Estando aburrido en la casa y como el foro de juakerss.com taba jodido pues me puse a hacer un poco de loqueras de codigo en

vb pensando en que nadie, no me consta, ha hecho un programa para ocultar nuestro proceso, o mas bien un proceso deseado de

Administrador de tareas de windows he aqui el resultado, esta pequeña explicacion de como lo hice, con su codigo respectivo,

cabe hacer notar que hay distintos metodos para que no le cazen el proceso con el famoso Crtl+Alt+Sup, como abrir el adimin

de tareas y ocultarlo con una api, o eliminarlo(poco posible), o evitar que te lo cierren como colocandole al programa un

nombre de un servicio importante del sistema como lsass etc.. pero todo esto deja mucho que desear y sospechar. entonces...

primero que todo analicemos el problema, como no hay una api como en win9x para ocultar el proceso, nos toca hacerlo de la

manera dificil, tenemos la ventana del administrador de tareas, necesitamos mucha info de esa ventanita y muchas mas asi como

tambien una especie de vinculo con la aplicacion, podriamos colgarnosle, hacer un hook pero viendolo bien no es necesario,

veremos por que, obtenemos info, despues el vinculo o una direccion del proceso mas info y por ultimo la eliminacion de

nuestro proceso de la lista negra.

obteniendo informacion:
- necesitamos el Handle de ventana o manipulador de ventana, para saber que nos estamos refiriendo a esa ventana en

especial(administrador de tareas), consultando un poco la Win32 Programmer's Reference, me encuentro con la tipica api:

Esta api nos estrega tan deseado Handle, ya saben lo que hace, su mismo nombre lo dice, como podemos ver esta retorna HWND

que es lo que necesitamos y como parametros tiene dos Punteros a String o cadenas, en vb esta declaracion seria asi:

aqui vemos que esta es diferente porque retorna un long, pero no problem, como el Handle es un tipo de datos de 32bits y en

vb no hay tipo de dato Handle(HWND) utilizamos un long que tambien es de 32bits y listo.
Entonces las lineas de codigo para hallar el Handle serian estas:


como en el segundo parametro estamos en high-order word pues 32bits entonces es NUll, Nulo, nada, cero.

como casi todos sabemos cada control, cada interfaz o cada parte de un programa debe tener tambien su Handle o manejador para

que el SO y el programa sepa con que se está o quiere comunicarse que como se comunican, pues por medio de mensajes, pero eso

lo veremos mas adelante. Entonces teniendo todo claro, craneamos: ese pingo Handle no nos va a servir para nada. pues si,

pero tenemos que llegar a nuestro objetivo central, el cual es, es, es, es, si la lista de procesos del Administrador de

Tareas, como llegamos hasta ese otro Handle?, veamos nuestra querida Win32 Programmer's Reference...

esto fue lo mas adecuado que encontramos:


Que es lo que hace esta funcion, pues esta belleza enumera las ventanas hijo de la ventana padre pasandole el handle de cada

ventana a la funcion callback de un proceso o aplicacion definida, hasta que llegue a la ultima ventanita o cuando la funcion

que actua como callback retorne cero o Falso.
Pero que es eso de callback? esto quiere decir una funcion que cada vez que que otra funcion o la api lo requiera será

"llamada", y ésta a su vez retornara y sera vuelta a llamar, como un ciclo o mas bien como un proceso recursivo... bueno

vemos que esta api nos retorna un tipo de dato BOOL que es False, True, 0, 1 y que su primer parametro es en este caso el

Handle de la ventana del administrador de tareas, el segundo parametro es un puntero hacia la funcion que vamos a utilizar

como callback y el tercero es un valor de 32bits que queramos pasar a la funcion callback, esto en vb seria como sigue:



lo unico que hay que explicar aqui es el segundo parametro, por que long?, pues facil, si es un puntero a lo que sea, un

puntero es de 32bits, entonces ya sabes, y si retorna false o 0 enton es que no sirvió, hay algo mal.-..-

Entonces el codigo quedaria mas o menos asi:

le agregue lo del label para hacerlo mas interactivo, jeje.
vemos que nuestra callback se llama Procesitos y no se te olvide: cuando vamos a poner un puntero a una funcion esta debe

estar en un modulo y no en el codigo del form siendo "Private", gueno, lo que sigue de ahora en adelante va en un modulo

normal y corriente.

Por el momento nos concentraremos en la funcion Callback.

Siguiendo, nos preguntamos: pero si esta EnumChildWindows nos devuelve los handles de las ventanitas hijo del proceso padre,

como sabemos cual necesitamos? como necesitamos la lista que se encuentra en la pestaña Procesos del administrador de tareas,

y la podemos identificar por el nombre, pero y si hay dos nombres iguales, pos nos toca identificarlos por la clase, es decir

el tipo de control o de ventanita, para que te familiarices mas y si tienes las herramientas del VisualStudio

ve(Inicio->Programas->Microsoft Visual Studio 6.0-> Herramientas de Microsoft Visual Studio 6.0) y busca el programita

"Spy++" y en la lista que se presenta busca el Administrador de tareas y veras a lo que me refiero.

Entonces de nuevo recurrimos a nuestra Win32 Programmer's Reference, estas apis son muy utiles, y encontramos lo que

necesitamos:


creo que aqui no hay nada que explicar, en el segundo parametro se va a guardar lo que necesitamos, el nombre de la clase y

el nombre de la ventana, y el valor de retorno es un int que es el numero de caracteres almacenados en el buffer de los

nombres... veamos esto en vb.


lo unico que cambia aqui es que estas retornan un long, ahora pensemos que control y que nombre necesitamos, para esto

recurrimos a la herramienta ya antes mensionada que viene con el visual studio que es el programita llamado Spy++ y buscamos

un control listview, mas exactamente "SysListView32" con nombre "Procesos", este control es nuestro objetivo de modificacion,

jejeje, pero primero pensemos: y si lo hallamos que, que hacemos con eso?, pues aqui viene la parte un poco mas complicadita

de la cuestion, mejor hagamos otro proceso o funcion para mejor orden en donde trataremos a bajo nivel la situacion, por

ahora veamos como va el codigo de la funcion callback Procesitos:


la parte dificil esta en la funcion que acabamos de crear llamada JodeLosItems con su unico parametro que es el handle del

ListView tenemos el handle ahora lo que vamos a hacer es obtener cuantos Items o elementos tiene la lista para posteriormente

abrir memoria y leer en que posision esta nuestro proceso, pues primero lo primero, obtniendo numero de elementos, como crees

que podemos obtenerlo?, recuerdas que mas arriba te hable de los Mensajes que se tiraban los procesos y los subpreocesos con

sus objetos y controles que es casi lo mismo, pues si toca tirarle un mensaje para ver que nos entrega:

entendido?, para vb seria:


y para enviar el mensaje en el segundo parametro, tenemos que buscar el tipo de mensaje que le tenemos que enviar al ListView

para que nos de el numero de elementos de su lista, escudriñando la W.P.R. encuentro esto:

el valor para LVM_GETITEMCOUNT es:


Asi que si enviamos el mensaje de la siguiente forma:


bueno, en la variable nElem se almacenará el numero de procesos en la lista y he aqui lo dificil, planeemos bien, lo que

vamos a hacer es: obtener el pid (Identificador de Proceso) mediante el handle de ventana, recuerda handle de VENTANA, luego

reservaremos memoria en el proceso por medio del pid en donde obtendremos la direccion donde se ha reservado la memoria para

los parametros de el tipo de mensaje y la direccion donde se guardará el string que contendrá el nombre del proceso del

ListView, el handle del PROCESO tambien sera obtenido en este proceso, recuerda de proceso no de ventana!!, depues de esto

enviaremos un mensaje al ListView para que nos guarde el nombre del proceso en memoria y por ultimo leemos lo que ha guardado

todo esto irá en un "For" porque solo reservamos para 1 Item en los parametros del mensaje se da el numero de Item a obtener,

por ultimo comparamos los items y si es nuestro proceso enviaremos otro mensaje para que lo elimine y final final.

bueno empecemos:
- Obteniendo el pid


en tid se almacena solo el identificador del thread y en pid lo que necesitamos, el identificador de proceso.

- Reservando Memoria:
  Primero que todo hagamos otra funcion para esto ya que la vamos a utilizar varias veces, esto quedaria asi:

 en DirMemComp y DirMemComp2 se guardará la direccion donde se guardó la memoria reservada y dwTam es el tamaño en bytes de

una estructura li de tipo LV_ITEM donde dejaremos los parametros del mensaje, en lt la cadena o el tamaño de la cadena en que

se va a guardar el nombre del proceso y en hProceso se guarda el handle de Proceso del ListView, ahora veamos los parametros

o los flags de la estructura del mensaje:


sin comentarios.

Este es el proceso que reserva memoria y obtiene el handle de Proceso:


como podemos observar la api OpenProcess es la que nos entrega el handle de un proceso objeto, esta es su estructura:

PROCESS_VM_OPERATION es para poder utilizar la api VirtualAllocEx, PROCESS_VM_READ   para ReadProcessMemory y

PROCESS_VM_WRITE para WriteProcessMemory, en el segundo parametro ponemos falso porque el handle no puede ser heredado por un

nuevo proceso y el ultimo parametro es el pid.

con VirtualAllocEx reservamos memoria.


el segundo parametro si lo dejamos en 0 ó NULL la funcion determinara donde reservar, el cuarto pararametro es un flag para

reservar en memoria fisica o en virtual y el ultimo habilita permisos de lectura y escritura en esa region.

Es ahora que usamos WriteProcessMemory para llenar el espacio reservado con li y lt:

sin comentarios...

Es hora de enviar el mensaje:

y de leer lo que pedimos:

y por ultimo comparamos lo obtenido para ver si mandamos el mensaje de eliminacion de Item:


y liberamos memoria con:

eso es todo, me ha cogido el sueño y solo les digo que lo disfruten, por supuesto esto se puede optimizar mucho mas, eso y

las mejoras como revisar todos los procesos para ver si son monitores de procesos y joderlos se los dejo a ustedes, mucho ojo

que esto consume mas recursos que los que deberia, a continuacion les dejo el codigo completo de la mini aplicacion:

vaya, hace tiempo que no venia por estos lares, muchos trabajos y deberes y muy poco tiempo

no se les olvide en el timer colocar las propiedades:

Enabled=False
Interval=10

y en donde dice "OSA.EXE" cambien por el nombre de su proceso.

Testeado en:Microsoft Windows Xp Professional Service PAck 2 Version 2002
Intel(R) Pentium(R) 4---2.80GHz---240MB de RAM

Saludos

bien loco, eres buen observador, sicas, esa variable la habia utilizado para otra funcion prueba que luego borré y se me olvidó borrarla, como dije este se puede obtimizar, eso lo hice en una noche de creatividad mezclado con insomnio  y puse lo que me salio...

y pos claro que puedes usar el code, seria un honor ni que estuvieramos bravos... jeje

he observado en el foro que ultimamente estan muy interesados en eso de los pipes, y pues depronto me decida y haga algun post-ensayo sobre esta forma de IPC(comunicacion entre procesos)

saludos

a mi me sigue sin funcionar con las nuevas modificaciones y todo.
alguien ya lo ha probado y funcionado 100% ?
saludos

Buenax!!!
hombre pues la verdad que está bien, aunque a nada que el tio sea un poko observador, pues, me paice que se dará cuenta de que algo raro pasa, porke se ve como parpadea(el programa lo quita, windows lo pone, el programa lo quita, windows lo pone....), la lista sube y baja,
pero buenooooooo, está mu bien pa la mayoria,
saludos Zealot!!!!

Mucha CPU xD??

te lo agradecería
saludos

ehh no c si hice algo mal
hice un par de modificaciones y se me borra toda la lista.. tiene q pasar eso o se tiene q borrar el exe solo xDD?? no c si hice algo mal