Обнаружение скрытых процессов

Тема в разделе "WASM.HEAP", создана пользователем Ms Rem, 28 авг 2005.

  1. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    Наконец то нашел время закончить статью "Обнаружение скрытых процессов".

    Так как Эд сейчас в отпуске, то здесь статья еще нескоро появиться, а многие у меня ее уже спрашивали. Так что все интересующиеся - держите линк http://ms-rem.dot-link.net/hiddndt/hiddndt.htm



    Замечания насчет багов в статье приветствуются.
     
  2. SANT

    SANT New Member

    Публикаций:
    0
    Регистрация:
    28 авг 2005
    Сообщения:
    5
    Адрес:
    Russia
    Process Hunter полезная программа, теперь я буду только ею пользоваться.



    Для скрытия процессов в User Mode обычно используется технология внедрения своего кода в чужие процессы и перехвата функции ZwQuerySystemInformation



    Согласен, а что если троян не перехватывает ZwQuerySystemInformation, а просто живет внутри чужого процесса в виде отдельного потока?



    Недавно дописал троянца на masm`е который заражает системный svchost.exe Таким образом ему пока удается не светиться в процессах и в реестре.
     
  3. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    А от этого применяются другие методы защиты. Я пользуюсь программой которая контролирует запись в память чужого процесса, загрузку драйверов, установку хуков и.т.д.

    Может как-нить доведу ее до ума и тоже зарелизю, а то писалась она очень давно, код написан беспонтово, и неохото с ней позориться. Ну главная ее суть - контроль взаимодействия процессов и интерактивное создание правил (как в оутпосте), я думаю, что многие тут смогут такое написать.
     
  4. Saint German

    Saint German New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2003
    Сообщения:
    222
    Статья написано хорошо, короче критики восприняли благожелательно статью:).
     
  5. _staier

    _staier New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2003
    Сообщения:
    738
    Адрес:
    Ukraine
    отличная статья , как всегда просто , ясно , по делу и без воды



    библиотеку из статьи по хукам уже использовал , очевидно использую и этот код как нибудь :derisive:
     
  6. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    Ms Rem



    А как же "Получение списка процессов брутфорсом"? :))
     
  7. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    Это метод недзенский :) Он с успехом заменен сканом PspCidTable.
     
  8. alpet

    alpet Александр

    Публикаций:
    0
    Регистрация:
    21 сен 2004
    Сообщения:
    1.221
    Адрес:
    Russia
    Excelent.



    Еще-бы написать детектор скрывающихся процессов (в смысле не завершающиеся обычным ExitProcess / TerminateProcess), а просто исчезающие из таблицы процессов. Получится что если по каждому процессу хранить во время его жизни, всю необходимую он нем информацию - его не_стандартное исчезновение из таблицы ему ничем собственно не поможет.
     
  9. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    А этот метод (в числе прочих) у меня уже реализован, используется PsSetCreateProcessNotifyRoutine. Но конечно обойти можно и его.