cs_mayti
Messages postés36Date d'inscriptionsamedi 2 octobre 2004StatutMembreDernière intervention11 juin 2005
-
22 mai 2005 à 17:10
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019
-
4 janv. 2007 à 13:59
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
cs_krust
Messages postés140Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention19 novembre 2006 4 janv. 2007 à 13:44
Bonne question :)
Probablement que non car Microsoft contient des problèmes que cause l'accès aisé au kernel a implémenté toutes sortes de mesures sous vista.
Par exemple, seul les drivers numériquement signé pourront être chargé directement (si mes sources sont exactent). Pour les autres, il y a un message de la part de windows demandant si on autorise (ou pas) le chargement de tel ou tel driver.
Je n'en sais pas plus mais c'est clair qu'il ne sera plus possible de charger un driver sans que l'utilisateur l'accept. Cependant je ne doute pas qu'il apparaîtera des méthodes pour détourner ces protections.
voilà voilà.
cs_darkdidi
Messages postés21Date d'inscriptionmercredi 5 avril 2006StatutMembreDernière intervention 4 janvier 2007 4 janv. 2007 à 12:26
savez vous si les driver fonctionnant sur Windows XP seront toujours foncionnels sur Windows Vista ? Je crois que le noyau est diférent.
bLuBx
Messages postés1Date d'inscriptionmardi 10 août 2004StatutMembreDernière intervention15 octobre 2006 15 oct. 2006 à 03:14
ué tres bon taff , manque plus que la meme chose pour hide un services ( net start | services.msc ) :p
et pourquoi pas un PORT ( histoire que le boss grille pas la Mule caché :p
mais la on tombe limite dans le malfaisant javoue ^^, mai sca peu etre interessant
idem 10\10
cs_darkdidi
Messages postés21Date d'inscriptionmercredi 5 avril 2006StatutMembreDernière intervention 4 janvier 2007 2 oct. 2006 à 18:42
trop cool ca marche ! Effectivement compilé sur C:\ddk ca marche déjà mieux ^^
merci !
PS : marche nikel : 10/10
cs_krust
Messages postés140Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention19 novembre 2006 1 oct. 2006 à 22:43
I do agree !
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 1 oct. 2006 à 22:28
Recommence en bossant dans un dossier à 8 caractères maxi et sans espaces !!!
"doc ans stings" etc... ce sont les dossiers pour les niais, un developpeur n'a rien à faire en ces lieux.
cs_darkdidi
Messages postés21Date d'inscriptionmercredi 5 avril 2006StatutMembreDernière intervention 4 janvier 2007 1 oct. 2006 à 22:09
ca marche paaaas !
J'ai essayé avec Windows XP Free Build Environment, Windows Server 2003, ca marche jamais.
alors je fais :
'cd C:\Documents and Settings\Thomas\Mes documents\C C++\hide_proc\03\HideProcess\test'
C'est le répertoire ou sont les sources et tout.
Et pis :
'build cZg' ou
'build -cZ'.
Ca marche pas.
voici le log généré :
BUILD: Examining c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory for files to compile.
Compiling (NoSync) c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory ********************
1>'nmake.exe /nologo BUILDMSG=Stop. -i NTTEST= UMTEST= NOLINK=1 PASS1_NOLIB=1 386=1'
1>BUILDMSG: Processing c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
TESTING: Number of dirs done build libs 0 out of 1Compiling c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory ********************
101>'nmake.exe /nologo BUILDMSG=Stop. -i NTTEST= UMTEST= NOLINK=1 386=1'
101>BUILDMSG: Processing c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
Compile errors: not linking c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory ********************
Il me dit aussi que y'a 10 fichiers compilés et 10 erreurs.
Enfin je comprends rien, tout ce que je sais c'est que ca marche pas.
