Перехват Api.
Существует технология скрытия процессов в ХР - перехват API. Основана на изменении РЕ - заголовка программы во время запуска. Реализуется на WinAPI но как!!!?
Ого, да эта тема не должна рассматриваться в пределах форума, в инете инфы полно. Насколько я знаю, можно перехватить NtQuerySystemInformation и так скрыть свою прогу от диспетчера (он именно этой фукой и пользуется). Перехват осуществляется при помощи SetWindowsHookEx.
ЗЫ: так делать не хорошо т.к. NtQuerySystemInformation меняется чуть-ли не с каждым новым билдом винды.
ЗЗЫ: у меня есть исходник проги которую не видно в диспетчере, но она использует другой способ скрытия процессов, который безотказно работает в ХР (там создается удаленный поток)
ЗЗЗЫ: стока блин хакеров - ужас, и все хотят скрыть процесс
:)
Ого, да эта тема не должна рассматриваться в пределах форума, в инете инфы полно. Насколько я знаю, можно перехватить NtQuerySystemInformation и так скрыть свою прогу от диспетчера (он именно этой фукой и пользуется). Перехват осуществляется при помощи SetWindowsHookEx.
ЗЫ: так делать не хорошо т.к. NtQuerySystemInformation меняется чуть-ли не с каждым новым билдом винды.
ЗЗЫ: у меня есть исходник проги которую не видно в диспетчере, но она использует другой способ скрытия процессов, который безотказно работает в ХР (там создается удаленный поток)
ЗЗЗЫ: стока блин хакеров - ужас, и все хотят скрыть процесс
:)
Проблема состоит в том, что мне необходимо реализовать на Delphi именно эту технологию. С++ код прилаается...
Зы я похож на ][ацкера бе знания С++ :???: :-? :???:
ЗыЗы о книге "Програмирование эффективных Win приложений" слышал? - это от туда
Проблема состоит в том, что мне необходимо реализовать на Delphi именно эту технологию. С++ код прилаается...
Зы я похож на ][ацкера бе знания С++ :???: :-? :???:
ЗыЗы о книге "Програмирование эффективных Win приложений" слышал? - это от туда
Слышал я, кажется, про эту книгу, вроде Рихтер автор. Реализовать программу на делфи не сложно. Какой тебе нужен эффект и чего ты хочешь добиться?
Слышал я, кажется, про эту книгу, вроде Рихтер автор. Реализовать программу на делфи не сложно. Какой тебе нужен эффект и чего ты хочешь добиться?
Эффект один - скрыть процесс именно при помощи этой технологии. Если можешь помоги...:roll:
просто напросто заменяется индекс ф-и в таблице импорта файла, чью ф-ю надо перехватить.Для этого следует внедрить длл в чужой процесс(напр. с помощью хуков или createremotethread) и заменить этот индекс на свой в экзешнике. Об этом, на сколько я знаю написано у Рихтера.
Джеффри Рихтер "ДЛЯ ПРОФЕССИОНАЛОВ. WINDOWS. Создание эффективных win32-приложений"
Там неплохо описаны методы испособы реализации перехвата апи с примерами.
Существует технология скрытия процессов в ХР - перехват API. Основана на изменении РЕ - заголовка программы во время запуска. Реализуется на WinAPI но как!!!?
Читай про это наhttp://wasm.ru/article.php?article=apihook_1
Перехват апи реализуется достаточно просто:
просто напросто заменяется индекс ф-и в таблице импорта файла, чью ф-ю надо перехватить.Для этого следует внедрить длл в чужой процесс(напр. с помощью хуков или createremotethread) и заменить этот индекс на свой в экзешнике. Об этом, на сколько я знаю написано у Рихтера.
Если я не ошибаюсь, то это не перехват апи получается, а Code Injection, но для получения необходимого эффекта проще создать удалённый поток в адресном пространстве другого процесса. Фишки: если писать чё-нить зловредное для работы с сетью то многие файрволы спокойно пропустят прогу, если создать поток какой-нить разрешенной в правилах файрволла программе (explorer.exe например),не обязательно писать DLL, её не видно диспетчером -> не нужно делать её не выгружаемой
ЗЫ: ламеров попугать можно
ЗЗЫ: приходи на komtels.ru/forum/index.php в разделе программирование создай новый топ и внём я тебе всё объясню, просто у меня там гостевой ;) да и он мне как родной. Ответ гарантирую. Да... в древнейшем хакерском журнале phrack №62 всё написано.
Да... в древнейшем хакерском журнале phrack №62 всё написано.
В Phrack'е? О Делфи? Не верю! :P
В Phrack'е? О Делфи? Не верю! :P
Ну C++ - перевести не очень сложно.