Исходник Вопрос Hide a process from the Task Manager

[Хайтуха]

Йоу!

Пробую реализовать скрытие своего процесса из системы на основе syscall (системных вызовов).
Проблема заключается в том, что я ловлю синий экран. Ранее подобную функцию реализовывал в среде KM - все работало.
Функция syscall - работает./ Все заполняемые буферы передаются корректно.

Прошу помощи у ребят кто шарит в данной тематике.

Прикладываю исходный код (текст/пикча).

using pNtSetInformationProcess = NTSTATUS(WINAPI*)(HANDLE, DWORD, PVOID, ULONG);


bool MemoryRV::Testing(HANDLE proc)
{
pNtSetInformationProcess NtSetInformationProcess;

HMODULE hNtdll = LoadLibraryA("ntdll.dll");
if (hNtdll != NULL)
NtSetInformationProcess = (pNtSetInformationProcess)GetProcAddress(hNtdll, "NtSetInformationProcess");


std::cout << "GetProcAddress NtSetInformationProcess - " << NtSetInformationProcess << std::endl;
if (!Syscall<pNtSetInformationProcess>(NtSetInformationProcess, (HANDLE)proc, (DWORD)0x1D, (PVOID)NULL, (ULONG)0))
return false;

return true;
}

 

[colby57]

тот, кто дал тебе этот код, видать решил жёстко пранкануть тебя

0x1D - ProcessBreakOnTermination, если ты используешь этот параметр, то твой процесс приобретает критический приоритет*, и его завершение ведёт за собой бсод, оно никак не граничит с хайдом процесса

 

[Хайтуха]

тот, кто дал тебе этот код, видать решил жёстко пранкануть тебя

0x1D - ProcessBreakOnTermination, если ты используешь этот параметр, то твой процесс приобретает критический приоритет*, и его завершение ведёт за собой бсод, оно никак не граничит с хайдом процесса

К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.

 

[colby57]

К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.

Пожалуйста, авторизуйтесь для просмотра ссылки.

, тыкни сюда, тебе полезно будет почитать
Будь здоров.

 

[metafaze]

К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.

ты точно ничего не путаешь когда пишешь ProcessHideFromDebugger?
да и его невымышленный брат от другой мамы имеет айди 11h/17

 

[Ahora_technology]

К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.

Пожалуйста, хватит вызывать функции, которые вы не хотите изучать даже максимально поверхностно, а потом из-за этого

Пожалуйста, авторизуйтесь для просмотра ссылки.

.
Изучите хотя бы некоторые

Пожалуйста, авторизуйтесь для просмотра ссылки.

Windows для начала(а не делайте в KM непонятные для вас действия) или изучите код

Пожалуйста, авторизуйтесь для просмотра ссылки.

/

Пожалуйста, авторизуйтесь для просмотра ссылки.

(правда,лучше сделайте 1 пункт много,очень много раз,а только потом лезьте в ваше любимое ядро).
P.S играть в догонялки с попыткой

Пожалуйста, авторизуйтесь для просмотра ссылки.

процесс или юзать

Пожалуйста, авторизуйтесь для просмотра ссылки.

в 2024 уже звучит смешно.
Если серьёзно - вам потребуется очень много сил,чтобы попытаться спрятаться из обширного списка структур в ядре(по крайней мере, для предотвращения обнаружения в UM).

 

[alliedmodders]

Йоу!

Пробую реализовать скрытие своего процесса из системы на основе syscall (системных вызовов).
Проблема заключается в том, что я ловлю синий экран. Ранее подобную функцию реализовывал в среде KM - все работало.
Функция syscall - работает./ Все заполняемые буферы передаются корректно.

Прошу помощи у ребят кто шарит в данной тематике.

Прикладываю исходный код (текст/пикча).

using pNtSetInformationProcess = NTSTATUS(WINAPI*)(HANDLE, DWORD, PVOID, ULONG);


bool MemoryRV::Testing(HANDLE proc)
{
pNtSetInformationProcess NtSetInformationProcess;

HMODULE hNtdll = LoadLibraryA("ntdll.dll");
if (hNtdll != NULL)
NtSetInformationProcess = (pNtSetInformationProcess)GetProcAddress(hNtdll, "NtSetInformationProcess");


std::cout << "GetProcAddress NtSetInformationProcess - " << NtSetInformationProcess << std::endl;
if (!Syscall<pNtSetInformationProcess>(NtSetInformationProcess, (HANDLE)proc, (DWORD)0x1D, (PVOID)NULL, (ULONG)0))
return false;

return true;
}
Посмотреть вложение 270978

а что там над этой функцией еще на 900+ строк?

 

[SapDragon]

Пожалуйста, хватит вызывать функции, которые вы не хотите изучать даже максимально поверхностно, а потом из-за этого

Пожалуйста, авторизуйтесь для просмотра ссылки.

.
Изучите хотя бы некоторые

Пожалуйста, авторизуйтесь для просмотра ссылки.

Windows для начала(а не делайте в KM непонятные для вас действия) или изучите код

Пожалуйста, авторизуйтесь для просмотра ссылки.

/

Пожалуйста, авторизуйтесь для просмотра ссылки.

(правда,лучше сделайте 1 пункт много,очень много раз,а только потом лезьте в ваше любимое ядро).
P.S играть в догонялки с попыткой

Пожалуйста, авторизуйтесь для просмотра ссылки.

процесс или юзать

Пожалуйста, авторизуйтесь для просмотра ссылки.

в 2024 уже звучит смешно.
Если серьёзно - вам потребуется очень много сил,чтобы попытаться спрятаться из обширного списка структур в ядре(по крайней мере, для предотвращения обнаружения в UM).

я перешёл по ссылке, а там всё на китайском, что делать? меня взломали?

 

[annihilatorq]

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.

точно