Конференция VBStreets

[--=GAMER=--]

..Нужно скрыть процесс другой программы, а также свернуть её и скрыть из трея. Если было, киньте ключ. слова для поиска...

з.ы. Нет, не вирус - всё нужно чтоб быстро сворачивать "запрещённые" проги/софт от начальнегофф... (хочу подвесить на хоткеи, в самих прогах не предусмотрено)

з.з.ы. Заранее спасиба

[Хакер]

Что значит скрыть?

[--=GAMER=--]

убрать из списка процессов, убрать значёк из трея

[keks-n]

Ну, из списка таскмана стандартного только перехватом NtQuerySystemInformation. Только надо как-то в него dll свою запихнуть.

[Lumen]

Ну почему же, можно отлавливать появление диспетчера задач, находить в ListView свой процесс и либо переименовывать его, либо посылать LVW_DELETEITEM (вроде так), таким образом удаляя его из списка процессов.

[Хакер]

Lumen
Ты в курсе, что кроме стандартного диспетчера задач существуют также и альтернативные менеджеры, например UTK от Fire-Lines?

[Lumen]

Хакер
Нет блин, не в курсе.
Про UTK не слышал, дайте ссылку гляну.
А вообще ессно знаю, что помимо стандартного таскменеджера есть куча других. И сам делал тасквьювер (в моем анализаторе есть).

Ну, из списка таскмана стандартного только перехватом NtQuerySystemInformation. Только надо как-то в него dll свою запихнуть.

Своим постом я лишь хотел сказать, что не только с помощью перехвата можно скрыть процесс из списка в стандартном диспетчере задач (как в принципе и в любом другом, сложность лишь в том, что не угадаешь, какой из альтернативных таскменеджеров установлен у юзера, а делать поддержку всего подряд бессмысленно). Да, я не спорю, перехват - универсальный метод, он будет работать со всеми диспетчерами, но он довольно сложен в реализации, если самому делать (в общих чертах нужно перезаписать первые 5 байт из перехватываемой функции на jmp xxxxxxxx, где xxxxxxxx - адрес твоего обработчика, выдернуть из передаваемых параметров нужный тебе процесс и убрать его обнулив данные о твоем процессе, а потом вернуть управление функции, предварительно восстановив стек. При завершении программы восстановить те 5 байт, которые были перезаписаны. Ессно перед всем этим нужно открыть страницу памяти, где лежит начало функции, на запись). Имеющиеся примеры довольно глючные (в частности PhantomVB). Так что проще использовать мой способ (по крайней мере мне было бы проще), хоть он и не универсальный. И вообще я просто предложил один из методов скрытия процесса из списка. Выбор метода за топикстартером.
ЗЫ: Кстати перехват NtQuerySystemInformation тоже не панацея, достаточно перечислить открытые процессами хэндлы и на основании их получить список процессов. Да и вообще нифига не получится, если "начальнеги" знают что такое Rootkit Unhooker или IseSword...

[keks-n]

Вообще, 100%-но спрятать процесс нельзя. Вопрос в том, до какой степени его надо прятать. А UTK, написанный кучу времени назад находил далеко не всё, т. к. использовал только 3 способа обнаружение и не зарывался в ядро. Есть более мощные вещи, которые свой драйвер ставят.

[Хакер]

Я не к тому, что от UTK сверх-сложно скрыться, я к тому, что такой способ, как предлагает Lumen, в отношении UTK (и любого другого продукта) не прокатит.

[Lumen]

Хакер
А я и не предлагал использовать этот способ в отношении других таскменеджеров. Но для стандартного таскменеджера вполне прокатит. И вообще я думаю, что врядли нужно скрывать процесс от чего-то отличного от стандартного виндового таскменеджера.
ЗЫ: ну может все-таки дадите посмотреть, что это за чудо такое UTK? Как хоть расшифровываеццо?

[Хакер]

Lumen
Пока не дадим.
Расшифровывается Ultimate Task Killer.

keks-n, поправь, если ошибся с расшифровкой.

[keks-n]

Да оно где-то валялось в открытом доступе на этом форуме. Правда, не шибко свежая версия, но разработка всё равно пока заморожена.

[Хакер]

Дык, я доступ закрыл когда переезжали.

[keks-n]

Так то на форуме, ещё без нормального гуя.

[keks-n]

Вот, оно хоть и кустарщина, и взята чужая технология...

Короче, запускать надо StartUp.exe. По идее, новых процессов быть не должно.

[--=GAMER=--]

keks-n
а код есть?) UPD: После попытки закрыть таском через простые приложения, получаем стандартную ошибку "отправить бла бла", интересно следущее: через некоторое время FindMe.exe находит Касперский, и при попытке закрыть процесс через него, процесс таки убиваеться +BSoD.


з.ы. С треем никаких "финтов ушами" не выйдет?

[keks-n]

Код... Код st.exe на дохлом винте. Вкратце, сия тулза ищет окно с заголовком "---" и прячет процесс, которому оно принадлежит. А стабильности никто не обещал ^_^
Кстати, у меня KAV 7 ругался на атипичное поведение st.exe и спрашивал, а не запретить ли ему это. Процесс не находил. Трей можно вообще чем-нибудь закрасить/рисовать самостоятельно(см. "часики" от tyomitch'а).

[Twister]

UTK от Fire-Lines

Позволишь ли мне взглянуть и оценить? Просто на данный момент лучшим "убивцем" процессов, на мой взгляд является RkU - в нем заюзаны техники, которых до сих пор нет на паблике в сорцах. Короче, могу подсобить советом...

[keks-n]

Там заценивать просто нечего. Оно:
а) юзермодное
б) делалось очень давно
в) не уверен, что смогу найти сорс.

[Хакер]

Тем не менее, KillTask.exe работает очень эффективно (и эффектно)