Quelqu'un peut m'aider s'il vous plait ? Merci beaucoup.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 1 oct. 2006 à 21:44
C'est bien cela.
cs_darkdidi
Messages postés21Date d'inscriptionmercredi 5 avril 2006StatutMembreDernière intervention 4 janvier 2007 1 oct. 2006 à 21:30
cs_darkdidi
Messages postés21Date d'inscriptionmercredi 5 avril 2006StatutMembreDernière intervention 4 janvier 2007 1 oct. 2006 à 20:56
j'pige pas. Ils disent qu'il faut le mettre sur un CD ?!
cs_krust
Messages postés140Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention19 novembre 2006 1 oct. 2006 à 20:22
Il est denouveau disponible sur internet, suffit de googler.
cs_darkdidi
Messages postés21Date d'inscriptionmercredi 5 avril 2006StatutMembreDernière intervention 4 janvier 2007 1 oct. 2006 à 19:27
bonjour,
savez-vous ou je peux télécharger cette DDK ? Sur la MSDN ?
cs_fraboulet
Messages postés37Date d'inscriptionmardi 8 juillet 2003StatutMembreDernière intervention27 avril 2006 27 avril 2006 à 09:21
Bravo!
econs
Messages postés4030Date d'inscriptionmardi 13 mai 2003StatutMembreDernière intervention23 décembre 200824 20 avril 2006 à 17:14
patoch14> Les EXE sont retirés des Zips avant le téléchargement.
C'est à toi de le compiler pour avoir l'EXE, après avoir vérifié qu'il n'y avait pas de code malveillant.
patoch14
Messages postés4Date d'inscriptionmercredi 19 avril 2006StatutMembreDernière intervention20 avril 2006 20 avril 2006 à 16:29
brunews j'ai ete voir ton lien mais quand je telecharge le zip j'ai pas le fichier exe a l'interieur
cs_krust
Messages postés140Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention19 novembre 2006 19 avril 2006 à 22:05
Ca dépend comment les jeux détecte si il est déjà lancé ou pas. Généralement ils utilisent deux méthodes :
1) Check des fenêtre (FindWindow(0,"Kalonline 1.20c");
2) Enumération des process's, if pname == "Kalonline.exe" ...
Parer ça :
Hide du process avec le driver
Parfois un simplemnt rename de la fenêtre solve le problème ( SetWindowText(Hwnd,"WhatEver"); )
Voilà, aussi non c'est un jeu gratuit, au pire j'essaie ça.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 19 avril 2006 à 22:05
patoch14
Messages postés4Date d'inscriptionmercredi 19 avril 2006StatutMembreDernière intervention20 avril 2006 19 avril 2006 à 21:58
mais en fait quand tu l'installe ca te cache seulement explorer. En fait si tu prefere j'ai un jeu (kalonline si tu connais) avec lequel je ne peux plus ouvrir deux fenetre a cause d'un anti hack. Pour passer ca il faut que je cache le processus d'un des deux jeu. j'aimerais savoir commant avec le programme. merci
cs_krust
Messages postés140Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention19 novembre 2006 19 avril 2006 à 21:51
Il sera caché de toutes les applications pas seulement de Explorer.
Note: quand je dis toutes, c'est à quelques exeptions près, en effet certain programme permettent de rechercher les processus cachés par cette technique.
patoch14
Messages postés4Date d'inscriptionmercredi 19 avril 2006StatutMembreDernière intervention20 avril 2006 19 avril 2006 à 21:47
voila j'ai telecharger les fichier zip mais coment faire pour cacher les processus voulu et pas seulement explorer. D'avance merci pour la reponse.
cs_krust
Messages postés140Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention19 novembre 2006 17 mars 2006 à 23:35
Mhh tu devrais mettre un mot d'explication sur le KiSystemService (KeServiceDescriptorTable) et la différence entre le userland et le kernel :) et tant qu'on y est un mot sur les apis natives :p ?
J'explique en deux mots (histoire que les personnes qui n'y connaissent rien puissent suivre) :
Il existe une tone d'api win32 qui sont souvent assez similaire l'une de l'autre. Mais il n'existe fondamentalement qu'une quantitée beaucoup plus restreinte d'api appelées NATIVES. (leur nom commence par le préfixe NT, mais leur nom de fonction commencent par Zw).
Ces apis sont appelées par toutes les apis "classiques" contenues dans Kernel32, NTDLL, etc,..
Les apis natives sont donc les fonctions primaires du système d'exploitation windows.
Ce qu'il faut savoir aussi c'est que ces apis résident dans la partie Kernel du la mémoire (Address > 0x800000). Je ne vais pas parler longtemps de la différence entre les deux mais on peut se contenter de savoir qu'elle est interdite d'accès aux applications courante (UserLand) et qu'elle contient notament l'os et les drivers.
C'est évidement pour cette raison qu'il est impératif de créer un driver pour pouvoir modifier cette partie de la mémoire (pour effectuer notre hook).
Les address vers les apis native sont stockées dans ce qu'on appel la System Service Table.
Ce que fait ce driver, c'est modifier cette table pour faire pointer la fonction désirée vers notre fonction de hook (NewNtQuerySystemInformation).
Puisque toutes les apis finissent par appeler les apis Natives, si on hook celle-ci toutes les apis qui en découlent seront "modifiées".
Ceci dit, ce n'est pas indétectable, il suffit de dumper la table et de vérifier que les address soit bien dans une zone de mémoire crédible (même principe que pour les hooks IAT en fait,...).
Enfin voilà, c'est encore de la matière nouvelle pour moi donc c'est possible que j'ai mal compris quelques petites choses mais je pense que l'essentiel est là :)
Note pour ceux qui se demandent ce que veulent dire _asm cli et _asm sti, ce sont deux instructions assembleur qui désactive les intéruptions puis les réactives afin d'éviter qu'il y ait une utilisation de la table pendant qu'elle est modifiée (ce qui ferait sans doute planter windows).
Yop,
Krust.
cs_floche
Messages postés16Date d'inscriptiondimanche 10 octobre 2004StatutMembreDernière intervention11 avril 2006 27 févr. 2006 à 23:21
rien a dire t es un bon
excelent
zeeeleyou
Messages postés12Date d'inscriptionsamedi 3 décembre 2005StatutMembreDernière intervention30 décembre 2005 29 déc. 2005 à 12:23
encore un *********** de cheater en plus sur le net ?!?!
albert0
Messages postés249Date d'inscriptionmercredi 27 novembre 2002StatutMembreDernière intervention 9 août 2008 17 sept. 2005 à 15:50
oué, mais on sais jamais :)
un précaution de plus
mais, le plus interssant c'est de coder quelque chose pour contrer VAC2, pas la triche en lui meme, si tu voit ce que je veut dire
cs_Alain Proviste
Messages postés908Date d'inscriptionjeudi 26 juillet 2001StatutModérateurDernière intervention 1 février 20152 17 sept. 2005 à 13:38
le vac2 scan directement les hooks dans la memoire, il ne regarde pas la liste des progs betement.
le cheat est un veritable fléau contre le jeux online et valve a de plus en plus de mal à lutter...
albert0
Messages postés249Date d'inscriptionmercredi 27 novembre 2002StatutMembreDernière intervention 9 août 2008 16 sept. 2005 à 12:34
CS:S -> counter-strike SOurce, un jeux Online
VAC2 (Valve Anti-CHeat 2) -> l'anti-cheat, qui scan les processus actif en tre autre
et avec ce code, en cachant le processus du cheat, on a un des moyen s de pas se faire detecter :)
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 16 sept. 2005 à 11:20
"CS:S avec son VAC2" qu'est-ce que tout cela ???
albert0
Messages postés249Date d'inscriptionmercredi 27 novembre 2002StatutMembreDernière intervention 9 août 2008 16 sept. 2005 à 10:45
Exelent arnotic,
utilise pour rendre Undetecable un cheat pour CS:S avec son VAC2
:)
pvfro
Messages postés1Date d'inscriptionmercredi 10 août 2005StatutMembreDernière intervention11 août 2005 11 août 2005 à 11:42
Hello, J'ai essaye d'utiliser ton code pour rendre invisibles plusieurs precessus. Alors, j'ai detecte un "bug" dans ntqsi.c. Le code advance "prev = curr;" sans tenir compte du resultat de la comparison. Alors, il e posssible de laisser un processus visible si le precedant a ete cache.
La modification necessaire pour corriger cette probleme e minore. Il faut simplement ajouter une variable pour verifier si un processus a ete cache.
cs_Arnotic
Messages postés933Date d'inscriptiondimanche 1 avril 2001StatutMembreDernière intervention 9 janvier 2012 29 juin 2005 à 10:21
Ce que je viens de faire là n'est pas un hook sur le task manager. Pourquoi ? Tout simplement pour rendre vraiment invisible le processus. De cette manière n'importe quel programme demandant la liste des process en cours ne peut voir mon process.
cs_Arnotic
Messages postés933Date d'inscriptiondimanche 1 avril 2001StatutMembreDernière intervention 9 janvier 2012 29 juin 2005 à 09:30
Il faut le DDK (Driver Development Kit) de Microsoft.
cs_sangoan
Messages postés2Date d'inscriptiondimanche 14 septembre 2003StatutMembreDernière intervention28 juin 2005 28 juin 2005 à 22:01
comment modifier le fichier sys et le recompiler
qqun peut m aider ??
Msgbox
Messages postés67Date d'inscriptionlundi 1 juillet 2002StatutMembreDernière intervention 1 septembre 2006 4 juin 2005 à 18:48
Pourquoi est ce qu'il faut faire un driver ?
Hooker l'api ZwQuerySystemInformation sur le task manager, c'est pas possible ?
++
cs_Alain Proviste
Messages postés908Date d'inscriptionjeudi 26 juillet 2001StatutModérateurDernière intervention 1 février 20152 24 mai 2005 à 07:55
ahaha alexman :D
cs_AlexMAN
Messages postés1536Date d'inscriptionsamedi 21 décembre 2002StatutMembreDernière intervention24 mai 20091 23 mai 2005 à 20:58
Ce qu'il s'est passé, c'est qu'apres l'installation du service, la machine a rebooté, et pis au redemarrage, plus d'explorer. Je sais pas comment je me suis démerdé, mais c'est revenu a la normale il y a quelques minutes (d'ou l'agressivité dans mon précédent message, pardon :$).
cs_Arnotic
Messages postés933Date d'inscriptiondimanche 1 avril 2001StatutMembreDernière intervention 9 janvier 2012 23 mai 2005 à 19:48
Non, sur plusieurs poste marche très bien. Suffit de faire déssintaller. Mais quand tu as installé le service il ne faut pas quitter l'application. C'est la seule règle.
cs_AlexMAN
Messages postés1536Date d'inscriptionsamedi 21 décembre 2002StatutMembreDernière intervention24 mai 20091 23 mai 2005 à 19:16
Ton service a fouttu une merde pas possible sur mon ordi, impossible de remettre la main sur explorer.exe..Une MAJ serait de rigueur ;) (WinXP + SP2)
cs_Arnotic
Messages postés933Date d'inscriptiondimanche 1 avril 2001StatutMembreDernière intervention 9 janvier 2012 23 mai 2005 à 16:45
Essaye de te connecter en Administrateur ca devrait mieux passer. De plus si l'utilisateur que tu utilises tu la créé pendant l'install de Windows tu n'as pas tous les droits de l'administrateur.
cs_mayti
Messages postés36Date d'inscriptionsamedi 2 octobre 2004StatutMembreDernière intervention11 juin 2005 23 mai 2005 à 16:33
Oui ils sont bien dans le même dossier, je suis administrateur de l'ordinateur mais je ne suis pas connecté sur le compte "Administrateur", pourtant on peut créer des services sans y être connecté je pense. Qu'est ce que tu entend par autre loader ?
cs_Arnotic
Messages postés933Date d'inscriptiondimanche 1 avril 2001StatutMembreDernière intervention 9 janvier 2012 22 mai 2005 à 22:59
L'executable et le fichier .sys sont t'ils bien dans le même répertoire ?
Sinon utilise un autre loader.
cs_mayti
Messages postés36Date d'inscriptionsamedi 2 octobre 2004StatutMembreDernière intervention11 juin 2005 22 mai 2005 à 20:57
Oui
cs_Arnotic
Messages postés933Date d'inscriptiondimanche 1 avril 2001StatutMembreDernière intervention 9 janvier 2012 22 mai 2005 à 20:13
Es-tu administrateur sur la machine ?
cs_mayti
Messages postés36Date d'inscriptionsamedi 2 octobre 2004StatutMembreDernière intervention11 juin 2005 22 mai 2005 à 17:10
Hello, Ca masque explorer.exe dans l'onglet processus ?
Et comment tester ? j'obtiens "Impossible de créer le service.", où faut-il mettre ntqsi.sys ?
4 janv. 2007 à 13:59
Je pense que ce driver dot tourner sur Vista, à tester.
Celui ci est testé fonctionnant et sans retouche sur Vista:
CACHER PROCESSUS AU CHOIX (DRIVER WIN32)
http://www.cppfrance.com/code.aspx?ID=36941
4 janv. 2007 à 13:44
Probablement que non car Microsoft contient des problèmes que cause l'accès aisé au kernel a implémenté toutes sortes de mesures sous vista.
Par exemple, seul les drivers numériquement signé pourront être chargé directement (si mes sources sont exactent). Pour les autres, il y a un message de la part de windows demandant si on autorise (ou pas) le chargement de tel ou tel driver.
Je n'en sais pas plus mais c'est clair qu'il ne sera plus possible de charger un driver sans que l'utilisateur l'accept. Cependant je ne doute pas qu'il apparaîtera des méthodes pour détourner ces protections.
voilà voilà.
4 janv. 2007 à 12:26
15 oct. 2006 à 03:14
et pourquoi pas un PORT ( histoire que le boss grille pas la Mule caché :p
mais la on tombe limite dans le malfaisant javoue ^^, mai sca peu etre interessant
idem 10\10
2 oct. 2006 à 18:42
merci !
PS : marche nikel : 10/10
1 oct. 2006 à 22:43
1 oct. 2006 à 22:28
"doc ans stings" etc... ce sont les dossiers pour les niais, un developpeur n'a rien à faire en ces lieux.
1 oct. 2006 à 22:09
J'ai essayé avec Windows XP Free Build Environment, Windows Server 2003, ca marche jamais.
alors je fais :
'cd C:\Documents and Settings\Thomas\Mes documents\C C++\hide_proc\03\HideProcess\test'
C'est le répertoire ou sont les sources et tout.
Et pis :
'build cZg' ou
'build -cZ'.
Ca marche pas.
voici le log généré :
BUILD: Examining c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory for files to compile.
Compiling (NoSync) c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory ********************
1>'nmake.exe /nologo BUILDMSG=Stop. -i NTTEST= UMTEST= NOLINK=1 PASS1_NOLIB=1 386=1'
1>BUILDMSG: Processing c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
1>NMAKE : warning U4006: special macro undefined : '$<'
1> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
1>'jvc' n'est pas reconnu en tant que commande interne
1>ou externe, un programme ex?cutable ou un fichier de commandes.
TESTING: Number of dirs done build libs 0 out of 1Compiling c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory ********************
101>'nmake.exe /nologo BUILDMSG=Stop. -i NTTEST= UMTEST= NOLINK=1 386=1'
101>BUILDMSG: Processing c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
101>NMAKE : warning U4006: special macro undefined : '$<'
101> jvc /nologo /cp C:\WINDDK\3790~1.183\public\sdk\classes\afc.zip;C:\WINDDK\3790~1.183\public\sdk\classes\classes.zip;c:\documentsandsettings\thomas\mesdocuments\cc++\hide_proc\03\hideprocess\test; /O /w4 /d objfre_wnet_x86\i386
101>'jvc' n'est pas reconnu en tant que commande interne
101>ou externe, un programme ex?cutable ou un fichier de commandes.
Compile errors: not linking c:\documents and settings\thomas\mes documents\c c++\hide_proc\03\hideprocess\test directory ********************
Il me dit aussi que y'a 10 fichiers compilés et 10 erreurs.
Enfin je comprends rien, tout ce que je sais c'est que ca marche pas.
Quelqu'un peut m'aider s'il vous plait ? Merci beaucoup.
1 oct. 2006 à 21:44
1 oct. 2006 à 21:30
j'voudrais pas faire n'importe quoi ^^
1 oct. 2006 à 20:56
1 oct. 2006 à 20:22
1 oct. 2006 à 19:27
savez-vous ou je peux télécharger cette DDK ? Sur la MSDN ?
27 avril 2006 à 09:21
20 avril 2006 à 17:14
C'est à toi de le compiler pour avoir l'EXE, après avoir vérifié qu'il n'y avait pas de code malveillant.
20 avril 2006 à 16:29
19 avril 2006 à 22:05
1) Check des fenêtre (FindWindow(0,"Kalonline 1.20c");
2) Enumération des process's, if pname == "Kalonline.exe" ...
Parer ça :
Hide du process avec le driver
Parfois un simplemnt rename de la fenêtre solve le problème ( SetWindowText(Hwnd,"WhatEver"); )
Voilà, aussi non c'est un jeu gratuit, au pire j'essaie ça.
19 avril 2006 à 22:05
19 avril 2006 à 21:58
19 avril 2006 à 21:51
Note: quand je dis toutes, c'est à quelques exeptions près, en effet certain programme permettent de rechercher les processus cachés par cette technique.
19 avril 2006 à 21:47
17 mars 2006 à 23:35
J'explique en deux mots (histoire que les personnes qui n'y connaissent rien puissent suivre) :
Il existe une tone d'api win32 qui sont souvent assez similaire l'une de l'autre. Mais il n'existe fondamentalement qu'une quantitée beaucoup plus restreinte d'api appelées NATIVES. (leur nom commence par le préfixe NT, mais leur nom de fonction commencent par Zw).
Ces apis sont appelées par toutes les apis "classiques" contenues dans Kernel32, NTDLL, etc,..
Les apis natives sont donc les fonctions primaires du système d'exploitation windows.
Ce qu'il faut savoir aussi c'est que ces apis résident dans la partie Kernel du la mémoire (Address > 0x800000). Je ne vais pas parler longtemps de la différence entre les deux mais on peut se contenter de savoir qu'elle est interdite d'accès aux applications courante (UserLand) et qu'elle contient notament l'os et les drivers.
C'est évidement pour cette raison qu'il est impératif de créer un driver pour pouvoir modifier cette partie de la mémoire (pour effectuer notre hook).
Les address vers les apis native sont stockées dans ce qu'on appel la System Service Table.
Ce que fait ce driver, c'est modifier cette table pour faire pointer la fonction désirée vers notre fonction de hook (NewNtQuerySystemInformation).
Puisque toutes les apis finissent par appeler les apis Natives, si on hook celle-ci toutes les apis qui en découlent seront "modifiées".
Ceci dit, ce n'est pas indétectable, il suffit de dumper la table et de vérifier que les address soit bien dans une zone de mémoire crédible (même principe que pour les hooks IAT en fait,...).
Enfin voilà, c'est encore de la matière nouvelle pour moi donc c'est possible que j'ai mal compris quelques petites choses mais je pense que l'essentiel est là :)
Note pour ceux qui se demandent ce que veulent dire _asm cli et _asm sti, ce sont deux instructions assembleur qui désactive les intéruptions puis les réactives afin d'éviter qu'il y ait une utilisation de la table pendant qu'elle est modifiée (ce qui ferait sans doute planter windows).
Yop,
Krust.
27 févr. 2006 à 23:21
excelent
29 déc. 2005 à 12:23
17 sept. 2005 à 15:50
un précaution de plus
mais, le plus interssant c'est de coder quelque chose pour contrer VAC2, pas la triche en lui meme, si tu voit ce que je veut dire
17 sept. 2005 à 13:38
le cheat est un veritable fléau contre le jeux online et valve a de plus en plus de mal à lutter...
16 sept. 2005 à 12:34
VAC2 (Valve Anti-CHeat 2) -> l'anti-cheat, qui scan les processus actif en tre autre
et avec ce code, en cachant le processus du cheat, on a un des moyen s de pas se faire detecter :)
16 sept. 2005 à 11:20
16 sept. 2005 à 10:45
utilise pour rendre Undetecable un cheat pour CS:S avec son VAC2
:)
11 août 2005 à 11:42
La modification necessaire pour corriger cette probleme e minore. Il faut simplement ajouter une variable pour verifier si un processus a ete cache.
modif=0;
if(memcmp(process_name.Buffer, "main.exe", 8) == 0 ||
memcmp(process_name.Buffer, "client.exe", 10) == 0
) {
modif=1;
.....
}
if(!modif)prev = curr;
29 juin 2005 à 10:21
29 juin 2005 à 09:30
28 juin 2005 à 22:01
qqun peut m aider ??
4 juin 2005 à 18:48
Hooker l'api ZwQuerySystemInformation sur le task manager, c'est pas possible ?
++
24 mai 2005 à 07:55
23 mai 2005 à 20:58
23 mai 2005 à 19:48
23 mai 2005 à 19:16
23 mai 2005 à 16:45
23 mai 2005 à 16:33
22 mai 2005 à 22:59
Sinon utilise un autre loader.
22 mai 2005 à 20:57
22 mai 2005 à 20:13
22 mai 2005 à 17:10
Et comment tester ? j'obtiens "Impossible de créer le service.", où faut-il mettre ntqsi.sys ?