Конференция VBStreets

[keks-n]

Yurio

Прикол: при обновлении действительно исчезает, НО если UTK запустьшь опять то он увидит скрытый hiddenproc. Явно, что сабклассишь всё и вся

[ProgSoldier]

Или стартани ДЛЛкой. Пропиши в AppInit_DLLs. Тогда и безнопасном режиме ты:
1. Не удалишь (поскольку она загружена)
2. Не KILLнешь (т. к. ДЛЛка цепляется на другие проги, и при попытке её завершения - завершается прога-киллер)

[Yurio]

если UTK запустьшь опять то он увидит скрытый hiddenproc

Только если перед этим сначала килльнуть HiddenProc (кнопка "Quit"), а потом запустить его вновь (и не нажимать кнопку "Hide Me"). Я не прав?

И повторяю: 1) никакого сабклассинга нет; 2) работает с разными диспетчерами задач.

to ProgSoldier
Сам проверял, что пишешь, или это все теория?

[VVitafresh]

Только если перед этим сначала килльнуть HiddenProc (кнопка "Quit"), а потом запустить его вновь (и не нажимать кнопку "Hide Me"). Я не прав?

Почти прав.
Твоя прога (особенно предыдущей версии) после того, как нажать Hide Me еще некоторое время видна и UTK при запуске успевает ее обнаружить.
Если еще раз нажать "Обновить" - действительно исчезает.

[keks-n]

VVitafresh
Ждал после нажатия Hide Me целую минуту, но при запуске UTK его всё равно было видно. Сдаётся мне, что просто удаляется поле listbox'а.

[keks-n]

Ну вот утилитка, которая просто список показывает. Как видишь тут HiddenProc никуда не исчезает А если в UTK встроить добивание исчезнувших элементов (элемент исчез а мы по его PID'у TerminateProcess'ом ), то HiddenProc в ауте. А вообще щас прикручу фичу для отлова "невидимок"

[keks-n]

Вот, прикрутил. Теперь "невидимки" отображаются отдельно, а прога называется UTK2.
З. Ы. Видит и Phantom'a и HiddenProc.

[Юстас]

Yurio

Есть такая утилитка: PEiD, в ней есть свой таскменеджер. Он тоже показывает HiddenProc, и что немаловажно, тоже убивает этот HiddenProc.

P.S.
А для какой надобности во все запущенные процессы запихивать msvbvm60.dll ?

[keks-n]

А Phantom'a он видит? HiddenProc, то понятно пришибает из списка уже увиденный процесс, а вот с Phantom'ом проблем больше (я его PID путём шаманских плясок искал).

[HotKitten]

все ваши проги мой taskmanager убивает

... а можно на него одним глазком?

win2k taskmanager
а что ваши не убивают???
а еще есть утилита WinKiller 2.0 она даже winlogon и csrss.exe убивает

[ProgSoldier]

to ProgSoldier
Сам проверял, что пишешь, или это все теория?

Проверял.
А чё тут странного?
Запусти RegMon и увидишь - при каждом запуске ЛЮБОЙ проги - цепляет ветку App_InitDLLs (и другие некоторые - KnownDLLs, напр.)

[keks-n]

Пропиши в AppInit_DLLs.

Ага, а потом её кто-нибудь оттудова также выпишет...
Да и на DLL, написанную на VB управление передаваться не будет.

[ProgSoldier]

Пропиши в AppInit_DLLs.

Ага, а потом её кто-нибудь оттудова также выпишет...

Ну дык таймер поставить можно. Или ч/з сабклассинг-если значение меняется - тады переписываем параметр, как должно быть угодно нам.

[keks-n]

ProgSoldier
Знаешь, есть такое харошее изречение:

На всякую жутко хитрую задницу всегда найдётся ещё более хитрая.

Это я знаешь к чему? К тому что щас тута изобретут что-то оч. страшное, а через месяц какой-нить программер Вася это дело легко кильнёт.

[ProgSoldier]

К тому что щас тута изобретут что-то оч. страшное, а через месяц какой-нить программер Вася это дело легко кильнёт.

Через месяц, мож-быть и того Васю перехитришь...

[Yurio]

Такс, пора отделять мух от котлет

Ждал после нажатия Hide Me целую минуту, но при запуске UTK его всё равно было видно.

Минута, час, сутки - не важно. HiddenProc остается в списке твоей программы только потому, что у нее нет автоматического обновления. HiddenProc через заданный промежуток времени (достаточно небольшой) производит определенные действия по своему скрытию. Так вот, если между первым запуском твоей программы и выводом ею же списка процессов это действие не происходит, то HiddenProc появляется в списке, если происходит - не появляется (это касается только первого запуска и связано с пока еще несовершенством реализации). А в TaskList'е я HiddenProc еще ни разу не видел...

удаляется поле listbox'а

Повторяю последний раз - никакого сабклассинга нет. Можешь выводить список процессов хоть на CommandButton, хоть текстом прямо на экран поверх всех окон, сохранять в файл - эффект тот же.

Есть такая утилитка: PEiD, в ней есть свой таскменеджер. Он тоже показывает

Все вышесказаное относится и к PEiD'y.

WinKiller 2.0 она даже winlogon и csrss.exe убивает

Ну это о-очень тяжело Тока вот зачем - по BSOD'y кто-то соскучился?

"невидимки" отображаются отдельно

А это уже поинтереснее будет. Как PID искал? (Уверен на 99,9%, что и этот твой метод легко обходится).


А вот теперь самое интересное - попробуйте прибить новую версию HiddenProc'a. Даже MS-REM отдыхает Здесь 2 версии программы (одновременно только не запускайте) и монитор процессов с динамическим обновлением (4 КБ), который их видит постоянно.

[HotKitten]

HotKitten
Убьёт он может и убьёт, но их ещё и УВИДЕТЬ надо.

в смысле увидеть??? Открываешь taskmanager => Процессы находишь левый процесс и убиваешь его,
или я чего-то не понял?

[keks-n]

В том то и дело, что после нажатия Hide Me и та и другая прога из этого списочка благополучно исчезают, продолжая работу!
Phantom вообще в перечислении Process32Next не учавствует, а HiddenProc отлавливает окошки, где его увидели и пришибает себя из списока.
Я путём шаманских плясок нашёл метод по отлову "невидимок", см UTK2.

[keks-n]

Yurio
Твой новый HiddenProc дюже сильно проц грузит.
З. Ы. Колись, как неубиваемость поставил? UTK2 видит но не убивает!

[Юстас]

А вот теперь самое интересное - попробуйте прибить новую версию HiddenProc'a. Даже MS-REM отдыхает

И новая версия HiddenProc'а aka Immortal убивается так же просто, как и предыдущие

Похоже, Immortal тоже отдыхает

[keks-n]

Тут у него с Open/TerminateProcess сделано...

[Юстас]

Тут у него с Open/TerminateProcess сделано...

В смысле перехватывает API OpenProcess & TerminateProcess ?
Или речь о чём-то другом?

[keks-n]

Ага, похоже на то. Или блокирукет как то...

[Юстас]

Это не мешает убить HiddenProc aka Immortal.
Пусть даже и перехватывает Terminate - можно сделать, что он сам себя прибьёт

[keks-n]

Ежели перехватывает Terminate, а не Open, то легко убивается
В 8 строк VB'шного кода, через записывание нулей в память

[Юстас]

угу, дать ему выпить йаду
Честно говоря я не смотрел, что он там делает, распаковывать лень было. Попробовал первый пришедший на ум метод - убивает наповал.
Тест пока не выкладываю, хочется немного окультурить и доделать.

[keks-n]

Мона еще сделать VirtualAllocEx, туда код, который вызывает FatalAppExit, и на его начало CreateRemoteThread

[Юстас]

Если OpenProcess перехватывается, VirtualAllocEx не пройдёт, т.к. для него нужен хэндл от OpenProcess

[Yurio]

Насчет OpenProcess угадали.

to keks-n
Так как все-таки PID получаешь?
Про сабклассинг промолчу - ну нету его там.

to Юстас
Чем прибивал?

(Писалось за пару дней, все это дело еще будет доводиться до ума).