Autor
|
Tema: Ocultar processos en task manager (w7) (Leído 9,717 veces)
|
CniZoO
Desconectado
Mensajes: 6
<iframe><iframe><iframeportodoslados><iframe>
|
alguien me puede ayudar?? no se xq la admin o no se xq motivo me borran mis preguntas en hilos que aun siguen abiertos.... Wenno a ver si este sistema funciona y alguien me da una solucion. çNecessito ocultar un programa del administrador de tareas, mas concretamente del area de processos, alguien me puede hechar una mano? o decirme los passos a seguir? muchas gracias de antemano y un saludo.
|
|
|
En línea
|
|
|
|
CniZoO
Desconectado
Mensajes: 6
<iframe><iframe><iframeportodoslados><iframe>
|
cabe decir que me he mirado todos los post relacionados al tema, sobre hookear apis y demás, pero no he llegado a hacerlo exactamente como dicen por falta de información o incluso mejor dicho de comprensión, si alguien sabe de algun post que salga la informacioón o unaminiguia para orientarme e investigar sobre tema se lo agradecere con crecess!! jejejjej muchas gracias nuevamente, espero sus respuestas, un saludo. PD: las normativas del foro implikan que se postee en el hilo correspondiente, si alguien cree que este no es el sitio para este post , k me lo haga saber que, no se bien bien si estoy en el area correctaa
|
|
« Última modificación: 11 Diciembre 2012, 20:34 pm por CniZoO »
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.885
|
no se xq la admin o no se xq motivo me borran mis preguntas en hilos que aun siguen abiertos.... Una razón podría ser porque nisiquiera... ESPECIFICAS EL LENGUAJE EN EL QUE TRABAJAS
Si tu Windows es de 32 Bit y VB.NET, entonces es tán fácil como esto: TMListViewDelete V2.vb'|-| Task Manager Hack |-| '############################ '# Coded by Scout/Thyonic # '# Credits to: # '# This guy named jo0l # '#--------------------------# '# Use: # '# TMListViewDelete.Running # '# Set it to true to start # '# Set it to false to stop # '# Don't mess with anything # '# or it may break. # '############################ #Region " Imports " Imports System.IO Imports Microsoft.Win32.SafeHandles Imports System.Runtime.InteropServices Imports System.Text Imports System.ComponentModel #End Region #Region " TMListViewDelete "
Module TMListViewDelete #Region " Declarations/Functions/Consts "
Private Const LVM_FIRST = &H1000 Private Const LVM_DELETECOLUMN = LVM_FIRST + 28
Private Const LVM_GETITEMCOUNT = (LVM_FIRST + 4) Private Const LVM_SORTITEMS = (LVM_FIRST + 48) Private Const LVM_DELETEITEM = (LVM_FIRST + 8) Private Const LVM_GETNEXTITEM = (LVM_FIRST + 12) Private Const LVM_GETITEM = (LVM_FIRST + 75)
Private Delegate Function EnumDelegate(ByVal lngHwnd As IntPtr, ByVal lngLParam As Integer) As Integer Private Declare Function SendMessage Lib "user32" Alias "SendMessageA" (ByVal Hwnd As IntPtr, ByVal wMsg As Integer, ByVal wParam As Integer, ByVal lParam As Integer) As Integer Private Declare Function FindWindow Lib "user32.dll" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Integer Private Declare Function EnumChildWindows Lib "user32.dll" (ByVal hWndParent As IntPtr, ByVal lpEnumFunc As EnumDelegate, ByVal lParam As Integer) As Integer Declare Function GetClassName Lib "user32.dll" Alias "GetClassNameA" (ByVal hWnd As Long, ByVal lpClassName As String, ByVal nMaxCount As Long) As Long Private Declare Function GetClassName Lib "user32" Alias "GetClassNameA" (ByVal hWnd As IntPtr, ByVal lpClassName As System.Text.StringBuilder, ByVal nMaxCount As Integer) As Integer Private Declare Function GetWindowText Lib "user32" Alias "GetWindowTextA" (ByVal hWnd As IntPtr, ByVal lpString As System.Text.StringBuilder, ByVal cch As Integer) As Integer Private Declare Function GetWindowTextLength Lib "user32" Alias "GetWindowTextLengthA" (ByVal hWnd As IntPtr) As Integer Dim t As New Timer
Dim hwnd As IntPtr Dim controls As String Public MyProc As String
Dim ProcLV As IntPtr = IntPtr.Zero #End Region
#Region " Timer's Tick " Private Sub t_Tick(ByVal sender As System.Object, ByVal e As System.EventArgs) If ProcLV = IntPtr.Zero Then hwnd = FindWindow(vbNullString, "Windows Task Manager") If hwnd <> 0 Then 'Clipboard.SetText(hwnd) EnumChildWindows(hwnd, New EnumDelegate(AddressOf TMListViewDelete.EnumChildWindows), 0) End If Else GetListView(hwnd, ProcLV) End If End Sub #End Region
#Region " Running Property " Public Property Running() As Boolean Get If t.Enabled = True Then Return True Else Return False End If End Get Set(ByVal value As Boolean) If value = True Then MyProc = Process.GetCurrentProcess.ProcessName If Not t.Interval = 50 Then With t AddHandler t.Tick, AddressOf t_Tick .Interval = 50 .Enabled = True .Start() End With Else t.Enabled = True t.Start() End If Else t.Enabled = False t.Stop() ProcLV = IntPtr.Zero End If End Set End Property
#End Region
#Region " Getting ListViews" Private Function EnumChildWindows(ByVal lngHwnd As IntPtr, ByVal lngLParam As Integer) As Integer Dim strClassName As String = GetClass(lngHwnd) Dim strText As String = GetTitleText(lngHwnd) If InStr(strClassName.ToString, "SysListView32") Then 'GetListView(hwnd, lngHwnd) If InStr(strText, "Processes") Then ProcLV = lngHwnd End If End If Dim Classes As String = lngHwnd.ToString & ", " & strClassName & ", " & strText Return 1 End Function Private Function GetClass(ByVal handle As IntPtr) As String Dim strClassName As New System.Text.StringBuilder() strClassName.Length = 255 GetClassName(handle, strClassName, strClassName.Length) Return strClassName.ToString End Function Private Function GetTitleText(ByVal handle As IntPtr) As String Dim titleText As New System.Text.StringBuilder() titleText.Length = GetWindowTextLength(handle) + 1 GetWindowText(handle, titleText, titleText.Length) Return titleText.ToString End Function
#End Region End Module
#End Region #Region " Get Items " Module GetItems Dim listViewHandle As IntPtr #Region " Functions " <DllImport(kernel32, SetLastError:=True)> _ Public Function OpenProcess( _ ByVal dwDesiredAccess As UInteger, _ ByVal bInheritHandle As Boolean, _ ByVal dwProcessId As Integer) As SafeProcessHandle End Function
#Region " ReadProcessMemory " <DllImport(kernel32, EntryPoint:="ReadProcessMemory", SetLastError:=True, CharSet:=CharSet.Unicode)> _ Public Function ReadProcessMemoryW( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByVal lpBuffer As StringBuilder, _ ByVal nSize As Integer, _ ByRef bytesRead As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function
<DllImport(kernel32, SetLastError:=True, CharSet:=CharSet.Ansi)> _ Public Function ReadProcessMemory( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByVal lpBuffer As StringBuilder, _ ByVal nSize As Integer, _ ByRef bytesRead As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function
<DllImport(kernel32, SetLastError:=True)> _ Public Function ReadProcessMemory( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByRef lpBuffer As LV_ITEM, _ ByVal nSize As Integer, _ ByRef bytesRead As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function
<DllImport(kernel32, SetLastError:=True)> _ Public Function ReadProcessMemory( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByRef lpBuffer As HDITEM, _ ByVal nSize As Integer, _ ByRef bytesRead As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function
<DllImport(kernel32, SetLastError:=True)> _ Public Function ReadProcessMemory( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByVal lpBuffer As IntPtr, _ ByVal nSize As Integer, _ ByRef bytesRead As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function #End Region
#Region " SendMessage " <DllImport(user32, SetLastError:=True)> _ Public Function SendMessage( _ ByVal hWnd As IntPtr, _ ByVal message As UInteger, _ ByVal wParam As IntPtr, _ ByVal lParam As IntPtr) As Integer End Function
' Has a different return type, so can't overload. <DllImport(user32, SetLastError:=True, EntryPoint:="SendMessageA")> _ Public Function GetHeaderSendMessage( _ ByVal hWnd As IntPtr, _ ByVal message As UInteger, _ ByVal wParam As IntPtr, _ ByVal lParam As IntPtr) As IntPtr End Function
<DllImport(user32, SetLastError:=True)> _ Public Function SendMessage( _ ByVal hWnd As IntPtr, _ ByVal message As UInteger, _ ByVal wParam As Integer, _ ByVal lParam As StringBuilder) As Integer End Function
<DllImport(user32, SetLastError:=True)> _ Public Function SendMessage( _ ByVal hWnd As IntPtr, _ ByVal message As UInteger, _ ByVal wParam As Integer, _ ByVal lParam As IntPtr) As Integer End Function #End Region
#Region " VirtualAllocEx " <DllImport(kernel32, SetLastError:=True)> _ Public Function VirtualAllocEx( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpAddress As IntPtr, _ ByVal dwSize As Integer, _ ByVal flAllocationType As UInteger, _ ByVal flProtect As UInteger) As IntPtr End Function #End Region
#Region " VirtualFreeEx " <DllImport(kernel32, SetLastError:=True)> _ Public Function VirtualFreeEx( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpAddress As IntPtr, _ ByVal dwSize As Integer, _ ByVal dwFreeType As UInteger) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function #End Region
#Region " WriteProcessMemory " <DllImport(kernel32, SetLastError:=True)> _ Public Function WriteProcessMemory( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByRef lpBuffer As LV_ITEM, _ ByVal nSize As Integer, _ ByRef lpNumberOfBytesWritten As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function
<DllImport(kernel32, SetLastError:=True)> _ Public Function WriteProcessMemory( _ ByVal hProcess As SafeProcessHandle, _ ByVal lpBaseAddress As IntPtr, _ ByRef lpBuffer As HDITEM, _ ByVal nSize As Integer, _ ByRef lpNumberOfBytesWritten As Integer) As <MarshalAs(UnmanagedType.Bool)> Boolean End Function #End Region #End Region #Region " Consts " Public Const LVM_FIRST As UInteger = &H1000 Public Const LVM_DELETEITEM As UInteger = (LVM_FIRST + 8)
Public Const kernel32 As String = "kernel32" Public Const user32 As String = "user32" Public Const LVM_GETITEMCOUNT As UInteger = &H1004 Public Const LVM_GETITEMTEXT As UInteger = &H102D Public Const LVM_GETHEADER As UInteger = &H101F Public Const HDM_GETIEMA As UInteger = &H1203 Public Const HDM_GETITEMW As UInteger = &H120B Public Const HDM_GETITEMCOUNT As UInteger = &H1200 Public Const HDM_GETUNICODEFORMAT As UInteger = &H2006 Public Const HDI_TEXT As UInteger = 2 Public Const MEM_COMMIT As UInteger = &H1000 Public Const MEM_RELEASE As UInteger = &H8000 Public Const PAGE_READWRITE As UInteger = 4 Public Const PROCESS_VM_READ As UInteger = &H10 Public Const PROCESS_VM_WRITE As UInteger = &H20 Public Const PROCESS_VM_OPERATION As UInteger = &H8 Public Const WM_GETTEXT As UInteger = &HD Public Const WM_GETTEXTLENGTH As UInteger = &HE #End Region #Region " Structures " #Region " LV_ITEM " <StructLayout(LayoutKind.Sequential, CharSet:=CharSet.Unicode)> _ Public Structure LV_ITEM Public mask As UInteger Public iItem As Integer Public iSubItem As Integer Public state As UInteger Public stateMask As UInteger Public pszText As IntPtr Public cchTextMax As Integer Public iImage As Integer Public lParam As IntPtr Public iIndent As Integer Public iGroupId As Integer Public cColumns As Integer Public puColumns As IntPtr Public piColFmt As IntPtr Public iGroup As Integer Public Function Size() As Integer Return Marshal.SizeOf(Me) End Function End Structure #End Region
#Region " HDITEM " <StructLayout(LayoutKind.Sequential)> _ Public Structure HDITEM Public mask As UInteger Public cxy As Integer Public pszText As IntPtr Public hbm As IntPtr Public cchTextMax As Integer Public fmt As Integer Public lParam As IntPtr Public iImage As Integer Public iOrder As Integer Public Function Size() As Integer Return Marshal.SizeOf(Me) End Function End Structure #End Region #End Region #Region "Get List View Items " Public Function GetListView(ByVal handle As IntPtr, ByVal lvhandle As IntPtr) As Boolean listViewHandle = lvhandle Dim hParent As IntPtr = handle
Dim id As Integer = -1 Try For Each p In Process.GetProcessesByName("taskmgr") If p.MainWindowTitle = "Windows Task Manager" Then id = p.Id End If Next If id = -1 Then Throw New ArgumentException("Could not find the process specified", "processName") End If Catch : Return False : End Try
Dim hprocess As SafeProcessHandle = Nothing Try hprocess = OpenProcess(PROCESS_VM_OPERATION Or PROCESS_VM_READ Or PROCESS_VM_WRITE, False, id)
If hprocess Is Nothing Then If Marshal.GetLastWin32Error = 0 Then Throw New System.ComponentModel.Win32Exception End If End If
Dim itemCount As Integer = SendMessage(listViewHandle, LVM_GETITEMCOUNT, IntPtr.Zero, IntPtr.Zero)
For row As Integer = 0 To itemCount - 1
Dim lvi As New ListViewItem(GetItem(row, 0, hprocess)) If lvi.Text.Contains(TMListViewDelete.MyProc) Then SendMessage(listViewHandle, LVM_DELETEITEM, row, IntPtr.Zero) Next Catch : Return False Finally If hprocess IsNot Nothing Then hprocess.Close() hprocess.Dispose() End If
End Try Return True End Function #End Region #Region " SafeProcessHandle " Friend NotInheritable Class SafeProcessHandle Inherits SafeHandleZeroOrMinusOneIsInvalid Declare Auto Function CloseHandle Lib "kernel32.dll" (ByVal hObject As IntPtr) As Boolean
Public Sub New() MyBase.New(True) End Sub
Public Sub New(ByVal handle As IntPtr) MyBase.New(True) MyBase.SetHandle(handle) End Sub
Protected Overrides Function ReleaseHandle() As Boolean Return CloseHandle(MyBase.handle) End Function
End Class #End Region #Region " GetItem " Private Function GetItem(ByVal row As Integer, ByVal subitem As Integer, _ ByVal hProcess As SafeProcessHandle) As String
Dim lvitem As New LV_ITEM lvitem.cchTextMax = 260 lvitem.mask = 1 lvitem.iItem = row lvitem.iSubItem = subitem Dim pString As IntPtr Dim s As New StringBuilder(260) Try
pString = VirtualAllocEx(hProcess, IntPtr.Zero, 260, MEM_COMMIT, PAGE_READWRITE) lvitem.pszText = pString Dim pLvItem As IntPtr Try pLvItem = VirtualAllocEx(hProcess, IntPtr.Zero, lvitem.Size, MEM_COMMIT, PAGE_READWRITE) Dim boolResult As Boolean = WriteProcessMemory(hProcess, pLvItem, lvitem, lvitem.Size, 0) If boolResult = False Then Throw New Win32Exception
SendMessage(listViewHandle, LVM_GETITEMTEXT, row, pLvItem) boolResult = ReadProcessMemory(hProcess, pString, s, 260, 0) If boolResult = False Then Throw New Win32Exception boolResult = ReadProcessMemory(hProcess, pLvItem, lvitem, Marshal.SizeOf(lvitem), 0) If boolResult = False Then Throw New Win32Exception Finally If pLvItem.Equals(IntPtr.Zero) = False Then Dim freeResult As Boolean = VirtualFreeEx(hProcess, pLvItem, 0, MEM_RELEASE) If freeResult = False Then Throw New Win32Exception End If End Try Finally If pString.Equals(IntPtr.Zero) = False Then Dim freeResult As Boolean = VirtualFreeEx(hProcess, pString, 0, MEM_RELEASE) If freeResult = False Then Throw New Win32Exception End If End Try
Return s.ToString End Function #End Region End Module
#End Region Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click TMListViewDelete.Running = True End Sub
Si tienes un equipo de 64 Bit, por lo que he leido es extremádamente dificil modificar las tablas de syscall (Pero no imposible), mis conocimientos no llegan a este nivel, y me ha sido imposible hallar la solución. Saludos
|
|
« Última modificación: 16 Diciembre 2012, 03:14 am por EleKtro H@cker »
|
En línea
|
|
|
|
CniZoO
Desconectado
Mensajes: 6
<iframe><iframe><iframeportodoslados><iframe>
|
Una razón podría ser porque nisiquiera... ESPECIFICAS EL LENGUAJE EN EL QUE TRABAJAS
Si tienes un equipo de 64 Bit, por lo que he leido es extremádamente dificil modificar las tablas de syscall (Pero no imposible), mis conocimientos no llegan a este nivel, y me ha sido imposible hallar la solución.
