HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Перехват\подмена процессов WinAPI
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 01.04.2018, 23:02
Nastar
Guest
Сообщений: n/a
Провел на форуме:
17599

Репутация: 0
По умолчанию
Ребят, кто силен?

Мне нужно запустить программу на моем компе чтобы она не отображалась в списке процессов.

Читал что можно сделать "перехват и подмену", но на этом инфа закончилась)

Кто вкурсе этого метода, или может знает какой-то другой, подскажите плз!
 
Ответить с цитированием

  #2  
Старый 13.06.2018, 23:06
SpiderFox
Guest
Сообщений: n/a
Провел на форуме:
780

Репутация: 0
По умолчанию
В c# можно попробовать сделать.

telegram: @grallator

Интересная задача, имхо.

Я работал с процессами и WinAPI, но такого ещё не делал.

Пиши, если что
 
Ответить с цитированием

  #3  
Старый 14.06.2018, 00:38
st55
Guest
Сообщений: n/a
Провел на форуме:
52834

Репутация: 47
По умолчанию
Не особо шарю в этом вопросе, но можно заинжектить твой процесс в легитимный и тогда де-факто будет там отсутствовать. Любят инжектить обычно в explorer.exe и svhost.exe.
 
Ответить с цитированием

  #4  
Старый 14.06.2018, 23:59
SpiderFox
Guest
Сообщений: n/a
Провел на форуме:
780

Репутация: 0
По умолчанию
Блин, появится время, обязательно попробую.

Сиб)
 
Ответить с цитированием

  #5  
Старый 20.06.2018, 04:02
terszki
Guest
Сообщений: n/a
Провел на форуме:
3486

Репутация: 0
По умолчанию
ТС - плохо искал, инфы по этому поводу полно.

В таком случае вариантов несколько, по порядку.

1. Можно заинжектить код/длл в диспетчер задач и перехватить функцию, получающую список процессов - хз куда уходит вызов, на win8.1 перехват Process32Next, NtQuerySystemInformation не помог.

2. Можно использовать технику runpe и запуститься в другом процессе. В гугле полно инфы, но если требуется - скину пример.

3. Процесс можно сделать неубиваемым для процессов с меньшими правами:

Код:
Code:
bool ProtectProcess()
{
    SECURITY_ATTRIBUTES sa;
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);
    sa.bInheritHandle = false;
    if (ConvertStringSecurityDescriptorToSecurityDescriptor("D:P", 1, &sa.lpSecurityDescriptor, NULL))
    {
        if (SetKernelObjectSecurity(GetCurrentProcess(), DACL_SECURITY_INFORMATION, sa.lpSecurityDescriptor)) return true;
    }
    return false;
}
Помимо этих вариантов, есть и другие, например, инжект длл куда-нибудь (длл выполняет нужные действия)
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