Скрытие процесса

Всем здарофф!
Тема заезженая, но все же!
Процесс я скрываю перехватываю ф-цию NtQuerySystemInformation
с SYETEM_INFORMATION_CLASS == 0x05 Но! Утилита tasklist процесс видит! Дебаггер показал, что tasklist Ниразу не вызвал вышеприведеную ф-цию с классом == 0x05, а список процессов получил. NtQuerySystemInformation вызывался только с классами 0x00, 0x01, 0х02 кто что думает по этому поводу?
Как же получается список процессов этой "долбаной" утилитой?

 

mrcrown Где перехватывал, r0? вот в общем читай

 

Не! Не в r0 В Юзвермоде!

 

Всёравно читай =) там и про методы детекта в юзермоде написано

 

mrcrown
http://www.wasm.ru/print.php?article=hidingnt

 

Ага, почитал ужо! Спс!

 

Следующий вопрос, кто знает что за класс информации: 0x40??
И какая структура внутри?

 

SystemExtendedHandleInformation
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX {
PVOID Object;
ULONG_PTR UniqueProcessId;
ULONG_PTR HandleValue;
ULONG GrantedAccess;
USHORT CreatorBackTraceIndex;
USHORT ObjectTypeIndex;
ULONG HandleAttributes;
ULONG Reserved;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX;

typedef struct _SYSTEM_HANDLE_INFORMATION_EX {
ULONG_PTR NumberOfHandles;
ULONG_PTR Reserved;
SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles[ 1 ];
} SYSTEM_HANDLE_INFORMATION_EX, *PSYSTEM_HANDLE_INFORMATION_EX;

 

sps! А де отрыл?

 

wrk

 

Windows Research Kernel?

 

А где Windows Research Kernel скачать можно? на сайте M$ только описание.

 

http://www.google.ru/search?q=wrk.7z гденибудь да найдешь

 

Great: Как я помню, прямые ссылки на варез запрещены =/ А в свободном доступе эту штуку вроде не выкладывали официально M$