги типа PHunter by MsRem и klister 0.4, то есть анализ KiWait[In/Out]ListHead, KeDispatcherReadyListHead. Но это так, для тренировки, конечно же эффективнее скрывать драйвер и работать только в ринг-0.

-----
Research is my purpose

| Сообщение посчитали полезным:

apple пишет:
mak пишет:
Нуда ....верно ....на файловом топике книг вроде кто то хотел книгу выложить .....про руткитесы и спайварэ
Скачай "Rootkits: Subverting the Windows Kernel"
Здесь, здесь и здесь, попытки перевода.
Здесь файлики к книге Зайцева, который по сути стянул код у Хугланда.
Завтра отдам книжку того зайчика сканить =)

ММММ это вроде есть в Rootkits DEVPACK !? .... скан я б тож почитал ...2 книги про спайваре и келог и руты ... и 2 ая ...разработка под вин 32 ....не помню автора ..колесниченко чтоли ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Infernal_Terror

тормоз я образно сказал.

-----
have a nice day

| Сообщение посчитали полезным:

Шутка юмора - кто-нть скачал?

Windows Driver Kit (WDK) January 30, 2007
www.microsoft.com/whdc/DevTools/WDK/WDKpkg.mspx
www.microsoft.com/whdc/devtools/WDK/AboutWDK.mspx

| Сообщение посчитали полезным:

Ratinsh пишет:
Windows Driver Kit (WDK) January 30, 2007

Интересно, и что же там занимает 2,4 гига ?

| Сообщение посчитали полезным:

А вообще если по теме, то скрыть процесс в ринг0 - невозможно (во всяком случае оставляя его работоспособным), а в user-mode вполне реально - редактировать список EPROCESS и перехватить несколько функций (HideToolz от Ms-Rem тому доказательство).

| Сообщение посчитали полезным: