NTFS Stream: безфайловые процессы
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
NTFS Stream: безфайловые процессы - 2009-10-04 01:36:58.520000
|
|
|
ArtAdmin
Сообщений: 11556
Оценки: 14
Присоединился: 2007-01-17 16:55:01.430000
|
Обсуждение статьи "NTFS Stream: безфайловые процессы"
|
|
|
|
|
slon; e-mail: - 2009-10-04 01:36:59.373333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Это давно не ново,прятаться через потоки NTFS, это обсуждалось в каком-то из старых 29а, а так же по моему было в хаосе.
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2009-10-04 01:36:59.733333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Здесь не только про потоки. (и в 29a было совсем другое)
|
|
|
|
|
slon; e-mail: - 2009-10-04 01:36:59.826666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Да действительно не только про потоки, здесь ещё туториал по использованию длл. Ж))
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2009-10-04 01:36:59.893333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Very funy! %)
Тут ещё про баг в декларации функции в дэлфи +ссылка на рульный сорс.
|
|
|
|
|
R4D][; e-mail: E_F_I_M@rambler.ru - 2009-10-04 01:36:59.970000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Рульная статья! А в каком 29А подобное было? Че-то не припоминаю…
|
|
|
|
|
Roneon; e-mail: roneon@mail.ru - 2009-10-04 01:37:00.096666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
=)
|
|
|
|
|
DigitalScream; e-mail: - 2009-10-04 01:37:00.180000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
было бы интерессно взглянуть на новые способы сокрытия приложения в списка процессов.
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2009-10-04 01:37:00.270000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2DS Увы, ничего нового со времён перехвата ответсвенных за это функций придумано не было. Таблица дискрипторов, ведь, храниться в 0-ом кольце. (ну а драйвер для сокрытия процессов не выход :))
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2009-10-04 01:37:00.333333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Жалко из статьи это удалили: “Попробуйте назвать какой-нить экзешник winlogon.exe или smss.exe, а потом удалить его в списке процессов!”
|
|
|
|
|
DigitalScream; e-mail: - 2009-10-04 01:37:00.486666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2ZI: ну не знаю как с полным сокрытием, но из таскменеджера можно себя исключить без таких извратов =)
|
|
|
|
|
DigitalScream; e-mail: - 2009-10-04 01:37:00.560000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
кстати, мог людям сообщить, что приложение можно записать в один из системных потоков
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2009-10-04 01:37:00.636666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2DS Спрятать от таскмэнэджера без перехвата функций??? Поделись с народом - дай линк или намекни "как". :)
|
|
|
|
|
SpoinT; e-mail: spoint@mail.ru - 2009-10-04 01:37:00.703333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Интересная статейка:) Zero Ice молодчина! Себе на хард ща скину и перед сном зачитаю;)
|
|
|
|
|
R4D][; e-mail: E_F_I_M@rambler.ru - 2009-10-04 01:37:00.953333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Ice, че тута делиться-то??? Создаешь поток в чужом процессе и все. :) Помнишь мой ECreateRemoteThreadNt ;) - это один из вариантов…
|
|
|
|
|
Zero Ice; e-mail: zeroice@bk.ru - 2009-10-04 01:37:01.040000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
А может DS что-то новое знает? Или нет? DS, ты где? :)
|
|
|
|
|
danger2002; e-mail: trash2002@list.ru - 2009-10-04 01:37:01.153333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Винда(и её приложения) не без баговая. Если чё повесилось, давим резет. Наша прога неуспевает писатся на винт, и каюк.(если я всё правильно понял)
|
|
|
|
|
Мууусор!!! - 2009-10-04 01:37:01.253333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Дарагая ридакция!…
Ладно, сразу к проблеме. Излазил backup read вдоль и поперек, но причину найти не смог - в имени потока, в самом конце, откуда-то появляется несколько лишних символов! Десяток китайских иероглифов в формате юникод, если быть точным :-) Кто-нибудь сталкивался с таким, нет?
|
|
|
|
|
RE: NTFS Stream: безфайловые процессы - 2009-10-14 15:58:10.983333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Про `function BackupSeek` на самом деле здесь ошибки в дельфевой декларации нет. Дело все в том, что конструкция `var lpdwLowByteSeeked, lpdwHighByteSeeked: DWORD` эквивалентна `lpdwLowByteSeeked, lpdwHighByteSeeked: PDWORD`. За тем лишь исключением, что в программе нужно писать для борлондовой декларации в приведенной примере `BackupSeekA(h, sid.Size, 0, dw1, dw2, p);`.
|
|
|
|
|
|
