Конференция VBStreets

[Sirik]

Можно в 2k или XP запустится как системный процесс, как Каспер?

[Zer]

В смысле чтобы нельзя было завершить работу программы стандартными методами???

[tyomitch]

Почитай про злосчастные сервисы тут: http://www.smsoft.ru/ru/ntservice.htm

[Sirik]

В смысле чтобы нельзя было завершить работу программы стандартными методами???

Именно так!

[Zer]

Делай в лоб. Пытаются выгрузить - запускай ещё одну копию и выдавай мессагу о том, что нефига закрывать.
А если реально - перехватывай сообщения винде о завершении работы твоей проги. Но это сложно...

[tyomitch]

А если реально - перехватывай сообщения винде о завершении работы твоей проги. Но это сложно...

И от кнопки Kill Process не спасёт...

[neprden]

Надо делать как каспер делает
пускаешь его с пользоват-й учетной записью а он сволочь две копии запускает и синхронизируется

[Zer]

Ну не знай... Вешай в память две копии и если одна исчезает подгружай автоматически вторую...

[PATRIOT_kz]

Sirik в начале пишешь .vxd драйв для сервиса,
далее регистрируешь его в реестре 'HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\Sirik',
где "Sirik" - ты подставишь псевдоним драйва.

Потом пишешь какую-нибудь прогу типа "Sirik-VxD-Monitor" и тыришь
её в 'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run'
а там тоже создаёшь в 'Run'e, какой-нить параметр типа "SVxDM".

_-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_ _-_-_
Секрет весь прост.

1) Создание драйва нужно как касперу, вр.вебу и т.д.
Системный процесс короче.

2) Мониторинг нужен для того чтобы следить загружен ли драйв или
вдруг злостный юзанин выгрузил твой драйв, если ета б...ь выгрузила твой драйв, грузишь её заново, как троян типа.

===
По вопросам ПО и хелпа , спроси у наших спецов: 'tyomith', 'GSerg' и др.
---
Ну вообщем и всё, что нужно для хорошей подделки!

[hCORe]

Патриот, а ты знаешь, что VxD-системы на Windows NT/2000/XP нет?

[neprden]

Во всяком случае каспер так нашел выход ловит свинья вызов
терминат процесс друг на друга
если смущает два процесса возьми пакет руткит и спрячь оба
спряч порты и даже запись реестра с о службой
но это уже тянет на трояна

[PATRIOT_kz]

hCORe как VxD нет ?

А что же тогда юзает NTFS'овские ОС'ишки ?
(если не VxD и не сервисы, то что ?)

[hCORe]

если не VxD и не сервисы, то что

Я не говорил, что в NT нет сервисов... Я сказал что нет 16-разрядной VxD-подсистемы, которая частенько вызывала сбои

[RayShade]

Поиск, поиск и езе раз поиск. Не работает по русским буквам - ищи слово system или service. Это жеванная пережванная тема уже. как жувачка дональдс.

[xenomorph]

ВОзможен ещё один вариант *).

"На танке напролом"

1) В системе есть такая радость как NT System и Administrator etc ...
2) System процесс даже админ права не снимают . Это типа сервис .
3) Запуск "под" сервис - без инсталляции, кода и т.п.:

- Находим окно работающее под "системом".
- Меняем кэпшн на шеллкод.
- Находим адресс шеллкода в памяти (на это прав хватает) а далее на тех же SP они не нада
- Посылаем окну VM_Timer с адресом нашего шеллкода.
- Шелл код исполняеться запуская нашу прогу .

В рез-те - прога работает в ситемном пространстве - снять её низя
Апстче .

Шелл код удобно писать на NASM-е

Он такой:

1. WinExec "Наша прога".
2. ExitProcess

Н.Б. Это всё работает на ура.

Имя окна до СП 1 на ХРюше - NetDDEAgent

Работает до СП3 на w2k и СП1 на ХР.
И далее если в системе есть окна под системом.

Просьба не грохать - так как это есть ещё один вариант )).

Плюс - можна ЧТО_УГОДНО запустить как сервис без перезагрузок и гиммороя ...
(я сказал юез гиммороя? ))

[hCORe]

Процесс System (PID = 0) - это непосредственно ядро системы. Его нельзя завершить или снять. Системный процесс обладает максимальными привилегиями: он может напрямую записывать данные в память и читать их оттуда, получать доступ к любым процессам и т.п. Процесс System Idle или Бездействие системы (PID = 4) - это его дочерний процесс, заведует управлением системой во время простоя компьютера (отруб жестких дисков, монитора, остановка подачи команд процессора, ...)

[hCORe]

А NetDDEAgent - это окно агента сетевого DDE (netdde.exe). В версиях Windows XP и Windows XP SP1 он автоматически запускается вместе с утилитой просмотра буфера обмена (clipbrd.exe)

[xenomorph]

А вот я об заклад не побьюсь насчёт прибития System как процесса (но не надо вносить неразбериху - я имел ввиду пользователь с правами NT Authority \ System а не сам процесс ядра ...)

Кстати я сейчас проведу опыт и скажу можно ли его грохнуть ))

[xenomorph]

Похоже я поторопился - даже из под система грохнуть их низя
(только что проверил)
Но зато ИМ МОЖНО сделать ExitProcess ...
Что от kill PID особо не отличаеться ))
результирует в = SyStEm CrAsH = 8].

[tyomitch]

- Посылаем окну VM_Timer с адресом нашего шеллкода.

Видимо, речь всё-таки о WM_TIMER.
А не проще CreateRemoteThread?

[GM]

А NetDDEAgent - это окно агента сетевого DDE (netdde.exe). В версиях Windows XP и Windows XP SP1 он автоматически запускается вместе с утилитой просмотра буфера обмена (clipbrd.exe)

У меня на ХР показывает, что NetDDEAgent это окно (Winlogon.exe).

[GM]

А и еще ,системное окно можна получить вот так :

Код: Выделить всё

shell "net send 127.0.0.1 System window"


[xenomorph]

HANDLE CreateRemoteThread(

HANDLE hProcess, // handle to process to create thread in
LPSECURITY_ATTRIBUTES lpThreadAttributes, // pointer to
...

hProcess - получить нада а это OPenProcess
А это не всегда можно с некоторыми правами 8].

Вариант с отсылкой мессаги - универсален
Можно ещё в хип область делать CopyMem ... Sergus copyrighted ...