سلام
1-میخاستم بدونم چه جوری میشه که یه Process رو نمیشه بست؟
اگه کدی یا روشی برای این کار سراغ دارید لطفا بگید
آیا روشی هست که اینجور برنامه ها رو بست؟
2-راجع به غیب کردن Process چی؟
کدی یا مثالی دارید یا روششو بلدید؟
ممنون
دومیه که خیلی راحته دوست من
برو به وبلاگ من بعدشم قسمت آذر 85
اون اولیه رو حتی بعضی از شرکت های آنتی ویروس هم بلد نیستن
وبلاگ :www.iranianvirus.blogfa.com
arian_vc نوشته است:سلام
1-میخاستم بدونم چه جوری میشه که یه Process رو نمیشه بست؟
اگه کدی یا روشی برای این کار سراغ دارید لطفا بگید
آیا روشی هست که اینجور برنامه ها رو بست؟
2-راجع به غیب کردن Process چی؟
کدی یا مثالی دارید یا روششو بلدید؟
ممنون
برای نبستن پروسس ها میتونین اونها رو به صورت سرویس بنویسین یک سرویس که به صورت سیستمی اجرا شده به کاربر اجازه endtaskکردنش داده نمیشه اینو میشه با disableکردنش در بخش administrator tools قسمت سرویس از اجراش جلوگیری کرد
میتونی از hook استفاده کنی و وقتی فرمان wm_quitبه پروسس شما فرستاده شد اونو از threadحذف کنین
راحترین راه هم که خیلی از برنامه ها استفاده میکنند اجرای 2 پروسس همزمان هست که تو یه تایمر همدیگه رو چک میکنن که هر کدوم اونیکی رو پیدا نکرد با فرمان createprocess دوباره اونو فراخوانی میکنه
برای هایدن کردن پروسس هم چند راه هست
اول اینکه از processinjection استفاده کنی
دوم از روتکیتها استفاده کنی که یک نمونه کاملشو در سایت اقای ویسکرمی میتونین پیدا کنین
سوم هم تمام پروسس ها از pidکه بهشون اختصاص داده میشه شناسایی میشن دقیق نمیدونم تو کدوم dllهست که اونو هم میتونی با اینجکشن ترتیبشو بدی
راجع به کارای اولی که گفتی میرم مطالعه کنم
میشه راجع به این اینجکشن توضیح بدید ؟
منظورتون از اینکشن چیه؟ یعنی جای یه برنامه رو بگیرم یا خودمو بهش اضافه کنم؟
تازه چه جوری؟ قربون دستت یه لینکشم بدی که دیگه عالی میشه!
منتظر جوابتون هستم
خیلی خیلی ممنون
اگه بخوای از بسته شدن جلوگیری کنی باید
Dllت یا برنامت رو توی TaskMgr اینجکت کنی می تونتی از بسته شدن جلوگیری کنی
ولی مشکل اینه که علاوه بر اینجکت Dllت که براش یک حلقه کنترول میزاری باید از یک حلقه کنترول دیگه هم استفاده کنی برای اینجکت کدت در User32
البته من که ویژوال بیسیک کار میکنم نمیتونم از این روش استفاده کنم و علارقم اینکه آسونترین روش انجکت کد هست با ویژوال بیسیک سازگاری نداره
ولی روش دیگه استفاده از CreateRemoteThread هست که اینو به زور فقط میتونم الگوریتمشو بهت توضیح بدم چون نتونستم درستوحسابی باهاش کار کنم
اینجکشن یعنی تزریق ودستورات مورد نظرتو به فضای ادرسی یه پروسه دیگه میفرستی برای این کار باید با memoryallocفضای ادرسی اون پروسس رو shareکنی چون در حالت معمولی سیستم عامل اجازه دسترسی نمیده چون پروسسها در حالت protectionاجرا می شن بعد یه remoutethreadمیزنی به محل ادرس مورد نظرت و با استفاده از readprocessmemoy میتونی اطلاعات رو بخونی و با writeprocessmemoryمیتونی اطلاعات رو بنویسی اگه اسمبلی یه کم بلد باشی خیلی کمکت میکنه
میگم مثل اینکه یه کار دیگه هم هست که آسون تره
برای غیب کردن
مثل اینکه اگه به عنوان یه سرویس سیستمی رجیسترش کنم دیگه تو لیست TaskMgr نشون داده نمیشه درسته؟
راجع به کارهایی هم که لطف میکنید میگید لطفا یه مثال بزارید
چون همونطور که میدونید اینجانب بی سواد تشریف دارم!
ممنون از همتون
چرا بازم نشون میده!
من تست کردم
به عنوان یه ماژول تو یه پروسس اینجکت کن (البته برنامت به صورت Dll باید باشه)
منضورم اون اینجکشن نبود libinjection بود هر پروسسی از روی pidکه بهش اختصاص داده میشه شناسایی میشه توی یه سایت خارجی یه مثال دیده بودم یادم نمیاد کدوم سایت بود ولی dllویندوزی که مسئول این وظیفه بود رو اینجکشن کرده بود تا pidمورد نظر نشون داده نشه کدش رو که دیدم بیخیالش شدم
ولی یه کد دارم به دلفی و برای هاید پروسس در nt پیداش کردم حتما میزارم
داخل خود سایت یه سرچ بزنی چند تا برنامه پیدا می کنی ( آقای بهزاد خزاما نوشته ) . بهترینش هم یه ماجول هست که به پروژه اضافه می کنی و به محض باز شدن تسک منیجر اسم برنامه رو از اون حذف می کنه و بهترین و ساده ترین راه هست که کاملا عملیه.
اقای ویس کرمی ازdllاستفاده نکنین مستقیم تزریق کنین بعد از اینکه مموری رو شیر کردین و پرسیچر مورد نظر تزییق شد میتونین پروسستونو ببندین کدهاتون تو پروسس جدید اجرا میشن من امتحان کردم و تسک منجر دیگه چیزی نشون نمیده