Исходник Вопрос Hide a process from the Task Manager

Начинающий
Статус
Оффлайн
Регистрация
13 Янв 2019
Сообщения
22
Реакции[?]
1
Поинты[?]
1K
Йоу!

Пробую реализовать скрытие своего процесса из системы на основе syscall (системных вызовов).
Проблема заключается в том, что я ловлю синий экран. Ранее подобную функцию реализовывал в среде KM - все работало.
Функция syscall - работает./ Все заполняемые буферы передаются корректно.

Прошу помощи у ребят кто шарит в данной тематике.

Прикладываю исходный код (текст/пикча).

using pNtSetInformationProcess = NTSTATUS(WINAPI*)(HANDLE, DWORD, PVOID, ULONG);


bool MemoryRV::Testing(HANDLE proc)
{
pNtSetInformationProcess NtSetInformationProcess;

HMODULE hNtdll = LoadLibraryA("ntdll.dll");
if (hNtdll != NULL)
NtSetInformationProcess = (pNtSetInformationProcess)GetProcAddress(hNtdll, "NtSetInformationProcess");


std::cout << "GetProcAddress NtSetInformationProcess - " << NtSetInformationProcess << std::endl;
if (!Syscall<pNtSetInformationProcess>(NtSetInformationProcess, (HANDLE)proc, (DWORD)0x1D, (PVOID)NULL, (ULONG)0))
return false;

return true;
}
1708359264415.png
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
тот, кто дал тебе этот код, видать решил жёстко пранкануть тебя

0x1D - ProcessBreakOnTermination, если ты используешь этот параметр, то твой процесс приобретает критический приоритет*, и его завершение ведёт за собой бсод, оно никак не граничит с хайдом процесса
 
Начинающий
Статус
Оффлайн
Регистрация
13 Янв 2019
Сообщения
22
Реакции[?]
1
Поинты[?]
1K
тот, кто дал тебе этот код, видать решил жёстко пранкануть тебя

0x1D - ProcessBreakOnTermination, если ты используешь этот параметр, то твой процесс приобретает критический приоритет*, и его завершение ведёт за собой бсод, оно никак не граничит с хайдом процесса
К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.
Пожалуйста, авторизуйтесь для просмотра ссылки.
, тыкни сюда, тебе полезно будет почитать
Будь здоров.
 
эксперт в майнкрафт апи
Read Only
Статус
Оффлайн
Регистрация
25 Янв 2023
Сообщения
676
Реакции[?]
284
Поинты[?]
22K
К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.
ты точно ничего не путаешь когда пишешь ProcessHideFromDebugger?
да и его невымышленный брат от другой мамы имеет айди 11h/17
 
Последнее редактирование:
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
258
Поинты[?]
86K
К счастью или сожалению, никто не давал мне этот код. Только информация из различных источников.

NtSetInformationProcess из ntdll.dll с параметром ProcessInformationClass равным 0x1D. Этот параметр соответствует ProcessHideFromDebugger в структуре PROCESS_INFORMATION_CLASS.
Пожалуйста, хватит вызывать функции, которые вы не хотите изучать даже максимально поверхностно, а потом из-за этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.
Изучите хотя бы некоторые
Пожалуйста, авторизуйтесь для просмотра ссылки.
Windows для начала(а не делайте в KM непонятные для вас действия) или изучите код
Пожалуйста, авторизуйтесь для просмотра ссылки.
/
Пожалуйста, авторизуйтесь для просмотра ссылки.
(правда,лучше сделайте 1 пункт много,очень много раз,а только потом лезьте в ваше любимое ядро).
P.S играть в догонялки с попыткой
Пожалуйста, авторизуйтесь для просмотра ссылки.
процесс или юзать
Пожалуйста, авторизуйтесь для просмотра ссылки.
в 2024 уже звучит смешно.
Если серьёзно - вам потребуется очень много сил,чтобы попытаться спрятаться из обширного списка структур в ядре(по крайней мере, для предотвращения обнаружения в UM).
 
ппоршень
Пользователь
Статус
Оффлайн
Регистрация
15 Фев 2020
Сообщения
278
Реакции[?]
49
Поинты[?]
38K
Йоу!

Пробую реализовать скрытие своего процесса из системы на основе syscall (системных вызовов).
Проблема заключается в том, что я ловлю синий экран. Ранее подобную функцию реализовывал в среде KM - все работало.
Функция syscall - работает./ Все заполняемые буферы передаются корректно.

Прошу помощи у ребят кто шарит в данной тематике.

Прикладываю исходный код (текст/пикча).

using pNtSetInformationProcess = NTSTATUS(WINAPI*)(HANDLE, DWORD, PVOID, ULONG);


bool MemoryRV::Testing(HANDLE proc)
{
pNtSetInformationProcess NtSetInformationProcess;

HMODULE hNtdll = LoadLibraryA("ntdll.dll");
if (hNtdll != NULL)
NtSetInformationProcess = (pNtSetInformationProcess)GetProcAddress(hNtdll, "NtSetInformationProcess");


std::cout << "GetProcAddress NtSetInformationProcess - " << NtSetInformationProcess << std::endl;
if (!Syscall<pNtSetInformationProcess>(NtSetInformationProcess, (HANDLE)proc, (DWORD)0x1D, (PVOID)NULL, (ULONG)0))
return false;

return true;
}
Посмотреть вложение 270978
а что там над этой функцией еще на 900+ строк?
 
Разработчик
Статус
Оффлайн
Регистрация
1 Сен 2018
Сообщения
1,602
Реакции[?]
882
Поинты[?]
117K
Пожалуйста, хватит вызывать функции, которые вы не хотите изучать даже максимально поверхностно, а потом из-за этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.
Изучите хотя бы некоторые
Пожалуйста, авторизуйтесь для просмотра ссылки.
Windows для начала(а не делайте в KM непонятные для вас действия) или изучите код
Пожалуйста, авторизуйтесь для просмотра ссылки.
/
Пожалуйста, авторизуйтесь для просмотра ссылки.
(правда,лучше сделайте 1 пункт много,очень много раз,а только потом лезьте в ваше любимое ядро).
P.S играть в догонялки с попыткой
Пожалуйста, авторизуйтесь для просмотра ссылки.
процесс или юзать
Пожалуйста, авторизуйтесь для просмотра ссылки.
в 2024 уже звучит смешно.
Если серьёзно - вам потребуется очень много сил,чтобы попытаться спрятаться из обширного списка структур в ядре(по крайней мере, для предотвращения обнаружения в UM).
я перешёл по ссылке, а там всё на китайском, что делать? меня взломали?
 
Stop Staring At the Shadows
Участник
Статус
Оффлайн
Регистрация
10 Окт 2020
Сообщения
519
Реакции[?]
497
Поинты[?]
86K
Сверху Снизу