Обнаружение скрытых процессов?

Тема в разделе "WASM.BEGINNERS", создана пользователем tagegor, 2 авг 2009.

  1. tagegor

    tagegor New Member

    Публикаций:
    0
    Собственно появилась такакя необходимость
    Не подскажете куда рыть? Или сорцом поделитесь? :)
     
  2. friackazoid

    friackazoid New Member

    Публикаций:
    0
    Под какой системой?
    Если под виндой то утилиты русиновича пока вроде никто не превзошел. Правда сорцы их сейчас очень сложно достать...
    Если под никс то эта тема очень интересная. Надо копать в сторону VFS и файловой системы /proc
     
  3. wsd

    wsd New Member

    Публикаций:
    0
    tagegor
    на этом сайте статьи мс. Рема
     
  4. spa

    spa Active Member

    Публикаций:
    0
    задавать такие вопросы учитывая замечательную статью мсрема, просто позорно...
     
  5. ohne

    ohne New Member

    Публикаций:
    0
    статьи лучше не читать
    разобраться с планированием потоков в системе
    все есть в wrk
    собираешь ядро и в отладчике разбираешься
    либо просто по исходникам
     
  6. Clerk

    Clerk Забанен

    Публикаций:
    0
    Есть какието способы сокрытия от статического поиска, но динамику сокрыть не получится. Процесс определяется не только идентификатором, любое значение уникальное для процесса может служить для его поиска. Вопрос в том, что дальше с этим значением делать. Например адрес обьекта(EPROCESS) и пр. Каждый процесс имеет уникальное адресное пространство. А оно определяется адресом каталога страниц, который в PDBR(Cr3). Адресное пространство необходимо потокам, если их нет то процесс не нужен. А если есть рабочий тред, то он по любому будет чтото вызывать, даже если он того не хочет - прерывания. Тоесть мы например шлюз прерывания хватаем и создаём список каталогов страниц. Обойти это не получится, чтение регистра управления запретить или отследить нельзя.