|||||||| يك سوال تخصصي در رابطه با End process دارم؟؟!|||||||||

**Payman_62** · 01-01-2009, 13:01

سلام.
ahp جان خوب برنامه مردم رو به اسم خودت کامپایل میکنی ها. لااقل یه تغییر کوچولو تو کدش میدادی بتونیم بگیم کار خودته.
اصل این برنامه متعلق به آقای Behzad khazama است که میتونید از این جا دانلود کنید.

روش کار این برنامه به این صورته که پروسه مورد نظر رو تو یه تایمر از تسک منیجر حذف میکنه. ولی روش جالبی نیست. چون تسک منیجر که ریفرش میشه پروسه بر میگرده و دوباره برنامه ما پروسه رو مخفی میکنه که این عمل باعث میشه تسک منیجر هی چشمک بزنه و همین قضیه بسیار شک بر انگیزه.
برای حل این مشکل میشه از تابع killtimer استفاده کرد که بهزاد تو ورژن جدید برنامش به برنامه اضافه کرده بود. ولی مشکل اون روش اینه که وقتی به تب performance میریم نوار مغزی cpu و میزان استفاده از رم رو ثابت و بدون حرکت میبینم و باز این قضیه شک برانگیزه.

**MichaelQwerty** · 02-01-2009, 05:54

لطفا در رابطه با موضوع بحث کنید سوال من مخفی کردن proces نیست
برنامه من ویروس نیست
سوال من جلوگیری از End process هستش
مثل برنامه deep freeze

**Payman_62** · 02-01-2009, 12:16

سلام.
MichaelQwerty جان بهت که گفتم. رو توابع هوک کار کن.

**MichaelQwerty** · 03-01-2009, 07:32

لینکهایی که در رابطه با hook گذاشتین ظاهرا برای Vb6 نیست

**Payman_62** · 03-01-2009, 12:54

سلام.
هوک با ویبی مشکله. به همین دلیل سورس در این زمینه برای ویبی کم پیدا میشه. خودت سرچ کن ببین چیزی پیدا میکنی.

***Batman*** · 04-01-2009, 03:23

سلام.
RegisterServiceProcess هم هست.منتها چون فقط روی ویندوزهای 9x کار میکنه عملا به درد نمیخوره.

این دو تا لینکو پیدا کردم.
برنامه ها با VB6 نوشته شدن.من سورس ها رو ندیدم چون VB6 ندارم.
هر دو برنامه برای مخفی کردن process ها نوشته شدن.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

لطفا در رابطه با موضوع بحث کنید سوال من مخفی کردن proces نیست

هر گردی که گردو نیست دوست من .اونا سرویس هستن.سرویس بسته نمیشه.
باید بری تو قسمت سرویسها ببندیش.
موفق باشی.

راستی اینجا هم انگار یه چیزایی نوشته.برو ببین:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**MichaelQwerty** · 04-01-2009, 19:09

ممنون آقای بتمن
اگه اینطور بود خیلی خوب میشد (هر گردی که گردو نیست دوست من .اونا سرویس هستن.سرویس بسته نمیشه.)
توضیح میدید که hook چطور جلوی end process شدن را می گیرد این دو چه رابطه ای با هم دارند

***Batman*** · 04-01-2009, 21:07

Hook جلوی بسته شدن Process را نمیگیره.یا بهتره بگم من تابحال چنین چیزی ندیدم.
Hook رو نمیشه تو یک خط توضیح داد.لینک زیر در مورد Hook توضیحات خوبی داده.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مخفی کردن Process برنامه بیشتر از این دو راه استفاده میشه:

1-Process برنامه خودتون را به یک Process سیتمی تزریق کنید.(اگر حجم فایل اجرایی زیاد باشه این کار صحیح نیست)

2-از API Hook استفاده کنید. Rootkit ها هم اینکارو میکنن.

یه راه دیگه اش هم نوشتن درایور هست.

**hoax3r** · 04-01-2009, 22:15

در ادامه صحبت دوستان و در مورد کار شما که فکر می کردم تا الان به نتیجه رسیدین!!؟
برای اینکه پروست بسته نشه باید تابعی رو که قبلا گفتم هوک کنی، هر چی api سطح پایین باشه بهتره اینجور توابع با پیشوند Nt یا Zw هستن
برای اینکه یه api رو هوک کنی (در ساسر سیستم یا system-wide) دو تا کار میتونی بکنی
1 - ساختن یه dll و تزریغش به پروسه ها( که این خودش روش های متفاوتی داره)
2 - این رو هم که جناب *Batman* گفتن ساختن درایور در سطح کرنل، این مورد رو عموما فایروال ها و آنتی ویروسها استفاده میکنند
پس دور از انتظار نیست که بعضی توابع توسط این جور برنامه ها هوک شده باشه که این در مورد روش اول هم صادقه
اگه اینجوری بود اول api رو اصطلاحا Unhook میکنی اینکه چطور اینکار انجام میشه باید در مورد EAT فایل اجرایی یه مقدار جستجو کنید که چیه و به چه درد میخوره
بعد آدرس api که هوک شده رو در EAT پیدا میکنی و بایتهای اصلی رو سر جاش میزاری و خودت هوکش میکنی

شما همین روش اول رو انجام بدین به اینصورن که بعد تزریغ dll به پروسه ها باید آدرس اون api
رو پیدا کنی چند بایت اولش رو با یه دستور جامپ به تابعی که توی dll قرار دادی بفرستی و پارامتهای
api رو برسی کنی اگه با شناسه (PID) پروسه خودت یکی بود اجازه ی بسته شدن نمیدی

و برای اینکه این قضیه براتون روشنتر بشه کتاب Rootkits: Subverting the Windows Kernel رو بد نیست بخونید که
توضیحات زیادی در مورد هوک به اضافه مثال داده و اینکه چطور dll تون رو تزریغ کنید و کلی چیزای دیگه

متاسفانه خیلی تو این زمینه کار نکردم که سورس بهتون بدم، ولی خوبه خودتون پیش قدم بشین روی این قضیه
بیشتر کار کنید و نتایجتون رو بزارین تا بقیه هم استفاده ببرن

شاد باشید

**ADRIEN** · 04-01-2009, 22:58

با سلام
توی صفحات قبل دیدم برای مخفی کردن برنامه از تب Applications تسک منیجر سورس گذاشته شده بود در حالی که با کد App.TaskVisible = False میشه برنامه رو از اون تب مخفی کرد اگه خواستین از تب Processes هم مخفی کنید بگید تا یه سورس بزارم
MichaelQwerty نمیدونم شما چرا برنامتو مخفی نمیکنی ؟
همونجور که دوستان گفتن هوک بحث سنگینی هستش
امیدوارم این مبحث ادامه پیدا کنه

نام تاپيک: |||||||| يك سوال تخصصي در رابطه با End process دارم؟؟!|||||||||

اختيارات تاپيک

2 کاربر از Payman_62 بخاطر این مطلب مفید تشکر کرده اند

این کاربر از hoax3r بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن