• XSS.stack #1 – первый литературный журнал от юзеров форума

поиск скрытых процессов

Отслеживать

el-

Старожил форума
Легенда
Регистрация
21.10.2006
Сообщения
442
Реакции
12
вот написла тулзу впринципе ничего осбенного, единственное что прикольно так это то, что она использует вместо api сисколы ... т.е. если трой скрывает свой процесс в юзер ланде он будет наден этой прогой ...

http://el-site.narod.ru/el-tool-viewproc-v0.01_fullpack.rar
http://el-site.narod.ru/el-tool-viewproc-v0.01_fullpack.txt

пароль: douwannabegod?
 
занятная програмулина. я у себя неодного скрытого процесса не нашел)))))
 
что она использует вместо api сисколы
вызов SYSENTER (Windows >XP) или генерацию прерываний (>2000) ?
Это не универсальный способ, т.к. их номера меняются с каждым билдом ядра, прошивать их все в проге - бред
 
вызов SYSENTER (Windows >XP) или генерацию прерываний (>2000) ?
Это не универсальный способ, т.к. их номера меняются с каждым билдом ядра, прошивать их все в проге - бред

убейся ап снену афтар ... int 2eh есть и будет есть он остался даже xp> для совместимости ... если не знаешь лучше молчи .. а пока ты молчишь сгоняй вот суда и посмотри, насколько разные номера сисколов у часто используемых функций, разных билдов мастдая ... http://www.metasploit.com/users/opcode/syscalls.html

кстати в проге все сисколы прошиты ... скажи какой бред :)

занятная програмулина. я у себя неодного скрытого процесса не нашел)))))

не более чем пример ... но согласись, код смотрится приятно :)
 
Не качал, впадло время тратить.
Но резонный вопрос - чем она лучше, например, существующей Process Hunter от Ms-Rem'a? Перехват системных вызовов там также реализован.
 
Не качал, впадло время тратить.
Но резонный вопрос - чем она лучше, например, существующей Process Hunter от Ms-Rem'a? Перехват системных вызовов там также реализован.

ты тихнично подводишь х*й к носу .:) .. епть мс рем, с кем сравниваешь ... эта прога так просто примерчик, который делался ради одног спора, просто было интересно на сисколлах пописать ...

былобы интересней если бы она писала какой процес откуда... т.е. путь к файлу процесса

можно впринципе и это добавить ... но мне почему то захотелось сделать немного другую версию данной тулзы ... сделать выход в нулевое кольцо и прямое считывания процессов например с EPROCESS ... и все на сисколах :)
 
убейся ап снену афтар ... int 2eh есть и будет есть он остался даже xp> для совместимости ... если не знаешь лучше молчи .. а пока ты молчишь сгоняй вот суда и посмотри, насколько разные номера сисколов у часто используемых функций, разных билдов мастдая ... http://www.metasploit.com/users/opcode/syscalls.html
почитай Руссиновича.

// за мат можно и "тихнично" получить минус. это к сведению;)
 
почитай Руссиновича.
дай же линк ... а вабще что именно я пойму из руссиновича, если что то про сисколлы, так вон я таблицу привел ...

// за мат можно и "тихнично" получить минус. это к сведению
да я знаю, боюсь знаешь ... но ни чего не могу с собой поделать, метерюсь знаешь ли ):
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх