Скрыться от TaskMan

У меня нет проактивки

 

Clerk

:-D А сколько радости в первый раз-то было!

Да нет. Нравится. С установкой аппаратных брэйкпоинтов метод, конечно, неплохой. Просто думал, сейчас что-то реально революционное прозвучит.

 

Странные вы люди..
В 8 случиях из 10 вы постуйтесь ради понта и выпендреша друг перед другом не неся никакой полезной и доступной инфы для создателя топика.
Вить почти с первого взгляда можно понять примерный уровен знаний постующихся..
Только не говорите что вы этого "примерного уровня" некак немогете определить

p.s. оффтоп рулит

 

Flasher
Знаю я что для тебя полезная и доступная инфа, это сурцы готовые.)
Собственно, автор задол не простой вопрос. конечное решение состоит из двух частей, это инжект и обработка событий в тм. Для второго способ маловажен, велосипед изобретать не нужно, l_inc заметь, а для инжекта все понимают что никто тут ничего стоящего внимания не озвучит, так как это приватная инфа. Если беспалевность не имеет значения, то не вижу смысла скрыватьсо от тм, мне чтобы скомпилить инжект любым из способов приведённых l_inc достаточно пару минут, ибо всё это уже давно скомпилено в либы.

 

Всем мои благодарности работаю над этим вопросом

 

без длл - это надо свой код записывать в адресное пространство таскмэнеджера и там исполнять... на самом деле куда проще и беспалевнее длл внедрять ремоутсредом... есть такая статья, там в принципе то, что тебе нужно, почитай здесь (сплайсингом подменяется зетвекверисистеминформейшн на свой обработчик, код внедряется с помощью врайтпроцессмемори ):
http://forum.antichat.ru/thread32176.html

в своем обработчике там весь список процессов заменяется на один с дурацким именем... если нужно например скрыть все процессы с определенным именем, просто проходишь их все в памяти и меняешь у предыдущего NextEntryDelta (смешение следующего элемента) на смещение до скрываемого + смещение после скрываемого... чтобы таскменеджер как бы перепрыгивал его, читая в памяти... удачи!

 

жесть... антечат атокует

 

Rel
Насчёт беспаливности ты это попутал.

Думою лучше на английском написать

 

То есть, ковырятся в памяти другого процесса менее палевно, чем подсадить в этот процесс длл? поясни пожалуйста, почему...

ZwQuerySystemInformation

 

Rel
Например такой юзер как я заюзоет твой кодес, сразу фаерволл выдаст запрос на действие, ибо обнаружит попытку внедрения, либо даже открытия процесса. Я конечноже нажму 'запретить' и твоя попытка внедритсо будет жестоко присечена.

 

дело не в том... фаерволл заблокирует и внедрение длл и копание в памяти чужого процесса... как бы то нибыло, я тестировал свою программу под вистой с последним каспером (Internet Security имеется ввиду), в результате внедрение длл работает тихо и спокойно, а манипуляции с памятью тасменеджера внешним процессом спалилось практически сразу же... именно аргументируя этим я и выбрал внедрение длл, поскольку задачи обходить фаерволлы и другие специализированные средства защиты не стояло...

 

Rel

Это ж на какой момент он последний был? O_O CreateRemoteThread палится проактивкой на ура уже года два-три минимум.
Это во-первых.

Манипулировать с памятью тоже надо уметь. По идее выделение и запись в память без атрибута PAGE_EXECUTE не должно вызывать возмущения со стороны KAV/KIS. Да и ZwMapViewOfSection проходила тихо довольно продолжительное время.
А это во-вторых.

 

l_inc
Rel наверно внедрял ДЛЛ через реестр или глобальными хуками.

А последний Каспер вобще какой-то странный. По дефолту ничего не палит.

 

K10
Судя по посту 26, если мой эвристический анализатор высказываний вида: "Длл внедрять ремоутсредом", — не подводит, то как раз через CreateRemoteThread.

 

Rel

На сколько помню функции загрузки модулей в юзермоде перехвачены кисой, это как же ты так грузилсо, наверно защиту отключил.. или может через оконные хуки, хотя врятле, киса много за чем в теневой сст следит, может сплоит, тоже нет, тогда нет смысла лезть в тм, ибо тутже дуступ в кернелмод открываетсо. Чтото мне кажетсо что ты нас надуть пытаешся.