нужны скрытые процессы

Всем привет.

Люди, подскажите где взять, или (по возможности) киньте на мыло какие-нибудь программы для тестирования программы по обнаружению скрытых процессов. Поискал в сети - все какое-то бестолковое.

 

А подделка мсрема не устраивает? Или вам нужны другие методы?

 

Если речь о ProcHide.exe, то она у меня есть, скрытые ею процессы я вижу, хотелось бы что-нибудь ещё

 

www.rootkit.com

 

Хороший руткит тебе врядли кто-то даст. Зайди на руткит.ком и ищи там. Или накатай свой, который будет скрывать такими способами которые ты детектишь. Если ты зделал прогу для детекта , то думаю тестовуй прожку для скрытья осилишь

 

Хороший понятно, что не дадут, мне просто потренироваться.

Спасибо за ссылку. Пойду смотреть

 

В тулзе от мсрема, или примененны методы нахождения скрытых процессов, или есть намеки, но заметь, что

последних - навороченных нет, и врядли тебе кто их даст.

Выхода два - 1. разбирайся сам. 2. Если время не терпит -

покупай, хотя в этом я тоже сомневаюсь.

 

Saint German



Ты наверное про pHunter говоришь.

Самому писать - какой интерес? Зная как скрыл процесс - неужто не смогу сделать обратную процедуру



на rootkit.com посмотрел - какие-то контуженые там руткиты

Один говорит: установите мне драйвер! Дурдом. Это что, юзер должен себе инсталлировать драйвер руткита ??? Серьёзная заявка на успех

Второй говорит, что скрыл подгруженную dll - а её простым CreateToolhelp32Snapshot видно.

Третий кое-как запустил процесс и скрыл его от таскменеджера, с загрузкой процессора 99%. Хотя процесс продолжаю видеть как hidden. Вдобавок зачем-то меняет pid процесса, хотя и с измененным pid прекрасно убивается

Как я понял, ничего интересного на rootkit.com нет.

Неужели ничего не бывает типа crackme, пусть не выполняющие никаких действий кроме скрытия себя, типа демо?

 

Только обучалки к статьям ... и то чтоб скопилить нуна 2 мин править код

Ну дык ... сам трой будет устанавливать, а не юзер.

 

Я тебя не понял, что-то. тебе нужен детектить скрытые процессы или скрывать процессы?

 

написал детектор скрытых процессов, теперь нужны скрывающие себя исполняемые файлы, чтобы на них проверить свой детектор.

 

А теперь ясно, так вылаживайте его на тест, или это секретная разработка? Какие методы скрытия ваш детектор определяет? Судя по тому, как вы относитесь к драйверам, ваш детектор работает в режиме пользователя?

 

А есть на чём тестить? Секретного ничего там нет, довольно простенький, не знаю, представляет ли интерес... Определение процессов в юзермоде (3 способа), и удаление процессов - 4 способа (3 способа в юзере и один в маленьком драйвере).

Если интересно, то причешу его немного и выложу.

 

Ну я вот давно хотел, но как-то не до этого было,

вот есть у мсрема этот самый процессвьювер,

методов много, а пользоваться неудобно, а что если заделать нормальный интерфейс и добавить методов?

А то руссиновича ужасть удобный, а по-сути простецкий,

а это тулза будет наша- васмовская. Только по интерфейсам я пас.

 

Saint German



Не стал причёсывать, как есть. Все равно потом переделывать, добавлять и т.д. Зачем лишняя работа.

А интерфейс - дело несложное, всегда можно поправить. Если есть на чём, проверь, находит - не находит. У меня только 5 штук руткитов, всех видит. Нужны такие, которых не видно.

_872660548__pKiller.exe

 

А ты в курсе, что он не работает у меня? Т.е. процесс есть, а окна нет? Как он должен работать в нормальном режиме? Ты вообще опиши нам, что он должен делать, а то

оказывается есть какая-то pkiler.dll, а ты нам не слова об этом. А то хорошо, что я слышал немного о тебе, а так бы не стал запускать даже.

 

Dll с хуком WH_CALLWNDPROC. В windir ставится, туда же и драйвер ставится одноименный. Драйвер пишется на диск только при уничтожении процесса. Уничтожение процесса - это его единственная ф-ция, больше ничего там нет. В реестре ничего не пишет, не читает. Вообще-то прогу пробовали 7 чел минимум, у всех работало

Последний раз добавил один метод обнаружения (против ProcHide Ms Rem'а) и определение списка загруженных модулей. После этого никто не пробовал. Если несложно, проверь пожалуйста старую версию.



1074284826__pKiller.exe

 

Сейчас почему-то новая версия работает, а старая как не работала, так и не работает.

Интерфейс не на высоте, по сути на асме писал?

Если интересно, то давай в айсикью обсудим, пришли на емайл свой номер. А длл цеплять так как ты - плохой подход, вот например аутпост орет постоянно, что подгружается

 

)