| Автор
| Сообщение |
|
|
|
Цитата |
|
Здравствуйте!
Написал тут программку,
запретил в меню "Закрыть", а из диспетчера
задач-то она всеравно убивается...
Подскажите пож. может есть какой вариант защиты от "убийства" 
и через Диспетчер Задач Виндоуз
как например процесс "Винлогон"?
|
|
| В начало |
|
 |
|
|
 |
 Gelios
Oracle-вый маньяк, Админ
Возраст: 37
Знак зодиака: 
Зарегистрирован: 10.03.2005
Сообщения: 6141
Откуда: Яблочный рай
|
|
|
Цитата |
|
пиши обработчик OnCloseQuery
_________________
нельзя давать всем всего, ибо всех много, а всего мало |
|
| В начало |
|
|
DrPass
Знающий :)
/Почетный Модератор/
Возраст: 31
Знак зодиака: 
Зарегистрирован: 02.05.2002
Сообщения: 5709
Откуда: Донецк
|
|
|
Цитата |
|
Не поможет - функция TerminateProcess грохает любой процесс, на который есть права у запустившего его юзера
Улавливаете мысль? Процесс должен быть запущен либо администратором (а юзер - обычным юзером), либо системой. Системная служба вообще не может быть грохнута никем. Но, увы, она не может и работать с GUI
_________________
Да пребудет с вами Сила! |
|
| В начало |
|
|
|
|
|
Цитата |
|
comp Вот-вот и я о том же
на счет системного процесса,
однако, ребята подскажите пож., как процесс(или прогу лучше сказать) запустить как системный.
может нужно что-то координально в самом проекте сменить-при создании проги, или как-то реестр поправить а?
|
|
| В начало |
|
|
DrPass
Знающий :)
/Почетный Модератор/
Возраст: 31
Знак зодиака:
Зарегистрирован: 02.05.2002
Сообщения: 5709
Откуда: Донецк
|
|
|
Цитата |
|
Да нет - можно просто написать его в виде службы, и указать тип старта System - тогда она будет грузиться под системой. Хорошо, но тогда в ней (я уже говорил) не должно быть ни одной GDI-функции, от CreateWindow до MessageBox
_________________
Да пребудет с вами Сила! |
|
| В начало |
|
|
|
|
|
Цитата |
|
Да уж!
дело в том, что этих модалов в проге хватает.
а сам процесс от диспетчера в WinXP ни как не спрятать?
я помню, что в Win98 это вроде практиковалось. 
|
|
| В начало |
|
|
Gelios
Oracle-вый маньяк, Админ
Возраст: 37
Знак зодиака:
Зарегистрирован: 10.03.2005
Сообщения: 6141
Откуда: Яблочный рай
|
|
|
Цитата |
|
ну если назовешь его под именем системного процесса 
_________________
нельзя давать всем всего, ибо всех много, а всего мало |
|
| В начало |
|
|
DrPass
Знающий :)
/Почетный Модератор/
Возраст: 31
Знак зодиака:
Зарегистрирован: 02.05.2002
Сообщения: 5709
Откуда: Донецк
|
|
|
Цитата |
|
| Цитата: | | ну если назовешь его под именем системного процесса |
В Win9x - хорошая жизнь была когда-то
| Цитата: | | а сам процесс от диспетчера в WinXP ни как не спрятать? |
Задачка нетривиальная и довольно интересная. Обычно знающие люди говорят, что нельзя... На самом деле, я думаю, можно (опять же, при условии , что у твое проги есть права на процесс, в котором она будет ковыряться). Хотя с запущенным юзером Диспетчером эта проблема не стоит
Тебе нужно
1. Отследить запуск Диспетчера задач
2. Закинуть в него через WriteProcessMemory кусок своего кода. Цель кода - вызов функции NTQueryInformation и обработка выдаваемой ей структуры TProcessInformation на предмет удаления инфы о твоей проге.
3. Заменить в коде Диспетчера вызовы NtQueryInformation на вызовы твоего добавленного кода. Опять тем же WriteProcessMemory
Как видишь, это типичная вирусная вивисекция Диспетчера. Поверь мне, довольно геморное дело, к тому же требующее достаточной квалификации.
_________________
Да пребудет с вами Сила! |
|
| В начало |
|
|
|
|
|
Цитата |
|
Даже не знаю чего сказать,
короче мне сперва прийдется на бананах в Африке порепетировать наверное
|
|
| В начало |
|
|
|
|
|
|
|
|
Цитата |
|
1) Подскажите товарищи (или господа) программеры как заблокировать клаву и мыш средствами ДЕЛФИ !!!
Была такая фишка как EnableHardwareInput(Enable:Boolean) или, что-то в этом роде, но она не работает в 7 ДЕЛФЕ ...
2) Как отправить файл по Электронной почте скажем на мой e-mail .
Зарание Благодарин !!!
|
|
| В начало |
|
|
Gelios
Oracle-вый маньяк, Админ
Возраст: 37
Знак зодиака:
Зарегистрирован: 10.03.2005
Сообщения: 6141
Откуда: Яблочный рай
|
|
|
Цитата |
|
1.что значит не работает?
2. см indy
_________________
нельзя давать всем всего, ибо всех много, а всего мало |
|
| В начало |
|
|
dogma
aka Достоевский
Возраст: 27
Знак зодиака: 
Зарегистрирован: 20.12.2004
Сообщения: 1702
Откуда: Холмск
|
|
|
Цитата |
|
| Цитата: | задачка нетривиальная и довольно интересная. Обычно знающие люди говорят, что нельзя... На самом деле, я думаю, можно (опять же, при условии , что у твое проги есть права на процесс, в котором она будет ковыряться). Хотя с запущенным юзером Диспетчером эта проблема не стоит
Тебе нужно
1. Отследить запуск Диспетчера задач
2. Закинуть в него через WriteProcessMemory кусок своего кода. Цель кода - вызов функции NTQueryInformation и обработка выдаваемой ей структуры TProcessInformation на предмет удаления инфы о твоей проге.
3. Заменить в коде Диспетчера вызовы NtQueryInformation на вызовы твоего добавленного кода. Опять тем же WriteProcessMemory |
Круто! Вот решил что-то эдакое выдернуть из DRKB и выставить на обозрение.
Зааттачил библиотеку и приложение, которое не видимо в TaskMeneger.
| Описание: |
| второй параметр функции HideProcess определяет нужно ли прятать процесс только от TaskManager'а, или же от остальных программ, использующих для получения списка процессов функцию NtQuerySystemInformation из ntdll.dll. |
|
Скачать |
| Имя файла: |
inVisible_under_XP.zip |
| Размер: |
47.85 KB |
| Загружен: |
550 раз(а) |
_________________
Bonum initium est dimidium facti
SQL-задачи (on-line) |
|
| В начало |
|
|
Ktf
Администратор
Возраст: 32
Знак зодиака: 
Зарегистрирован: 15.05.2005
Сообщения: 1502
Откуда: localhost
|
|
|
Цитата |
|
хм, nthide.dll - известная и весьма неплохая библиотека.
однако и ее легко можно обойти.
в свое время для себя я написал альтернативный диспетчер задач, специально для обнаружения пытающихся скрыться программ.
функция NtQuerySystemInformation вызывается не из программы-диспетчера, а из некой защищенной службы.
при обновлении информации о процессах диспетчер шлет запрос службе, та получает необходимую информацию и передает ее диспетчеру.
|
|
| В начало |
|
|
|
|
|
Цитата |
|
| Как выход - параллельно запускать сторожевой процесс. Стартовать нужно не из реестра Run, а использовать COM, ну а дальше - дело техники.
|
|
| В начало |
|
|
|
|
|
Цитата |
|
| А чего дохтор веб кричит что в nthide.dll присутствует троян?
|
|
| В начало |
|
|
|
