Привет,
Кто подскажет как сделать?
Желательно с рабочим примером кода.
Кто подскажет как сделать?
Желательно с рабочим примером кода.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
c++ спрятать процесс из TaskManagera
- Автор темы upton
- Дата начала
Ха-ха-ха......
Инжект кода который будет хукать функции для отрисовки элементов (хук queryinfo хуита)
и скрытие своего процесса (вместе с остальными svchost.exe xd, я надеюсь что кто-то поймёт прикол)
Это если в ring3. А так все подобные чудо техники аверы уже обрезают. Так что советую придумать что-то по лучше
virus.exe
Инжект кода который будет хукать функции для отрисовки элементов (хук queryinfo хуита)
и скрытие своего процесса (вместе с остальными svchost.exe xd, я надеюсь что кто-то поймёт прикол)
Это если в ring3. А так все подобные чудо техники аверы уже обрезают. Так что советую придумать что-то по лучше
virus.exe
- Автор темы
- Добавить закладку
- #3
Ты как сделать скажи )
без зиродеев тут не обойтись. Если прям грамотное решение. Как минимум это инжект в чей-то процесс, dll инжект и тому подобное. Самое банальное - это в отдельном потоке искать активное окно или запущенный процесс диспетчера задач или же process hacker etc. т.е. хукать, если такое есть, то завершать прогу, заранее прописывая в планировщике задач, чтоб запустить прогу через N секунд. Как вариант еще создать свой процеес при помощи CreateProcess (отключится элеметарно через снятие дочерних процессов). Другой вариант развернуть два exe, которые будут чекать друг друга, и, при удалении/завершении одного из них, обратно восстановят друг друга. Еще вариант запустить exe в SW_HIDE, который через N секунд запустит твою программу (как в случае с хуками диспетчера задач).
Извиняюсь за предвзятость, но когда вижу такие сообщения мне всегда кажется, что автор не пытается самому подумать/додуматься, а ищет готовое решение, чтоб побыстрее написать что-то из паблика и хапнуть денег. Если ТС предложил бы какую-то реализацию на обсуждаение, то это уже другая история.
Инжектируй код в процесс taskmgr.exe, хукай функцию NtQuerySystemInformation, обрабатывай вызовы с классом SystemProcessInformation и удаляй нужные процессы из списка, который возвращает оригинальная функция. Был когда-то проект с тупым названием, типа n00bk1t или что-то такое, оттуда можешь пиздануть код, если слишком глупый для программирования и не хочешь развиваться.
Да как же вы заебали со своим NtQuerySystemInformation.
Мб что-то новое придумаем? К примеру хукать отрисовку
Я так с regedit делал
Ну чисто теоретически отрисовку можно и не хукать, вроде можно было из своего процесса слать оконные сообщения листвью в другом процессе и тем самым засталять его удалять определенный элемент из списка при отрисовке. Возможно это и будет работать, но далеко не факт, что во всех версиях венды у таскмгр окна называются одинаково.
Для начала, просто попробуй вывести список процессов, потом выбирай процесс не системный и пробуй с ним работать, например блокнот - хукай функцию writefile. Можешь на рохитаб поискать, там есть подобные штуки на С++ но уже в наше время не актуальные, для ознакомления нормально.
А вот актуальность очень спорная тема. Паблик длл инжект в regedit, taskmgr, cmd тот-же самый eset у меня на тестах не палил.
И тут я выпал
Такая же история была, инжектил в svchost.exe, cmd, powershell, eset выпал. После взял oski stealer (для теста знакомый выдал, рантайм был 6бешенный), зашифровал в стабе, после в памяти запустил. Рантайм был около 16, упал до 6, при этом не детектил eset. Написал хороший антиэмуль и сам exe, зомбак движком поморфил. Т.е. в памяти был уже "новый вирус" точнее с новой сигнаутурой и еще подписал валид сертом. Проактивка по идее должна была спалить, например, на скачивание 3 метровой dll и рамзещение его в %TEMP% (nss3.dll были, для работы с ff), но все успешно на мое удивление. Отсутчал.
p.s. на экспе помнится, один чувак писал, что разместил в памяти метсплоит, и eset не детектил.
вы можете буквально получить ответ на первый результат google