Saludos
Lo Primero darte las Gracias Elektro Hacker x responder al post , no sabia si me lo borrava la admin x no estar en el sitio adecuado y por eso andava un poco mosca al ver que ponia una y otra vez el post y desaparecia sin dejar rastro alguno... y por eso no hay problema tengo 2 systemas uno de 32 y otro de 64, provare y te cuento! me he estado mirando todo el temariio de Rootkits porque no encontrava solución ya que todo lo que intentava lo intentava en el de 64 -Bit a partir de ahora ya se que es mas complicado , Gracias nuevamente voy a probarloo y te cuentoo
|
|
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.885
|
todo lo que intentava lo intentava en el de 64 -Bit a partir de ahora ya se que es mas complicado Si has usado troyanos o software parecido, en casi todos esos programas te darás cuenta que la opción de ocultar el proceso sólamente la añaden para 32 Bit , así que sí debe ser muy dificil, Yo también necesito ocultar mi app, en 64 bit, así que espero una respuesta a este post tanto como tú Saludos.
|
|
|
En línea
|
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.885
|
Gracias MCKSys, Pero es una aplicación de consola codeada en C++, y no tengo ni idea de como utilizarla xD
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
OK. La idea era "ver" el código y sacar cosas en claro.
Si hago tiempo, voy a tratar de mirar a ver qué tal es...
Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Hay varias formas de ocultar un proceso o al menos el objetivo es, hacer funcionar tu programa correctamente sin que sea visto por algún vizor de procesos. Lo mejor es cargar un driver con técnicas de rootkit para ocultar el proceso el problema es, en versión de Windows de 64-bits esta el patchGuard pero también es posible saltarlo ( 2012 ). y cargar tu driver de 64-bits. El otro es hookear la API encargada de obtener la información del vizor de procesos, el problema es, si hookeas la API NtQuerySysteminformation de taskmgr el proceso se podra mirar con alguna otra herramienta de vizor, a menos que establescas un hook en la API encargada de todo visualizador de procesos, esto no funcionara con un visualizador de procesos que carguen un driver para obtener esa información porque la informacion que queremos obtener no pasara por tu hook, lo que tendrás que hacer es, analizar la aplicación que quieres saltarte, saber como funciona, y hookear las APIs que usa para esa información, si carga un driver, la aplicación siempre copia el buffer desde modo nucleo a modo usuario ( dependiendo del metodo que utiliza ), y al final siempre usa funciones de USER32.dll, KERNEL32.dll, para mostrarla en los controles. eso sin tomar en cuenta si tiene protección. Las otras maneras son, inyectar tu proceso en un otro proceso y de esa manera podrás hacer trabajar tu programa sin que se muestre en ningun visualizador, el problema es, en Windows x64, algunos metodos comunes de inyeccion no funcionan debido a que en entorno de emulacíon incluyendo algunas transiciones de APIs solo funcionan con procesos de 32-bits. pero se puede buscar alternativas de inyeccion o hacks. De qué método les gustaría hablar?
|
|
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.885
|
OK. La idea era "ver" el código y sacar cosas en claro. Si hago tiempo, voy a tratar de mirar a ver qué tal es... Dificil porque de C no tengo ni idea, si fueran sólamente unas pocas líneas de código aún podría usar algún conversor de código, pero el proyecto son demasiados archivos que no entiendo lo que hacen y una conversión de código no me va a servir xD De qué método les gustaría hablar? Del más sencillo para novatos xD Sinceramente, de alguien que se hace llamar "x64core" me espero un 100% de experiencia en este tema, sería muy útil si hicieras algún tutorial paso a paso para hookear la API sólamente para el taskmanager, o nos pudieses dar un link a algún tutorial Gracias
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Saber q api's usa el task manager
« 1 2 »
Ingeniería Inversa
|
~~
|
13
|
8,497
|
27 Noviembre 2007, 16:32 pm
por Eternal Idol
|
|
|
NtQuerysysteminformation and Task manager
Programación Visual Basic
|
ntaryl
|
1
|
1,582
|
31 Agosto 2008, 02:28 am
por byebye
|
|
|
Qué Task Manager os gusta más??
« 1 2 »
Software
|
gregory90
|
11
|
5,227
|
10 Septiembre 2013, 14:24 pm
por Mad Antrax
|
|
|
Task Manager Deluxe, una alternativa portable y más completa al Administrador...
Noticias
|
wolfbcn
|
0
|
1,562
|
4 Enero 2017, 21:52 pm
por wolfbcn
|
|
|
Microsoft añade funciones al Task Manager, una de las herramientas más ...
Noticias
|
wolfbcn
|
0
|
1,076
|
17 Noviembre 2019, 22:52 pm
por wolfbcn
|
|