Что нового?

C++ Скрываем процессы от сторонних проверок

Irval
Irval
Олдфаг
Статус
Оффлайн
Регистрация
18 Фев 2019
Сообщения
2,826
Реакции[?]
1,853
Поинты[?]
24K
Решил я немного попрактиковаться в искусстве хукинга и поделиться с Вами небольшой динамической библиотекой для модификации функции NtQuerySystemInformation с целью скрытия процессов при стандартных проверках без драйверов. Она также отлично подходит для удаления процесса из списка запущенных в диспедчере задач Windows.

Использование.
Для подмены информации о процессах необходимо заинжектить скаченную Вами .dll с помощью метода LoadLibrary. Это можно сделать с помощью любого популярного инжектора, в том числе и ProcessHacker, а также собственного лоадера, если целевой процесс обнаруживает остальные.
В директории с процессом для модификации должен появиться файл HidingProcesses.txt, через него Вы можете устанавливать скрываемые программы. Разместите название каждого процесса на отдельной строке в файле, например:
ProcessHacker.exe
WinRAR.exe
browser.exe
Postman.exe
В течение 10 секунд информация обновится и процессы будут скрыты.
Учтите, что
Пожалуйста, авторизуйтесь для просмотра ссылки.
может использоваться только для 64-разрядных процессов, а
Пожалуйста, авторизуйтесь для просмотра ссылки.
- для 32.

Выгрузка .DLL осуществляется либо вручную через программы, позволяющие отгружать отдельные модули, либо простым перезапуском процесса.

Официальный репозиторий GitHub:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Скачать .dll (x64/86):
Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.
|
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
4get
feel irl
4get
Участник
Статус
Оффлайн
Регистрация
21 Дек 2018
Сообщения
677
Реакции[?]
294
Поинты[?]
16K
Если я верно понял, то с юзермода не будет видно те штуки которые указал в списке?
 
GoGi1337
Модератор форума
GoGi1337
Модератор
Статус
Оффлайн
Регистрация
2 Дек 2016
Сообщения
2,390
Реакции[?]
1,881
Поинты[?]
36K
Передаю привет оптимизации
Пожалуйста, авторизуйтесь для просмотра ссылки.


вместо if (SystemProcessInformation == SystemInformationClass && STATUS_SUCCESS == status)
лучше юзать так: if(SystemProcessInformation == SystemInformationClass && NT_SUCCESS(status))

Не самое лучшее исполнение и в следующий раз код из интернета дорабатывай.. а не пускай в открытое плавание..
 
Войдите или зарегистрируйтесь для ответа.
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Сверху Снизу