Saint German Ты наверное про pHunter говоришь. Самому писать - какой интерес? Зная как скрыл процесс - неужто не смогу сделать обратную...
Хороший понятно, что не дадут, мне просто потренироваться. Спасибо за ссылку. Пойду смотреть
Если речь о ProcHide.exe, то она у меня есть, скрытые ею процессы я вижу, хотелось бы что-нибудь ещё :)
Всем привет. Люди, подскажите где взять, или (по возможности) киньте на мыло какие-нибудь программы для тестирования программы по обнаружению...
укажи в файле .rc: 200 RCDATA DISCARDABLE "bell.wav" Вызывать invoke FindResource, hInstance, 200, RT_RCDATA invoke...
Значит предвычисление множителя не подходит.
Сколько раз подряд вызывается функция с одним и тем же k?
[ebx].Handle оказался вордом.
По мотивам Ms Rem: a-la OpenProcessEx OpenProcessEx proc uses ebx dwProcessId: DWORD, idCSRSS:DWORD LOCAL ProcessInfo...
CARDINAL гыгыгы... Нет, случаем не svchost и не smss Случаем phantom.exe
Похоже, это сам скрытый процесс некорректно себя ведёт: даже если его не закрывать и ничего ему не вешать (хук и т.п.), то после его запуска...
Нет, это не csrss.exe. Это вообще не системный процесс. Обычный пользовательский, правда скрытый. Я его нахожу и завершаю, а предотвратить...
mov eax,pid mov hProcess,eax mov cid.UniqueProcess,eax mov cid.UniqueThread,0 invoke ZwOpenProcess,...
Поздравляю сообщество с праздником! Всех вместе и каждого в отдельности. Успехов в новом году!
Понятно. У Four-F в исходнике вызов CreateService, если ошибка, то он отказывается от анализа ошибки и дальнейших попыток работы с драйвером,...
;===================================================================== ========================================= CallDriver proc LOCAL...
Наковырял, что если GetLastError = ERROR_SERVICE_EXISTS, то можно попробовать OpenService вместо CreateService. Правда, не совсем уверен, что...
Из IRP_MJ_DEVICE_CONTROL
Картина такая: запустил прогу, загрузил из неё драйвер, и попытался из драйвера убить процесс, запустивший драйвер. Ес-сно ничего не вышло, кроме...
Всё, разобрался :) Действительно, всё равно где лежит драйвер. Путаница из-за макроса $CTA0 была, заменил их на offset'ы строк. Спасибо всем.
Имена участников (разделяйте запятой).
