Конференция VBStreets

[keks-n]

А, чуть не забыл, твой taskmgr.exe легко убиваем из под сервайса.
Вообще вирмейкер (коим я не являюсь) найдёт способ скомбинировать вышеописаные методы.

[ANDLL]

Это тоже обходится

Хотелось бы посмотреть.

А, чуть не забыл, твой taskmgr.exe легко убиваем из под сервайса.

Ну хорошо, можно скачать из сети какой-нибудь нестандартный...

[keks-n]

Не спорю. Вообще это вирьмейкерам надо об этом думать, а я вири перестал пытаться писать после одного случая...

[xenomorph]

<KILL ME>

Пянящий вкус хардкора ... Ж-)
Пить иод это =Х=арашо ... *-)
Кто не верит - может попробовать!
--
N.B.
"Кернел Модные" процесс киллеры которые смогут ЭТО снести
- в списочек - пжжжалуйста!

(Джоанновую клизму номер два и MS Rem-a не трогать -
они иод не пьют!)

[keks-n]

а) При нажатии Quit - синий экран
б) Написано не на чистом VB
в) Если скрытый процесс (а не внедрение себя кудань-ть), то гора Таскманов, которые это пришибают
г) А исходничек можно?

[ANDLL]

2) А это как определить можно?

Да и вообще, keks-n, восхищаюсь вашей смелосью. Лично я не осмелился запустить сей файл у себя на компьютере...

[keks-n]

ANDLL
(2)
а) В посте автора было указано про хардкор
б) там лежал доп 4 килобайтный файл(VB' шные проги я upx'ом сжимал максимум до 5 кб), без иконки , без которого phantom.exe никуда прятаться не собирался.

[xenomorph]

а) При нажатии Quit - синий экран

/// знаю ... я его быстро делел .
а вабсче-то цацка ооочень нестабильная .
Минздрав Вас предупреждал ...

б) Написано не на чистом VB

.

в) Если скрытый процесс (а не внедрение себя кудань-ть), то гора Таскманов, которые это пришибают

Не угадал. . АПИ перехвата нет. Всё гораздо сурьёзнее Ж-).
99% Таскманов ни черта не увидят. Кернел модные - и то процентов 20 из них ...

г) А исходничек можно?

Если ты мене докажешь, что это ...
а) тебе надо для ...
б) поделишься чем-то полезным .
в) я ещё не придумал )) ...

Да и вообще, keks-n, восхищаюсь вашей смелосью. Лично я не осмелился запустить сей файл у себя на компьютере...

Да ... я не это имел ввиду ... Марья Петровна, но ход ваших мыслей мне нрааавится! ... lol

б) там лежал доп 4 килобайтный файл(VB' шные проги я upx'ом сжимал максимум до 5 кб), без иконки , без которого phantom.exe никуда прятаться не собирался.

Эээ ... Вот демка + пакер = Хеллоу ворлд на ВБ.
Внимание! ->>> 1.801 Байт <<<-
Зделайте меньше ЕСЛИ СМОЖИТЕ . ВБ 6.0

[keks-n]

Не угадал. . АПИ перехвата нет. Всё гораздо сурьёзнее Ж-).
99% Таскманов ни черта не увидят. Кернел модные - и то процентов 20 из них ...

Неужто из списока удаляешь... Он что - в процессах уже не числится? Тогда понятно, почему синий экран: попытка завершится несуществующим процессом
Или я опять "нихрена не угадал" ?

[xenomorph]

Он что - в процессах уже не числится?

Прямое попадание ))).
Апстче не числиться.
Его в таком состоянии лучше не трогать Ж-).
Работает на все 100, но ни стелс-процесс ни файл (т.е. запускать по второму разу без модификации) - не рекомендуеться ибо БСОД.
Этот стелс работает на произвольных процессах в системе.
т.е. - НА ЛЮБЫХ процессах.
Работает только под админом.

[keks-n]

Я так понял, что он передаёт что-то st.exe (т. к. показывает ---, пока тот выполняется), но не в Command Promt (смотрел уже). Хотелось бы знать: что и где?

[ANDLL]

Что-то мне подсказывает, что мьютекс...

[Yurio]

Лично я не осмелился запустить сей файл у себя на компьютере...

Хм, виртуальные машины кто-то запретил?

Зделайте меньше ЕСЛИ СМОЖИТЕ

Твой же Хеллоу ворлд тем же FSG --> 1493 байта

процесс киллеры которые смогут ЭТО снести

1. http://wasm.ru/article.php?article=hiddndt
2. Killer SCINER'а (на forum.sources.ru)

Вот мой HiddenProc (обнаруживается тем же ):
1. Чистый VB (100%).
2. Один файл.
3. Стабильность работы (по крайней мере BSOD'ы и зависания Windows не обнаружены).
4. Win NT 4.0*/2000/XP/2003 Server.
5. Не требует админских прав.

* - с psapi.dll

[keks-n]

Гм, а твой исходничек можно?
Очень надо!

[xenomorph]

Твой же Хеллоу ворлд тем же FSG --> 1493 байта

эээ ... - как ??? если не секрет (н.б. я - то выложил примерчик - жуть интересТно как его ещё пожать можно) ...

http://wasm.ru/article.php?article=hiddndt

- посмотри КТО автор.
Когда сообразишь что MS REM - то ВНИМАТЕЛЬНО
изучи мой пост выше и найди совпадения ...

