HideProcess Unit

Discussion in 'С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby' started by crypt0n, 29 Oct 2010.

  1. crypt0n

    crypt0n Member

    Joined:
    20 Feb 2010
    Messages:
    40
    Likes Received:
    5
    Reputations:
    0
    хай! рылся у себя в винте и нашел весьма интересный юнит для delphi. Манипулирует с физической памятью (\Device\PhysicalMemory) и скрывает процесс, вызвавший функцию. Никаких перехватов. Главная функция
    MyHideProcess.
    Code:
    function MyHideProcess: Boolean
    Может кому нибудь пригодится.

    http://zalil.ru/29890015
     
    1 person likes this.
  2. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    доступ к физикалмемори закрыт с юзермода начиная толи с сп2 толи с сп3 винды хр

    это скорей для любителей антиквариата =)
     
  3. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Очень странно. Проверил на Windows SP3 - работает, но неправильно.
    Иногда скрывается не тот процесс, который вызывал функцию, а вообще другой.
    Вообще очень интересный способ скрытия, надо бы изучить это.

    Update. Вообще все процессы скрылись.
     
    #3 Chrome~, 29 Oct 2010
    Last edited: 29 Oct 2010
  4. crypt0n

    crypt0n Member

    Joined:
    20 Feb 2010
    Messages:
    40
    Likes Received:
    5
    Reputations:
    0
    интересный эффект при отладке, процесс скрывается и срывает крышу отладчику, в cpu ничего не отображается :)
     
  5. Voland-791

    Voland-791 Member

    Joined:
    1 May 2009
    Messages:
    163
    Likes Received:
    13
    Reputations:
    5
    юзал прога норм,но вот ток не декомпилируется никак!
     
  6. slesh

    slesh Elder - Старейшина

    Joined:
    5 Mar 2007
    Messages:
    2,702
    Likes Received:
    1,224
    Reputations:
    455
    Мдауж, любая проактивка заорет на этот код. Плюс из под админа тока пашет.
    Исходник реально стар и работает не на всех системах шас. Ну и как обычно - любой антируткит заорет на скрытый процесс
     
  7. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    По идеи нету нормального кода, который беспалевно скрывал бы процесс. Ну разве если используешь малоизвестные уязвимости, но это, скорее, редкие случаи. Современная проактивка должна обрабатывать любые попытки скрытия процесса.