Сокрытие процесов в windows xp/vista.

Тема в разделе "WASM.NT.KERNEL", создана пользователем eas7, 28 июл 2008.

  1. eas7

    eas7 алиса

    Публикаций:
    0
    Регистрация:
    1 июл 2007
    Сообщения:
    7
    Адрес:
    Москва
    Задача такая:
    Есть код, который занимается сбором данных активности пользователя, куда ходил, сколько времени провел на однокласниках, и т.п. Конечно, не хотелось, бы чтобы пользователь об этом догадывался, что его мониторят.
    Что сейчас есть по теме почитать, по сокрытию процессов? Первое что в голову приходит из быстрых реализаций, это code injection в ie/explorer/login processes.
     
  2. Twister

    Twister New Member

    Публикаций:
    0
    Регистрация:
    12 окт 2005
    Сообщения:
    720
    Адрес:
    Алматы
    Ты в третьем кольце скрывать собралась? Не рекомендую очень мало толку и очень быстро привлечешь внимание всяких ХИПСов...
    Если в ядре, то для юзверей думаю хватит банального исключения из списков EPROCESS.
     
  3. DEEP

    DEEP Андрей

    Публикаций:
    0
    Регистрация:
    27 апр 2008
    Сообщения:
    491
    Адрес:
    г. Владимир
    Если нужно простое в реализации решение - просто повесь на explorer отдельный поток. Если даже скроешь процесс, а юзверь будет, скажем, файлмоном сканить, кто куда что пишет, то он не может не заметить что некий, как их зовёт файлмон, unknown process постоянно пишет в какойто странный файл. Это его насторожит и он глянет файл. А там - мама мия! Всё. Тройка семёрка туз - абзац, батенька =) Процесс будет отловлен и стёрт. А если это будет делать якобы сам експлорер, ну и имя лога надо специальное подобрать, типа index.dat итп, то палева не много.
     
  4. eas7

    eas7 алиса

    Публикаций:
    0
    Регистрация:
    1 июл 2007
    Сообщения:
    7
    Адрес:
    Москва
    Скрывать, собралась в 3-ем кольце, ибо, нет времени писать драйвер, или как без драйвера накодить тоже самое для нулевого кольца?)
     
  5. eas7

    eas7 алиса

    Публикаций:
    0
    Регистрация:
    1 июл 2007
    Сообщения:
    7
    Адрес:
    Москва
    К счастью, мне ничего писать ненадо на диск, все данные я отправляю сразу на microsoft.com и маскируюсь под windows update, далее уже в сетке снифером пакеты собираю, данные самособой в base64 + zip + crypt. Мне сейчас главное, чтобы среднестатистический юзвер аля продвинутая бухгалтер тётя Надя, случайно не прибила что-то левое (мой процес), или какой-то антивирус не стал на него активно указывать всякими popup окошечками и warning'ами! Интересует что-то типа сходить поссылочке и почитать ветку форума или статью. Просто, утону ведь в гугле, много води и лишней каши.
    п.с. пишу на msvc8.0 на winapi.
     
  6. Twister

    Twister New Member

    Публикаций:
    0
    Регистрация:
    12 окт 2005
    Сообщения:
    720
    Адрес:
    Алматы
    Драйвер-то - три строчки ;)
     
  7. eas7

    eas7 алиса

    Публикаций:
    0
    Регистрация:
    1 июл 2007
    Сообщения:
    7
    Адрес:
    Москва
    ястно, буду искать пример, просто никогда не писала их)
     
  8. 6FED

    6FED New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    42
    Алиса, не надо никаких инжектов - это же сразу запалиться всякими аверскими поделками :) И процесс скрывать тоже не рекомендую, не важно откуда. На компе может стоять че-нить типа Карла и тогда тётя Надя узрит такой красный балун - "бла-бла СКРЫТЫЙ ПРОЦЕСС" и свинячий визг пронзит её уши. К тому же в висте у тебя с дкомом будут проблемы. Рекомендация тут следующая. Не нужно прятаться, надо просто не дать себя убить тётям Надям :) Тут вариантов много. Как наиболее легитимный, но опасный - поставить процесс breakontermination, аля сделать критическим как карл5. Ну тут любая ошибка и перезагрузка. С другой стороны можно просто перехватить одну функцию - NtTerminateProcess в SSDT и отменять все попытки кильнуть процесс. Вот и все :)

    пысы
    Лучше примеры из гугля не смотреть :) Нужно ещё потанцевать с бубном, чтобы они стали хотя бы компилируемыми. Перехват функций мс-рема строго настрого рекомендую не читать - это антисистемный гон. Смотри лучше Microsoft Detours, если хочешь сплайсинг, или поищи тут про перехват SST.

    HTH:)
     
  9. 6FED

    6FED New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    42
    pps
    а что в вирологии то запостила? Это тебе в Win32/Kernel надо :)
     
  10. eas7

    eas7 алиса

    Публикаций:
    0
    Регистрация:
    1 июл 2007
    Сообщения:
    7
    Адрес:
    Москва
    А я хз)) Подумала, что ближе к вирсам:lol:
     
  11. 6FED

    6FED New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    42
    :) бывает и такое :lol:
     
  12. toto

    toto New Member

    Публикаций:
    0
    Регистрация:
    15 июн 2008
    Сообщения:
    36
    достаточно в r0 поставить хук на NtOpenProcess, если пид соответствует нашему то возвращаем акцесденид, это как самый простой вариант я считаю.
     
  13. 6FED

    6FED New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    42
    toto
    Процесс с пидом 4 можно открыть сделав openprocess 3, так что не все так просто - проверяется элементарным брутфорсом. Лучше хукать терминацию, потому что есть тулзы, которые используют хитрые методы получения хэндлов процесса. Из того же csrss.exe и такой хук тут не спасет.
     
  14. toto

    toto New Member

    Публикаций:
    0
    Регистрация:
    15 июн 2008
    Сообщения:
    36
    согласен, ха ну я думаю и эта техника спасет от обычного юзера, из р3 можно вобще использовать FindWindow&SendMessage =))
     
  15. dendi

    dendi New Member

    Публикаций:
    0
    Регистрация:
    3 сен 2007
    Сообщения:
    233
    лучше не иметь своего процесса а обойтись например потоком
     
  16. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    eas7
    Драйвер грузится, мапит длл в Trusted-процесс и выгружается(или не выгружается). Естессно никаких записей в PEB не вносится. Всё.
     
  17. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Видать коммунисты действительно не ищщют лёхких путей=))))
     
  18. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Поиск хэндла в CSRSS(заметь, "наш" процесс никто не открывает), DuplicateHandle и тд и тп...... ну и хрена с твоего перехвата ? =)))))
     
  19. asd

    asd New Member

    Публикаций:
    0
    Регистрация:
    12 мар 2005
    Сообщения:
    952
    Адрес:
    Russia
    Если это создаётся для _обычного_ юзера можно и без дров длл подгрузить. И слово PEB, он вряд ли когда узнает.
     
  20. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    asd
    Знаете, вот винду тоже такие вот писали, всё на авось клали, авось юзер не знает авось не полезет ну и ??? продумывать надо детально и основательно.