Незакрываемое приложение

[One.Love]

B_N
Я смотрю ты умные вещи знаешь?
Люди пытаются помочь, а ты их тут критикуешь.
Ну если ты знаешь как скрыть процесс из диспетчера задач, выложи код может хватит критиковать каждое первое сообщение?

[Air]

"скрыть процесс из диспетчера задач". Ха-Ха-Ха.
Послушайте, в Ring3 Вы ничего не добьётесь, если кто и в правду задумал виры писать, то Вам нужно работать в Rign0. От туда возможно практически всё: создавать, удалять любые процессы, даже "system: PID 4", только Winda сразу "сдохнет", забудьте Вы про всякое копирование kernel32.dll из Win 95-х, не будет она работать под XP.

[Иллидан]

Глупости это все, назови в XP exe-шник winlogon и не мучайся.

[Stilet]

Когда то надыбал пример неубиваемого юзером блокнота:

Код:

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs;

type
  TForm1 = class(TForm)
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}
   function CreateNoKillProcess(EXEProg:pchar):boolean;
const
 ACL_REVISION = 2;
var
 ACL      : _ACL;
 SD       : _SECURITY_DESCRIPTOR;
 SA       : _SECURITY_ATTRIBUTES;
 si       : _STARTUPINFOA;
 pinfo       : PROCESS_INFORMATION;

 begin
  result:=false;

 // Инициализация структуры ACL (Access Control List)
 // В случае удачи у нас будет ACL, не содержащая ни одного элемента
 // защиты, т.е. запрещающая доступ к объекту всем.
 if not InitializeAcl(ACL,SizeOf(_ACL),ACL_REVISION)
  then; //ShowMessage('InitializeAcl'+#13#10+SysErrorMessage(GetLastError));

 //  Проверяем ACL на корректность (не обязательно)
 if not IsValidAcl(ACL) then exit;

 // Инициализация структуры SD (Security Descriptor)
 // После инициализации SD будет разрешать доступ к объекту для всех
 if not InitializeSecurityDescriptor(@SD,SECURITY_DESCRIPTOR_REVISION)
  then ;//ShowMessage('InitializeSecurityDescriptor'+#13#10+SysErrorMessage(GetLastError));

 // Добавляем к описателю безопасности наш ACL
 // Теперь SD запрещает доступ всем
 if not SetSecurityDescriptorDacl(@SD,true,@ACl,true)
  then ;//ShowMessage('SetSecurityDescriptorDacl'+#13#10+SysErrorMessage(GetLastError));

 // Опять проверка на корректность структуры
 if not IsValidSecurityDescriptor(@SD) then exit;

 // Заполняем структуру SA (Security Attributes)
 ZeroMemory(@sa,SizeOf(sa));
 sa.nLength:=SizeOf(sa);
 sa.bInheritHandle:=false;
 // Ссылка на наш дескриптор безопасности
 sa.lpSecurityDescriptor:=@SD;

 // Ну и наконец, создаем новый процесс с новыми атрибутами безопасности
 ZeroMemory(@si,SizeOf(si));
 si.cb:=SizeOf(si);
 if not CreateProcess(nil,EXEProg,@sa,@sa,false,0,nil,nil,si,pinfo)
  then ;//ShowMessage('CreateProcess'+#13#10+SysErrorMessage(GetLastError));
 result:=true

end;
procedure TForm1.FormCreate(Sender: TObject);
begin
CreateNoKillProcess('c:\windows\notepad.exe');
end;

end.

Учесть следует что убить из диспетчера такой запуск можно только с правами админа, но всетки можно.

[Stilet]

Когда то надыбал пример неубиваемого юзером блокнота:

Код:

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs;

type
  TForm1 = class(TForm)
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}
   function CreateNoKillProcess(EXEProg:pchar):boolean;
const
 ACL_REVISION = 2;
var
 ACL      : _ACL;
 SD       : _SECURITY_DESCRIPTOR;
 SA       : _SECURITY_ATTRIBUTES;
 si       : _STARTUPINFOA;
 pinfo       : PROCESS_INFORMATION;

 begin
  result:=false;

 // Инициализация структуры ACL (Access Control List)
 // В случае удачи у нас будет ACL, не содержащая ни одного элемента
 // защиты, т.е. запрещающая доступ к объекту всем.
 if not InitializeAcl(ACL,SizeOf(_ACL),ACL_REVISION)
  then; //ShowMessage('InitializeAcl'+#13#10+SysErrorMessage(GetLastError));

 //  Проверяем ACL на корректность (не обязательно)
 if not IsValidAcl(ACL) then exit;

 // Инициализация структуры SD (Security Descriptor)
 // После инициализации SD будет разрешать доступ к объекту для всех
 if not InitializeSecurityDescriptor(@SD,SECURITY_DESCRIPTOR_REVISION)
  then ;//ShowMessage('InitializeSecurityDescriptor'+#13#10+SysErrorMessage(GetLastError));

 // Добавляем к описателю безопасности наш ACL
 // Теперь SD запрещает доступ всем
 if not SetSecurityDescriptorDacl(@SD,true,@ACl,true)
  then ;//ShowMessage('SetSecurityDescriptorDacl'+#13#10+SysErrorMessage(GetLastError));

 // Опять проверка на корректность структуры
 if not IsValidSecurityDescriptor(@SD) then exit;

 // Заполняем структуру SA (Security Attributes)
 ZeroMemory(@sa,SizeOf(sa));
 sa.nLength:=SizeOf(sa);
 sa.bInheritHandle:=false;
 // Ссылка на наш дескриптор безопасности
 sa.lpSecurityDescriptor:=@SD;

 // Ну и наконец, создаем новый процесс с новыми атрибутами безопасности
 ZeroMemory(@si,SizeOf(si));
 si.cb:=SizeOf(si);
 if not CreateProcess(nil,EXEProg,@sa,@sa,false,0,nil,nil,si,pinfo)
  then ;//ShowMessage('CreateProcess'+#13#10+SysErrorMessage(GetLastError));
 result:=true

end;
procedure TForm1.FormCreate(Sender: TObject);
begin
CreateNoKillProcess('c:\windows\notepad.exe');
end;

end.

Учесть следует что убить из диспетчера такой запуск можно только с правами админа, но всетки можно.

[rpy3uH]

да всё возможно, отсюда можно скачать пример программы, которая скрывает процесс lsass.exe. (ксати, там у меня маленькая ошибочка, типа "защита от чайников")

[Air]

Два вопроса.
- Как показать этот процесс без перезагрузки системы?
или надо только удалить ловушку(hook)?

Для "приколиста", если перебрать все процессы в списке - список будет пуст, вот Юзер удивится.

From Stilet: Пользуйся кнопкой редактирования если хочеш что нибудь добавить, если твой пост последний. Нечего клонов плодить, ато закрою тему

Ок

[Air]

Цитата:

Сообщение от rpy3uH

да всё возможно, отсюда можно скачать пример программы, которая скрывает процесс lsass.exe. (ксати, там у меня маленькая ошибочка, типа "защита от чайников")

.......Это немного расширенные модули, думаю Вы оцените.................

[rpy3uH]

Цитата:

Сообщение от Air

Два вопроса.
- Как показать этот процесс без перезагрузки системы?
или надо только удалить ловушку(hook)?

да надо удалить ловушку, для этого достаточно выгрузить DLL из своего процесса, и при выгрузке DLL библиотечная функция снимет хук. Следует отметить что пример не очень хорош и для пракического приминения, следует его немного улучшить и оптимизировать.

Цитата:

Сообщение от Air

.......Это немного расширенные модули, думаю Вы оцените.................

я знаю про них и они у меня есть. я написал свои эквиваленты, чтобы показать что это не копия примеров из статей с wasm.ru.

[Air]

А-а, Понятно.