Killer SCINER'а - ещё посмотрю ... но шото грызут меня смутные сомнения ...

n/b/ - Меняемся исходными кодами?

[xenomorph]

2Yurio:

Эээ -> батенька ГОН этот Ваш - "SCINER Killer" ...
Зачем же так _неточно выражаться заранее_
Этот килер ни =Х= не видит .
...
Как и другие окромя клизмы и PHunter-a ///
(благо не у всех есть)

А теперь по порядку:

1. Ваш пример работает на сабклассинге окна ТM-a.
(в лучшем случае - прямая модификация памяти,
а тута - просто сабклассинг по наличию listview) ///
2. И идея и реализация - www.xakep.ru - by Digital Scream.
(хотя и он у кого-то эту идею, судя-по всему, упёр )).
3. Отлавливаеться ЛЮБЫМ юзермодным ТМ Ж-),
отличным от стандартного ТМ.
4. У меня 3 раза заглючило при отключении ТМ.
5. Если внимательно наблюдять за ТМ при запуске то
видно, что в течении секунды опосля его первого запуска -
ваш процесс там оооочень заже виден,
затем проходит 1.5 сек и он исчезает .
Я даже изловчился и умудрился с него скриншат снять lol )).
6. psapi.dll - 28.994 байта.
7. ZoneAlarm с вашей прогой выдайт нагрузку на проц в 100%.
(почему - не знаю - но факт!)
--
Где я не прав? Ж-).

Да - и предложения насчёт обмена сорсами в силе -
у меня есть классные идеи и не менее классные сорсы ...
Вопстчем - как насчёт сотрудничества?

[xenomorph]

--

[keks-n]

xenomorph я снял твой phantom.exe! Причём снял самолепной тулзой!
Но это привело к довольно таки странным последствиям: тулза перестала видеть процессы! Защел в таскман и вижу:(см. приложение)

[xenomorph]

2 keks-n:
*-). Верю )))
Тока ты скажи как - сорс хоть покажь )).

[keks-n]

Ржать будешь! В тулзе автоматического обновления не было... PID был получен ДО нажатия Hide Me, а снесён был уже после, как результат - невидимость ВСЕХ процессов в системе
Предлагаю накатать прогу, которая такой фокус делать будет - её запустил, а она всё процессы прячет

[keks-n]

xenomorph
Возникла идея по отлову таких процессов: поскольку они открываются OpenProcess без проблем, то надо перечислять ВСЕ возможные PID'ы, и если открылся без ошибки PID, который не ловился стандартными методами(Process32First и Process32Next), то процесс-то скрытый.

[xenomorph]

И-го-го!!!!
Класс .
Во побочный еффект!
А ты ПИД своровал )).
Заслужил чипсы! - буду добрый сорс солью ))).

[xenomorph]

"Гуры - мои гуры - гОре мени з вами ..."
... как всиХта в тему, да?

[keks-n]

xenomorph
Написал я тулзу, убивающую фантомы
Запусти свой примерчик и нажми Hide Me, дождись, пока спрячется и стартани мою тулзу

Собственно вот она, тулза то:

[Yurio]

to xenomorph

эээ ... - как ??? если не секрет

Перед упаковкой выдираешь из *.exe иконку и инфо о версии.
Надеюсь, пример не надо...

посмотри КТО автор

Я имел в виду не программу MS-REM'a, а лишь описанные в его статье способы. Не нада грубить

Этот килер ни =Х= не видит

Как и другие

Скорее всего, ты видел далеко не последнюю ее версию. Смотри архив. Кстати, набросал тут на VB мини-монитор процессов по методу SCINER'a. Видит твое (и мое) просто замечательно.

сабклассинг по наличию listview

LOL LOL LOL
Совсем не угадал.

идея и реализация

Digital Scream

Не видел и не слышал. Дай прямую ссылку на статью.

Отлавливаеться ЛЮБЫМ юзермодным ТМ

LOL
Списочек в студию.

psapi.dll

Используется только под NT 4.0 (и я еще не видел NT 4.0 без нее).

оооочень заже виден

Вид -> Скорость обновления -> Приостановить...
Теперь будет виден постоянно

Теперь по поводу нагрузки на процессор: 1 мс на таймере - это вам не шутки . Хотя у меня под XP на 2 ГГц никаких проблем. В новой версии для задания интервала запускаем с параметром от 1 до 500 (по дефолту - 100).

"Гуры - мои гуры - гОре мени з вами ..."
... как всиХта в тему, да?

А вот тут полностью согласен

[keks-n]

Yurio
Твой примерчик ловится любым нестандартным таскманом, если хочешь, могу выложить свой

[Yurio]

Выкладывай
(Обновление, надеюсь, там присутствует).
Да и "любым" - это неправда.

[keks-n]

Вот он, таскман, который я писал давно и наивно полагал, что он всё может убить... Но твой HiddenProc и виден и убиваем!

[Yurio]

Ты это прикалываешься так? Или кнопку "Обновить" не жмешь? Смотри архив.
Нет слов



В предыдущем архиве в HiddenProc мелкий глюк (с постом keks-n не связан) - исправляюсь.

[ProgSoldier]

Дык возми и юзай SendMessage hwnd, LVM_DELETEITEM, n, 0&
где hwnd-хендл SysListView32 таскменеджера n-позиция твоей программы в таскмене