хай! рылся у себя в винте и нашел весьма интересный юнит для delphi. Манипулирует с физической памятью (\Device\PhysicalMemory) и скрывает процесс, вызвавший функцию. Никаких перехватов. Главная функция MyHideProcess. Code: function MyHideProcess: Boolean Может кому нибудь пригодится. http://zalil.ru/29890015
доступ к физикалмемори закрыт с юзермода начиная толи с сп2 толи с сп3 винды хр это скорей для любителей антиквариата =)
Очень странно. Проверил на Windows SP3 - работает, но неправильно. Иногда скрывается не тот процесс, который вызывал функцию, а вообще другой. Вообще очень интересный способ скрытия, надо бы изучить это. Update. Вообще все процессы скрылись.
интересный эффект при отладке, процесс скрывается и срывает крышу отладчику, в cpu ничего не отображается
Мдауж, любая проактивка заорет на этот код. Плюс из под админа тока пашет. Исходник реально стар и работает не на всех системах шас. Ну и как обычно - любой антируткит заорет на скрытый процесс
По идеи нету нормального кода, который беспалевно скрывал бы процесс. Ну разве если используешь малоизвестные уязвимости, но это, скорее, редкие случаи. Современная проактивка должна обрабатывать любые попытки скрытия процесса.