Скрытие или отображение процесса из списка процессов - delfcode
Вторник, 06.12.2016, 19:03 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Скрытие или отображение процесса из списка процессов
Скрытие или отображение процесса из списка процессов
IgorChekunДата: Пятница, 30.12.2011, 00:19 | Сообщение # 1
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Code
{ **** UBPFD *********** by delphibase.endimus.com ****
>> СКРЫТИЕ или отображение процесса из списка ctrl+alt+del

СКРЫТИЕ или отображение процесса в списке ctrl+alt+del

ПРАВИЛА ИСПОЛЬЗОВАНИЯ:

ДЛЯ скрытия собственного приложения из списка процессов, отображаемых
при нажатии CTRL+ALT+DEL, вызывайте функцию ShowHideInCad со следующими
параметрами:

ShowHideInCad (TakeMyApplicationProcessID, False) - и название Вашего
приложения будет скрыто из списка CTRL+ALT+DEL

ДЛЯ скрытия процесса чужого приложения, вызывайте функцию с такими
параметрами:

ShowHideInCAD (TakeProcessID('Заголовок окна скрываемого приложения'), FALSE)

Зависимости: windows
Автор:       VID, vidsnap@mail.ru, ICQ:132234868, Махачкала
Copyright:   VID
Дата:        23 мая 2002 г.
***************************************************** }

unit cad;

interface
uses windows;

function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external 'KERNEL32.DLL';
function ShowHideInCad(ProcessID: Integer; Show: Boolean): boolean;
function TakeProcessID(WindowTitle: string): Integer;
function TakeMyApplicationProcessID: Integer;

implementation

//Получение дескриптора процесса любого окна, по заголовку этого окна

function TakeProcessID(WindowTitle: string): Integer;
var
   WH: THandle;
begin
   result := 0;
   WH := FindWindow(nil, pchar(WindowTitle));
   if WH <> 0 then
     GetWindowThreadProcessID(WH, @Result);
end;

//Получение дескриптора процесса собственного приложения

function TakeMyApplicationProcessID: Integer;
begin
   Result := GetCurrentProcessID;
end;

//Отображение/Скрытие процесса в CTRL+ALT+DEL

function ShowHideInCAD(ProcessID: Integer; Show: Boolean): Boolean;
begin
   result := true;
   try
     //если show = true , то отображаем процесс в CAD, иначе - прячем
     if Show = True then
       RegisterServiceProcess(ProcessID, 0)
     else
       RegisterServiceProcess(ProcessID, 1);
   except result := false;
   end;
end;

end.


Код актуален для XP,Vista,Seven?
 
Волк-1024Дата: Пятница, 30.12.2011, 00:38 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
(Боже) По-моему, это вообще для Win 95. Уж слиииишком всё примитивно. И вообще не факт, что будет работать и там =). Хотя...

Quote
Дата: 23 мая 2002 г.


Однако. Не прогадал.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 00:39
 
IgorChekunДата: Пятница, 30.12.2011, 00:42 | Сообщение # 3
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Плохо)
Это тип перехват API функций?
 
Волк-1024Дата: Пятница, 30.12.2011, 00:42 | Сообщение # 4
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Ты что. Это вообще фигня, а не перехват.

Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 00:43
 
IgorChekunДата: Пятница, 30.12.2011, 00:45 | Сообщение # 5
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Ну я нашёл статью "перехват API функций", для seven или XP подойдёт же?
 
Волк-1024Дата: Пятница, 30.12.2011, 00:48 | Сообщение # 6
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
P.S. Могу скинуть либу от моего троя. На скрытие процесса в который будет загружена она

Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 00:48
 
IgorChekunДата: Пятница, 30.12.2011, 00:50 | Сообщение # 7
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Если можешь, скинь. В личку наверное. Буду разбираться)
 
Волк-1024Дата: Пятница, 30.12.2011, 00:55 | Сообщение # 8
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Исходников нет. Всё посеял... (((
Но она написана по принципу, котрый описан на wasm'е.
Прикрепления: Hide.dll(15Kb)


Pascal, C\C++, Assembler, Python
 
IgorChekunДата: Пятница, 30.12.2011, 00:59 | Сообщение # 9
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Жаль, я как раз сейчас и читаю статью с wasma(ru) =)
И спасибо за библиотечку) Где кнопка "спасибо"?


Сообщение отредактировал IgorChekun - Пятница, 30.12.2011, 01:05
 
Волк-1024Дата: Пятница, 30.12.2011, 15:35 | Сообщение # 10
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Забыл добавить. Эта библиотека скрывает лишь процесс с именем "svhost.exe".
Для изменения этого придется править в любом HEX редакторе.


Pascal, C\C++, Assembler, Python
 
IgorChekunДата: Пятница, 30.12.2011, 23:32 | Сообщение # 11
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Мне эту библиотечку вместе с вирём таскать придётся?
 
Волк-1024Дата: Пятница, 30.12.2011, 23:47 | Сообщение # 12
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Не обязательно. Её можно носить в теле вируса или в его ресурсах.

Pascal, C\C++, Assembler, Python
 
IgorChekunДата: Суббота, 31.12.2011, 00:07 | Сообщение # 13
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
ОФФТОП



Сообщение отредактировал dolphin - Воскресенье, 01.01.2012, 13:41
 
NeoДата: Суббота, 31.12.2011, 15:11 | Сообщение # 14
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
ОФФТОП



Сообщение отредактировал dolphin - Воскресенье, 01.01.2012, 13:42
 
xXxSh@dowxXxДата: Суббота, 04.02.2012, 16:55 | Сообщение # 15
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Доброго времени суток.

Не ребят почитал я тут ваши посты,поглядел...,вобщем первый самый метод это действительно только под win9...
на win xp работать не будет, почему спросите вы,да потому что кернел 32.dll разные в этих версиях винды...

соглашусь с Волком на счет hide.dll метод хороший,но если мне не изменяет память процесс скрывается только от Ctrl+Alt+Del или Ctrl+Shift+Esc любые мало-мальски нормальные программки с легкостью перехватывают хуки и вылавливают скрытый процесс...

на мой взгляд одним из более менее перспективных вариантов можно было бы рассматривать инжект в сторонний процесс,тогда процесс эксплоуером просто так не выловишь,но как многие знают все инжекты палятся в первую очередь антивирусами..,вобщем пробуем,тестируем,отписываемся,у меня самого пока что кода нет как будет отпишусь и выложу обязательно...
 
Волк-1024Дата: Суббота, 04.02.2012, 21:49 | Сообщение # 16
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
процесс скрывается только от Ctrl+Alt+Del или Ctrl+Shift+Esc

Да. Скрывает лишь от диспа.

И сейчас скрытие в диспе уже не актуально так, как и перехват апи функций.
Мне, например, более интересна схема без процессовой работы. Т.е прога создаёт удалённый поток в целевом процессе (например, эксплорер.exe) и завершается. Оставляя работу созданному потоку. Метод палевный, и тоже не сильно актуальный на сей день, но у него есть свои плюсы такие, как не будет необходимости носить с собой какие-нибудь библиотеки, т.е + меньший вес. Не нужны будут перехваты функций. Не будет виден диспетчере, если уж на то оно пошло... Есть и минусы: Любой глюк, задержка в цикле или еще что-то подобное - намертво убьет процесс.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Суббота, 04.02.2012, 21:53
 
Волк-1024Дата: Суббота, 04.02.2012, 22:27 | Сообщение # 17
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Вот пример. http://delfcode.ru/forum/10-582-1

Pascal, C\C++, Assembler, Python
 
delfcode » Delphi » Вирусология Delphi » Скрытие или отображение процесса из списка процессов
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2016 Хостинг от uCoz