вот, собственно вопрос возник... в винде висят процы с пометками [user] , SYSTEM, Local Service etc... так вот... у каспера один из его процессов висит как раз под SYSTEM. Какая строчка в коде отвечает за это??? Могу ли я например на С скомпилить приложение, чтоб запускалось с системной пометкой??? Да, кстати сразу, чтоб не флудить ещё вопрос: существуют такие процессы, а точнее имена, которые через "Диспетчер Задач" невозможно выгрузить (кстати очень полезно при впаривании троев) например: lsass.exe winlogon.exe csrss.exe etc... в каком системном фаиле хранятся эти имена??? С Уважением lowerewol!
c пометкой SYSTEM запускаюцца сервисы если ты хочешь, чтоб твой процесс невозможно было выгрузить, пиши драйвер, который будет перехватывать ZwOpenProcess/ZwOpenThread/ZwTerminateProcess (имеено так и делают антивирусы, файрволлы, и прорч) вобщем, гоуту www.rootkit.com там инфы и сорсов по сабжу навалом
