cs_Patrice99
Messages postés1221Date d'inscriptionjeudi 23 août 2001StatutMembreDernière intervention 9 septembre 2018
-
7 avril 2006 à 08:51
daminator2
Messages postés12Date d'inscriptiondimanche 7 novembre 2010StatutMembreDernière intervention 4 décembre 2010
-
10 nov. 2010 à 11:39
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
daminator2
Messages postés12Date d'inscriptiondimanche 7 novembre 2010StatutMembreDernière intervention 4 décembre 2010 10 nov. 2010 à 11:39
Excellent code félicitation, congratulation.
Prions que ça ne tombe entre de mauvaise main.
ernest_hemingway07
Messages postés3Date d'inscriptionvendredi 6 avril 2007StatutMembreDernière intervention27 janvier 2010 7 oct. 2010 à 14:16
salut les gars je suis debutan en language c svp quelqun m'explique ces ligne
#define IOCTL_NAME_PRCSS CTL_CODE(40000, 0x900, METHOD_BUFFERED, FILE_ANY_ACCESS);
la fonction bntrimfai qoi juste
aussi la function MyPathSys()
{
char *c, *d;
d = szflsys + GetModuleFileName(0, szflsys, 300);
while(*d != '\\') d--;
c = sznamesys;
d++; // LAISSER LE '\\'
while(*d = *c) {c++; d++;} *d '.'; *(d+1) 's'; *(d+2) = 'y'; *(d+3) = 's'; *(d+4) = 0;
}
Superkarl
Messages postés5Date d'inscriptionvendredi 5 mars 2010StatutMembreDernière intervention19 avril 2010 22 févr. 2010 à 20:55
ok merci je le supprime.
Sinon bon travail !
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 12 févr. 2010 à 16:01
Il n'y a psa de ça dans le ZIP.
Superkarl
Messages postés5Date d'inscriptionvendredi 5 mars 2010StatutMembreDernière intervention19 avril 2010 12 févr. 2010 à 15:49
Salut.
Je voudrais savoir c'est quoi TR/Bckdr.QIQ stp ?
( c'est dans le rar )
guiguit83
Messages postés3Date d'inscriptionsamedi 27 septembre 2008StatutMembreDernière intervention11 novembre 2009 11 nov. 2009 à 19:25
ouep je viens de matter , compliqué tout ca, chui bien meilleur en php lol , ya pas une ame généreuse pour la compile pour plusieur exe .
merci .a++++
guiguit83
Messages postés3Date d'inscriptionsamedi 27 septembre 2008StatutMembreDernière intervention11 novembre 2009 11 nov. 2009 à 17:23
merci , je vais essayer , si c est bon je le posterai pour tout le monde .+++
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 11 nov. 2009 à 08:47
En étudiant le code, tu devrais trouver les parties à modifier.
guiguit83
Messages postés3Date d'inscriptionsamedi 27 septembre 2008StatutMembreDernière intervention11 novembre 2009 10 nov. 2009 à 23:37
lut , merci pour le programe, exellent, par contre y a possiblité de cacher plusieur processus ,voir 2 ou 3 ?
car la on peut le faire que sur 1 .exe .merci
taggle
Messages postés7Date d'inscriptiondimanche 9 mai 2004StatutMembreDernière intervention27 octobre 2009 27 oct. 2009 à 21:04
je voudrais supprimer la textbox, pour cacher uniquement un processus "norton.exe" en appuyant sur ok. quelle variable changer dans le code?
sinon ba je pige pas tout mais ca marche bien sur vista :)
Renfield
Messages postés17287Date d'inscriptionmercredi 2 janvier 2002StatutModérateurDernière intervention27 septembre 202174 19 mai 2009 à 10:06
ton "antivirus" detecte l'utilisation d'APIs que peu de gens approchent.
génerallement exploitées pour les trojans et autres virus.
mais notre bon ami BruNews est une pointure du bon coté de la barrière.
pas de risque a utiliser le zip, vraiment.
lucfrfr
Messages postés5Date d'inscriptionmercredi 24 août 2005StatutMembreDernière intervention19 mai 2009 19 mai 2009 à 10:02
je n'arrive pas non plus a extraire le fichier .sys
lucfrfr
Messages postés5Date d'inscriptionmercredi 24 août 2005StatutMembreDernière intervention19 mai 2009 19 mai 2009 à 09:52
Est-ce normal que mon anti-virus détecte un trojan dans cette source ?
je ne pense pas que se soit normal.
Et pas très cool de la pars de la personne qui l'a mit.
Heandel
Messages postés4Date d'inscriptionmercredi 21 juin 2006StatutMembreDernière intervention10 novembre 2008 5 oct. 2008 à 18:27
Excellent, merci à toi ;)
Ce que tu as programmé est également utilisé par la plupart des bons programmes de protection de la mémoire, comme ceux qu'on voit sur les jeux en ligne.
Citons par exemple HackShield, GameGuard, XTrap... etc.
Il est toutefois possible d'accéder au processus avec openprocess.
Encore bravo :)
atomikgwada
Messages postés1Date d'inscriptionmercredi 1 octobre 2008StatutMembreDernière intervention 1 octobre 2008 1 oct. 2008 à 17:33
Salut,
ce code est parfait pour un petit utilitaire auquel je pense :D
Merci
Par contre si ça tombe entre de mauvaises mains, l'utilisateur lambda risque de s'arracher les cheveux :s
ImmortalPC
Messages postés954Date d'inscriptionmardi 11 mai 2004StatutMembreDernière intervention11 novembre 20082 18 mai 2008 à 11:34
Salut !
"Pour l'exception générée, teste en modifiant le registre CR0 comme indiqué par NUTZ007."
>> Je teste ça ;) ( 236 Mo à télécharger XD c' est des fous chez microsoft )
Merci Nix pour la réparation :D
@+
vecchio56
Messages postés6535Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention22 août 201014 17 mai 2008 à 17:51
Je n'avais pas pensé a ça, merci
Nix
Messages postés831Date d'inscriptionsamedi 15 mai 1999StatutMembreDernière intervention18 juillet 2009 17 mai 2008 à 17:48
Vecchio, vides ton cache, car mon post au dessus a bien fonctionné, tu as peut-être un javascript en cache qui n'est pas à jour.
vecchio56
Messages postés6535Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention22 août 201014 17 mai 2008 à 17:36
Il me semble que j'ai toujours le probl?me...
Nix
Messages postés831Date d'inscriptionsamedi 15 mai 1999StatutMembreDernière intervention18 juillet 2009 17 mai 2008 à 14:31
Je viens de corriger le problème d'accent, désolé une modif sur le site hier semble avoir provoquer ce problème dans les dépôts de commentaires :/
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 17 mai 2008 à 12:07
Les accents, c'est une erreur d'un dernier patch sur CS, j'ai signal? et nos webistes vont s'en occuper.
Pour l'exception g?n?r?e, teste en modifiant le registre CR0 comme indiqu? par NUTZ007.
ImmortalPC
Messages postés954Date d'inscriptionmardi 11 mai 2004StatutMembreDernière intervention11 novembre 20082 17 mai 2008 à 11:48
Salut !
J' ai Win SP1 ( XD ) donc pas d' UAC.
SP1 serait il immunise ? ^^
Sinon j' ai essaye : http://dev.winsysdev.com/src_Cacher-un-processus_9.aspx et meme probleme :'(
Apres quelque recherche, Cheat Engine ( programme d' edition d' une application en memoire ) utilise un systeme similaire et ?a ne me fait pas planter le systeme.
Une id'e ?
@+
PS: Normal que je vois pas les caracteres avec des accents de mon post et du tien ?
PS 2: J' ai pas mit d' accents pour que se soit lisible.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 17 mai 2008 à 10:25
J'utilise VC++ pour l'exe et le DDK pour le sys.
J'avais test? sur XP et Vista (sans UAC), jamais not? ce reboot intempestif.
ImmortalPC
Messages postés954Date d'inscriptionmardi 11 mai 2004StatutMembreDernière intervention11 novembre 20082 17 mai 2008 à 00:32
Salut !
Tr?s beau travail !
N'anmoins j' ai un petit probl?me assez g?nant :
Le programme ne marche pas normalement.
- Je lance MngHide.exe ( pas de probl?me ?a marche )
- Je click Installer et l? malheur reboot sans avertissement ni message. ( c' est normal ? )
- Essaie n?2 : je lance et je rentre le nom de mon prog ( prog.exe ) et je click envoyer.
R?sultat, un message d' erreur : ERR OPEN DEVICE
J' ai pas d' id'e l? :S
De plus quel compilateur utilises tu ? Perso j' ai GCC et j' ai plein d' erreurs.
@+
Renfield
Messages postés17287Date d'inscriptionmercredi 2 janvier 2002StatutModérateurDernière intervention27 septembre 202174 20 mars 2008 à 15:47
.ex a renommer en .exe
cs_Erucia
Messages postés6Date d'inscriptionjeudi 20 mars 2008StatutMembreDernière intervention25 mars 2008 20 mars 2008 à 15:36
Bonjour à tous,
ce programme m'interresse mais je n'ai pas le .exe dans le zip c'est normal ? ou alors il faut que je compile moi même cette source ? mais comment ?
Merci d'avance
quackounet
Messages postés1Date d'inscriptionjeudi 4 octobre 2007StatutMembreDernière intervention 4 octobre 2007 4 oct. 2007 à 23:21
Bonjour, c'est exactement ce que je recherchais pour essayer de lancer un programme en double sur mon ordi ! Hèlas je suis une.... dans ce domaine, la seule chose que j'ai reussi a faire c'est de faire le build, et au final j'ai un fichier sys dont je ne sais que faire, dommage, si il y a un exe disponible je suis preneur, ou bien meme une maniere de les creer je trouve ca tres interressant, preneur aussi de tutoriaux ! ..voila merci !
Renfield
Messages postés17287Date d'inscriptionmercredi 2 janvier 2002StatutModérateurDernière intervention27 septembre 202174 22 août 2007 à 10:31
si on sais ou on va et ce qu'on lance ...
vecchio56
Messages postés6535Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention22 août 201014 21 août 2007 à 18:58
Ca sert a réchauffer la pièce quand le PC ne chauffe pas assez. Je l'ai aussi mis à la poubelle, et aucun problème
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 21 août 2007 à 17:43
Je n'ai pas d'antivirus, ça évite d'avoir ce genre de message crétin.
A part si on va sur grossecoche.com, ne sert strictement à rien.
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 21 août 2007 à 16:12
Parce que BruNews est sournois...il a planqué un ptit virus ASM dedans :-)
vbnino
Messages postés218Date d'inscriptionjeudi 13 juillet 2006StatutMembreDernière intervention11 juillet 2010 21 août 2007 à 14:26
Salut!
Trés bon sources , mais pour-quoi avast me dit que le fichier bnhide.sys et infécté par Win32:Trojan-gen
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 3 juil. 2007 à 21:48
ben oui, faudrait voir ce qui pouvait tourner au même moment sur les PCs incriminés, surtout en kernel mode pour générer une exception.
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 3 juil. 2007 à 21:38
ok, thx BN
étrange cette histoire de BOSD, j'ai testé le code sous 2000/XP/Vista 32bits ça marche impec.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 3 juil. 2007 à 21:38
Resume (bit 16) ? Controls the processor?s response to instruction-breakpoint conditions.
When set, this flag temporarily disables debug exceptions (#DB) from being generated for instruction breakpoints (although other exception conditions can cause an exception to be generated). When clear, instruction breakpoints will generate debug exceptions.
The primary function of the RF flag is to allow the restarting of an instruction following a debug exception that was caused by an instruction breakpoint condition. Here, debug software must set this flag in the EFLAGS image on the stack just prior to returning to the interrupted program with IRETD (to prevent the instruction breakpoint from causing another debug exception). The processor then automatically clears this flag after the instruction returned to has been successfully executed, enabling instruction breakpoint faults again.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 3 juil. 2007 à 21:31
Le registres CR0 (0 to 5) contient différents flags qui régissent le mode de fonctionnement (PE, alignement exception, etc....).
Faudrait fouiller dans les manuels Intel pour savoir lequel c'est.
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 3 juil. 2007 à 21:09
ça fait quoi de plus ce code asm ?
nutz007
Messages postés3Date d'inscriptionlundi 20 juin 2005StatutMembreDernière intervention18 octobre 2007 3 juil. 2007 à 15:22
Merci quand même ;)
J'ai trouvé le solution à mon problème, en passant par un code assembleur que j'ai trouvé en fouillant le web :
Si y'en a qui se sentent de tester sur d'autres OS que windows XP avec ce code ... ;)
Merci BruNews !
nutz
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 2 juil. 2007 à 19:05
Ce fut un peu long la MAJ de 6 mois...
Va toujours impec ainsi que sur Vista, je ne sais quoi te dire et je n'ai pas le temps d'enquêter davantage.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 2 juil. 2007 à 17:48
Je vais faire les derniers Win Update sur un XP SP2 et je testerai ensuite, peut-être il y a eu protection de zone sensible d'ajoutée.
nutz007
Messages postés3Date d'inscriptionlundi 20 juin 2005StatutMembreDernière intervention18 octobre 2007 2 juil. 2007 à 16:22
Hello.
J'ai un gros probleme avec le driver: sur 2 PC différents Win XP Pro SP2, je me retrouve avec un écran bleu qui survient pendant l'installation du driver, exactement à la ligne où on met en place le hook :
(NTQUERYSYSTEMINFORMATION)(SYSTEMSERVICE(ZwQuerySystemInformation)) = bnQuerySysInfo;
De manière générale, cette erreur semble survenir chaque fois qu'on essaie d'assigner cette adresse (même problème dans la fonction UnHook lorsqu'on reinitialize le pointeur).
Plus de détails :
- l'installation du driver tel quel provoque un BSOD avec comme message DRIVER_IRQL_LESS_OR_EQUAL
- si l'on supprime les directives _asm cli et _asm sti, BSOD avec le message "Tentative d'écriture dans la mémoire en lecture seule"
- si l'on commente la ligne en question, le programme n'a pas d'effet (normal) mais pas de BSOD
C'est tout ce que je peux fournir comme indices.
Je vous serais très reconnaissant si je pouvais avoir un pti coup de pouce !
Merci :)
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 9 avril 2007 à 10:34
"makefile" est repris du DDK, "source" idem sauf qu'il faut l'éditer pour modifs. Je ne compile donc pas avec VC++, simple histoire de confort d'éditeur.
SAKingdom
Messages postés3212Date d'inscriptionlundi 7 novembre 2005StatutMembreDernière intervention16 février 200915 9 avril 2007 à 02:45
Salut.
Comment génères-tu le fichier "makefile" et le fichier "source" ?
Et aussi, le .vcproj, .sln et .suo ont-ils une utilité dans la compilation (peut-on compiler à partir de là) ou c'est simplement pour le "confort" de l'IDE ?
Merci.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 20 janv. 2007 à 20:43
Le prob avec la version 64 c'est qu'on est seul et que tous les progs sont en 32, personne n'en veut à commencer par les gros éditeurs et avec raison, ça n'apporte strictement rien en perfs.
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 20 janv. 2007 à 20:38
"Il y a aussi une autre facon de cacher un proccess c'est de le detacher de ActiveProcessList"
Oui c'est la méthode utilisée par le FU rootkit il me semble, à voir si ça fonctionne sous vista...
Ben si ça marche sous vista 32 c'est deja pas si mal, voila donc une bonne raison pour prendre la version 64 :-)
maincode_cpp
Messages postés2Date d'inscriptionmardi 16 janvier 2007StatutMembreDernière intervention16 janvier 2007 16 janv. 2007 à 13:51
HeavenForsaker , le code ne marchera pas sous vista a cause de patchguard qui verifie tt le temps la SSDT :\ (du moins en X64) voila la raison du caca nerveux de norton :)
maincode_cpp
Messages postés2Date d'inscriptionmardi 16 janvier 2007StatutMembreDernière intervention16 janvier 2007 16 janv. 2007 à 13:48
Il y a aussi une autre facon de cacher un proccess c'est de le detacher de ActiveProcessList (qui est une double liste chainée des process (structure : EPROCESS) qui sont en cours d executions)
rivsc
Messages postés9Date d'inscriptionmardi 10 novembre 2009StatutMembreDernière intervention26 février 2010 11 janv. 2007 à 12:21
"Dans tous les cas, je ne verrais pas l'utilité de faire une console si c'est pour la masquer." BruNews
Normal il n'y a aucune utilité à cela, le but de la chose étant de cacher la fenetre en 5 lignes.
void main()
{
FreeConsole();
return;
}
"autant faire un prog Win App GUI commençant en WinMain qui ne créera pas de fenêtre".
Ca c'est parce que j'ai mes petites habitudes (faire un void main()) :-)
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 10 janv. 2007 à 23:37
Oui surement quand on fait de la console mais je n'en fais plus des lustres.
Dans tous les cas, je ne verrais pas l'utilité de faire une console si c'est pour la masquer, autant faire un prog Win App GUI commençant en WinMain qui ne créera pas de fenêtre.
rivsc
Messages postés9Date d'inscriptionmardi 10 novembre 2009StatutMembreDernière intervention26 février 2010 10 janv. 2007 à 23:21
A ZIBO3 et BruNews:
Euh FreeConsole() ne suffirait-il pas à cacher la fenêtre (dans la barre des taches, et dans la liste des appli) ?
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 4 janv. 2007 à 17:19
Je suis quand même surpris qu'un tel code fonctionne sous Vista, ça n'augure rien de bon niveau sécurité tout ça...
En tout cas c'est du bon boulot, bien vu BruNews !
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 15 déc. 2006 à 22:51
Sinon suffit de faire une fenetre non affichée tout au début et ensuite de mettre la 1ere fenetre du prog en fille de celle ci, ainsi rien dans la taskbar.
zibo3
Messages postés57Date d'inscriptionmercredi 18 juin 2003StatutMembreDernière intervention 7 octobre 2009 15 déc. 2006 à 17:33
Bonjour,
je viens d'essayer ton source qui fonctionne très bien, je dois le reconnaitre. Mais juste une petite question, tu efface bien l'executable de la liste des processus dans le taskmanager mais pas dans la liste des applications, donc ta protection d'un arrêt utilisateur d'un processus n'est pas complète. As tu une solution pour retirer les processus aussi de la liste des applications ???
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 12 oct. 2006 à 23:54
Je n'ai jamais fait de debug et donc jamais utilisé non plus debugger de compilo.
Pour ce genre de petit driver, on n'en a vraiment aucun besoin si on fait bien gaffe de respecter les specs MS.
Il est clair que si c'était du driver matériel devant gérer tous les aléas possibles, il faudrait faire le traçage réseau comme indiqué dans le DDK.
sen3
Messages postés20Date d'inscriptionjeudi 26 juin 2003StatutMembreDernière intervention12 octobre 2006 12 oct. 2006 à 20:16
Tu mets ce code en niveau debutant toi ?!
Une question: comment tu les debug tes drivers ?
[Sen3]
vecchio56
Messages postés6535Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention22 août 201014 18 juin 2006 à 16:15
wallegen
Messages postés12Date d'inscriptionsamedi 18 septembre 2004StatutMembreDernière intervention 2 juin 2006 2 juin 2006 à 00:37
une solution utilisée par un outil anti rootkit est de bruteforcer tous les pid
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 31 mai 2006 à 21:42
Je ne connais pas d'outil qui le fasse mais sait-on jamais...
Serait surement possible de lister (uniquement depuis le kernel mode) mais sans les sources Windows faut pas y songer, même avec serait un gros boulot.
cs_cellimo
Messages postés1Date d'inscriptiondimanche 29 mai 2005StatutMembreDernière intervention31 mai 2006 31 mai 2006 à 21:16
n'empeche....
un mec qui voudrai pondre un virus trouverai tout ce qu'il faut sur ce site !
existe t'il un outil permettant de lister les processus, y compris ceux caché par ce type de programme ??
vecchio56
Messages postés6535Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention22 août 201014 27 mai 2006 à 14:09
OK, dans ce cas je m'y mets, on verra bien ce que ca donne
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 27 mai 2006 à 13:53
C'est un excellent ouvrage mais il suppose déjà pas mal de concepts connus.
Il faut récupérer aussi sur le net tout ce que tu peux trouver sur les drivers et l'API native, le tout combiné devrait aller.
vecchio56
Messages postés6535Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention22 août 201014 27 mai 2006 à 13:39
J'essaie de comprendre le code, mais j'ai un peu de mal a me mettre dedans. Je pense qu'il faut sans doute un peu bouquiner sur les drivers avant.
Je voudrais donc savoir si Programming the Microsoft Windows Driver Mode de Walter Oney était un bon ouvrage?
decize
Messages postés4Date d'inscriptionjeudi 7 juillet 2005StatutMembreDernière intervention 2 janvier 2007 24 mai 2006 à 09:34
Bonjour, j'essaye de compiler le programme sous dev C++ 4.9.9.2 et je tourne un peu en rond.
Quelqu'un c'est il penché sur la question ?
flothedancer
Messages postés3Date d'inscriptionsamedi 1 avril 2006StatutMembreDernière intervention11 mai 2006 11 mai 2006 à 13:53
merci de ta réponse rapide.
Par contre cette ligne de code fait planter le taskmanager.
En fait elle ne retrouve pas les processus demandés, puisqu'elle cache TOUS les processus et c'est pour cette raison que le taskmanager plante.
Mon but est de cacher une liste de processus que je peux identifier en les nommant d'une façon particulière.
Je cherche un moyen de repérer un début de chaine dans les processus.
Merci pour ton aide.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 11 mai 2006 à 13:10
En inversant simplement:
if(!RtlCompareUnicodeString(&pprcss->ProcessName, &uncExclude, 1)) goto noFOUND;
A tester, pas le temps en ce moment.
flothedancer
Messages postés3Date d'inscriptionsamedi 1 avril 2006StatutMembreDernière intervention11 mai 2006 11 mai 2006 à 12:20
Bonjour à tous,
Je suis nouvelle et je débute dans la programmation windows.
Ces sources sont très bien écrites et très utiles.
Est-il possible de récupérer tous les processus commençant par svchost?
J'ai essayé en rajoutant dans le code du driver bnhide cette ligne:
Cependant je n'obtiens aucun résultat! Plus aucun processus n'est dissimulé!
Si vous avez des conseils à me donner, je vous en serais très reconnaissante!
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 20 avril 2006 à 20:47
C'est maintenant dans le zip.
patoch14
Messages postés4Date d'inscriptionmercredi 19 avril 2006StatutMembreDernière intervention20 avril 2006 20 avril 2006 à 16:11
bonjour a vous quand je telecharge le zip j'ai pas l'exe. serais t'il possible de me l'envoyer s'il vous plait. sephiroth14@hotmail.fr. d'avance merci
cs_floche
Messages postés16Date d'inscriptiondimanche 10 octobre 2004StatutMembreDernière intervention11 avril 2006 11 avril 2006 à 19:17
ok merci vai essayer
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 10 avril 2006 à 23:33
Installer d'abord le DDK, se mettre sur la console free pour win2k ou XP ou Server 2003, se placer au niveau du dossier bnhide et entrer 'build cZg'.
cs_floche
Messages postés16Date d'inscriptiondimanche 10 octobre 2004StatutMembreDernière intervention11 avril 2006 10 avril 2006 à 22:52
salut a tous
comment peut on compiler le .sys ?
merco
cs_dominion
Messages postés230Date d'inscriptionmardi 21 janvier 2003StatutMembreDernière intervention15 mai 2008 7 avril 2006 à 17:24
Bien sûr que c'est a but pédagogique. Ma remarque était plus d'ordre disons éthique, pas du tout une critique sur le bien fondé de poster cette source.
Mais c'est quand même fort étonnant que le système puisse ainsi cacher n'importe quel processus. Cacher un processus sensible, fort bien, mais logiquement ces processus sont par défaut cachés par Windows, puisque logiquement ces même processus font partie intégrante de Windows (en espérant être clair...).
Enfin bref, c'est vrai que ça peut être fort utile dans beaucoup de cas.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 7 avril 2006 à 17:10
Oublié de préciser: clic sur "Supprimer" avant de quitter pour bien enlever le driver du système.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 7 avril 2006 à 17:05
Il ne sort pas dans la liste si on lance l'interception driver avant le listage, rien que du normal puisque c'est le driver qui sert cette liste à ceux qui la demandent.
Il est clair que ceci est à titre uniquement pédagogique, tout pourrait être détourné et mal employé par quelque malfaisant mais ce n'est pas le but ici.
cs_Patrice99
Messages postés1221Date d'inscriptionjeudi 23 août 2001StatutMembreDernière intervention 9 septembre 2018 7 avril 2006 à 16:25
On peut obtenir la liste des processus ainsi cachés ? dans ce cas cela pourrait se faire passer pour un utilitaire anti-virus.
Une autre question : Est-ce que le processus caché apparait dans les tâches en cours listées par l'utilitaire "Informations système" ?
cs_dominion
Messages postés230Date d'inscriptionmardi 21 janvier 2003StatutMembreDernière intervention15 mai 2008 7 avril 2006 à 13:41
C'est quand même vachement limite... Pourquoi Windows laisse faire ça ? A mon avis la plupart des progs qui se cachent sont plutôt des virus non ?
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 7 avril 2006 à 09:45
Plutot protéger un processus sensible d'une interruption inopinée.
cs_Patrice99
Messages postés1221Date d'inscriptionjeudi 23 août 2001StatutMembreDernière intervention 9 septembre 2018 7 avril 2006 à 08:51
10 nov. 2010 à 11:39
Prions que ça ne tombe entre de mauvaise main.
7 oct. 2010 à 14:16
#define IOCTL_NAME_PRCSS CTL_CODE(40000, 0x900, METHOD_BUFFERED, FILE_ANY_ACCESS);
la fonction bntrimfai qoi juste
aussi la function MyPathSys()
{
char *c, *d;
d = szflsys + GetModuleFileName(0, szflsys, 300);
while(*d != '\\') d--;
c = sznamesys;
d++; // LAISSER LE '\\'
while(*d = *c) {c++; d++;} *d '.'; *(d+1) 's'; *(d+2) = 'y'; *(d+3) = 's'; *(d+4) = 0;
}
22 févr. 2010 à 20:55
Sinon bon travail !
12 févr. 2010 à 16:01
12 févr. 2010 à 15:49
Je voudrais savoir c'est quoi TR/Bckdr.QIQ stp ?
( c'est dans le rar )
11 nov. 2009 à 19:25
merci .a++++
11 nov. 2009 à 17:23
11 nov. 2009 à 08:47
10 nov. 2009 à 23:37
car la on peut le faire que sur 1 .exe .merci
27 oct. 2009 à 21:04
sinon ba je pige pas tout mais ca marche bien sur vista :)
19 mai 2009 à 10:06
génerallement exploitées pour les trojans et autres virus.
mais notre bon ami BruNews est une pointure du bon coté de la barrière.
pas de risque a utiliser le zip, vraiment.
19 mai 2009 à 10:02
19 mai 2009 à 09:52
je ne pense pas que se soit normal.
Et pas très cool de la pars de la personne qui l'a mit.
5 oct. 2008 à 18:27
Ce que tu as programmé est également utilisé par la plupart des bons programmes de protection de la mémoire, comme ceux qu'on voit sur les jeux en ligne.
Citons par exemple HackShield, GameGuard, XTrap... etc.
Il est toutefois possible d'accéder au processus avec openprocess.
Encore bravo :)
1 oct. 2008 à 17:33
ce code est parfait pour un petit utilitaire auquel je pense :D
Merci
Par contre si ça tombe entre de mauvaises mains, l'utilisateur lambda risque de s'arracher les cheveux :s
18 mai 2008 à 11:34
"Pour l'exception générée, teste en modifiant le registre CR0 comme indiqué par NUTZ007."
>> Je teste ça ;) ( 236 Mo à télécharger XD c' est des fous chez microsoft )
Merci Nix pour la réparation :D
@+
17 mai 2008 à 17:51
17 mai 2008 à 17:48
17 mai 2008 à 17:36
17 mai 2008 à 14:31
17 mai 2008 à 12:07
Pour l'exception g?n?r?e, teste en modifiant le registre CR0 comme indiqu? par NUTZ007.
17 mai 2008 à 11:48
J' ai Win SP1 ( XD ) donc pas d' UAC.
SP1 serait il immunise ? ^^
Sinon j' ai essaye : http://dev.winsysdev.com/src_Cacher-un-processus_9.aspx
et meme probleme :'(
Apres quelque recherche, Cheat Engine ( programme d' edition d' une application en memoire ) utilise un systeme similaire et ?a ne me fait pas planter le systeme.
Une id'e ?
@+
PS: Normal que je vois pas les caracteres avec des accents de mon post et du tien ?
PS 2: J' ai pas mit d' accents pour que se soit lisible.
17 mai 2008 à 10:25
J'avais test? sur XP et Vista (sans UAC), jamais not? ce reboot intempestif.
17 mai 2008 à 00:32
Tr?s beau travail !
N'anmoins j' ai un petit probl?me assez g?nant :
Le programme ne marche pas normalement.
- Je lance MngHide.exe ( pas de probl?me ?a marche )
- Je click Installer et l? malheur reboot sans avertissement ni message. ( c' est normal ? )
- Essaie n?2 : je lance et je rentre le nom de mon prog ( prog.exe ) et je click envoyer.
R?sultat, un message d' erreur : ERR OPEN DEVICE
J' ai pas d' id'e l? :S
De plus quel compilateur utilises tu ? Perso j' ai GCC et j' ai plein d' erreurs.
@+
20 mars 2008 à 15:47
20 mars 2008 à 15:36
ce programme m'interresse mais je n'ai pas le .exe dans le zip c'est normal ? ou alors il faut que je compile moi même cette source ? mais comment ?
Merci d'avance
4 oct. 2007 à 23:21
22 août 2007 à 10:31
21 août 2007 à 18:58
21 août 2007 à 17:43
A part si on va sur grossecoche.com, ne sert strictement à rien.
21 août 2007 à 16:12
21 août 2007 à 14:26
Trés bon sources , mais pour-quoi avast me dit que le fichier bnhide.sys et infécté par Win32:Trojan-gen
3 juil. 2007 à 21:48
3 juil. 2007 à 21:38
étrange cette histoire de BOSD, j'ai testé le code sous 2000/XP/Vista 32bits ça marche impec.
3 juil. 2007 à 21:38
When set, this flag temporarily disables debug exceptions (#DB) from being generated for instruction breakpoints (although other exception conditions can cause an exception to be generated). When clear, instruction breakpoints will generate debug exceptions.
The primary function of the RF flag is to allow the restarting of an instruction following a debug exception that was caused by an instruction breakpoint condition. Here, debug software must set this flag in the EFLAGS image on the stack just prior to returning to the interrupted program with IRETD (to prevent the instruction breakpoint from causing another debug exception). The processor then automatically clears this flag after the instruction returned to has been successfully executed, enabling instruction breakpoint faults again.
3 juil. 2007 à 21:31
Faudrait fouiller dans les manuels Intel pour savoir lequel c'est.
3 juil. 2007 à 21:09
3 juil. 2007 à 15:22
J'ai trouvé le solution à mon problème, en passant par un code assembleur que j'ai trouvé en fouillant le web :
Pour la fonction HookServices() :
unsigned long OldCr0;
_asm{
cli;
mov eax,cr0
mov OldCr0,eax
and eax,0fffeffffh
mov cr0,eax
mov ecx, dword ptr [ZwQuerySystemInformation];
mov edx, [ecx+1];
mov eax, dword ptr [KeServiceDescriptorTable];
mov esi, [eax];
mov edx, [esi+edx*4];
mov dword ptr [OldNtQuerySystemInformation], edx
mov ecx, [ecx+1]
mov eax, [eax]
mov dword ptr [eax+ecx*4], offset bnQuerySysInfo;
mov eax,OldCr0
mov cr0,eax
sti;
}
Pour la fonction UnHookServices() :
unsigned long OldCr0;
_asm{
cli;
mov eax,cr0
mov OldCr0,eax
and eax,0fffeffffh
mov cr0,eax
mov ecx, dword ptr [ZwQuerySystemInformation];
mov edx, [ecx+1];
mov eax, dword ptr [KeServiceDescriptorTable];
mov esi, [eax];
mov ebx, dword ptr [OldNtQuerySystemInformation];
mov [esi+edx*4],ebx;
mov eax,OldCr0
mov cr0,eax
sti;
}
Pour info, l'adresse où j'ai trouvé ce code : http://aliwy.77169.com/archives/2007/91263.html
Si y'en a qui se sentent de tester sur d'autres OS que windows XP avec ce code ... ;)
Merci BruNews !
nutz
2 juil. 2007 à 19:05
Va toujours impec ainsi que sur Vista, je ne sais quoi te dire et je n'ai pas le temps d'enquêter davantage.
2 juil. 2007 à 17:48
2 juil. 2007 à 16:22
J'ai un gros probleme avec le driver: sur 2 PC différents Win XP Pro SP2, je me retrouve avec un écran bleu qui survient pendant l'installation du driver, exactement à la ligne où on met en place le hook :
(NTQUERYSYSTEMINFORMATION)(SYSTEMSERVICE(ZwQuerySystemInformation)) = bnQuerySysInfo;
De manière générale, cette erreur semble survenir chaque fois qu'on essaie d'assigner cette adresse (même problème dans la fonction UnHook lorsqu'on reinitialize le pointeur).
Plus de détails :
- l'installation du driver tel quel provoque un BSOD avec comme message DRIVER_IRQL_LESS_OR_EQUAL
- si l'on supprime les directives _asm cli et _asm sti, BSOD avec le message "Tentative d'écriture dans la mémoire en lecture seule"
- si l'on commente la ligne en question, le programme n'a pas d'effet (normal) mais pas de BSOD
C'est tout ce que je peux fournir comme indices.
Je vous serais très reconnaissant si je pouvais avoir un pti coup de pouce !
Merci :)
9 avril 2007 à 10:34
9 avril 2007 à 02:45
Comment génères-tu le fichier "makefile" et le fichier "source" ?
Et aussi, le .vcproj, .sln et .suo ont-ils une utilité dans la compilation (peut-on compiler à partir de là) ou c'est simplement pour le "confort" de l'IDE ?
Merci.
20 janv. 2007 à 20:43
20 janv. 2007 à 20:38
Oui c'est la méthode utilisée par le FU rootkit il me semble, à voir si ça fonctionne sous vista...
Ben si ça marche sous vista 32 c'est deja pas si mal, voila donc une bonne raison pour prendre la version 64 :-)
16 janv. 2007 à 13:51
16 janv. 2007 à 13:48
11 janv. 2007 à 12:21
Normal il n'y a aucune utilité à cela, le but de la chose étant de cacher la fenetre en 5 lignes.
void main()
{
FreeConsole();
return;
}
"autant faire un prog Win App GUI commençant en WinMain qui ne créera pas de fenêtre".
Ca c'est parce que j'ai mes petites habitudes (faire un void main()) :-)
10 janv. 2007 à 23:37
Dans tous les cas, je ne verrais pas l'utilité de faire une console si c'est pour la masquer, autant faire un prog Win App GUI commençant en WinMain qui ne créera pas de fenêtre.
10 janv. 2007 à 23:21
Euh FreeConsole() ne suffirait-il pas à cacher la fenêtre (dans la barre des taches, et dans la liste des appli) ?
4 janv. 2007 à 17:19
En tout cas c'est du bon boulot, bien vu BruNews !
15 déc. 2006 à 22:51
http://www.cppfrance.com/code.aspx?id=21205
Sinon suffit de faire une fenetre non affichée tout au début et ensuite de mettre la 1ere fenetre du prog en fille de celle ci, ainsi rien dans la taskbar.
15 déc. 2006 à 17:33
je viens d'essayer ton source qui fonctionne très bien, je dois le reconnaitre. Mais juste une petite question, tu efface bien l'executable de la liste des processus dans le taskmanager mais pas dans la liste des applications, donc ta protection d'un arrêt utilisateur d'un processus n'est pas complète. As tu une solution pour retirer les processus aussi de la liste des applications ???
12 oct. 2006 à 23:54
Pour ce genre de petit driver, on n'en a vraiment aucun besoin si on fait bien gaffe de respecter les specs MS.
Il est clair que si c'était du driver matériel devant gérer tous les aléas possibles, il faudrait faire le traçage réseau comme indiqué dans le DDK.
12 oct. 2006 à 20:16
Une question: comment tu les debug tes drivers ?
[Sen3]
18 juin 2006 à 16:15
http://www.security.org.sg/code/kproccheck
2 juin 2006 à 00:37
31 mai 2006 à 21:42
Serait surement possible de lister (uniquement depuis le kernel mode) mais sans les sources Windows faut pas y songer, même avec serait un gros boulot.
31 mai 2006 à 21:16
un mec qui voudrai pondre un virus trouverai tout ce qu'il faut sur ce site !
existe t'il un outil permettant de lister les processus, y compris ceux caché par ce type de programme ??
27 mai 2006 à 14:09
27 mai 2006 à 13:53
Il faut récupérer aussi sur le net tout ce que tu peux trouver sur les drivers et l'API native, le tout combiné devrait aller.
27 mai 2006 à 13:39
Je voudrais donc savoir si Programming the Microsoft Windows Driver Mode de Walter Oney était un bon ouvrage?
24 mai 2006 à 09:34
Quelqu'un c'est il penché sur la question ?
11 mai 2006 à 13:53
Par contre cette ligne de code fait planter le taskmanager.
En fait elle ne retrouve pas les processus demandés, puisqu'elle cache TOUS les processus et c'est pour cette raison que le taskmanager plante.
Mon but est de cacher une liste de processus que je peux identifier en les nommant d'une façon particulière.
Je cherche un moyen de repérer un début de chaine dans les processus.
Merci pour ton aide.
11 mai 2006 à 13:10
if(!RtlCompareUnicodeString(&pprcss->ProcessName, &uncExclude, 1)) goto noFOUND;
A tester, pas le temps en ce moment.
11 mai 2006 à 12:20
Je suis nouvelle et je débute dans la programmation windows.
Ces sources sont très bien écrites et très utiles.
Est-il possible de récupérer tous les processus commençant par svchost?
J'ai essayé en rajoutant dans le code du driver bnhide cette ligne:
if(RtlCompareMemory((PVOID)&pprcss->ProcessName.Buffer[0],(PVOID)&dts.name[0], dts.len*2)==dts.len*2)
{
len = pprcss->NextEntryDelta;
if(len) {
pdst->NextEntryDelta += pprcss->NextEntryDelta;
goto goNEXT;
}
}
à la place de celle-ci:
if(RtlCompareUnicodeString(&pprcss->ProcessName, &uncExclude, 1)) goto noFOUND;
Cependant je n'obtiens aucun résultat! Plus aucun processus n'est dissimulé!
Si vous avez des conseils à me donner, je vous en serais très reconnaissante!
20 avril 2006 à 20:47
20 avril 2006 à 16:11
11 avril 2006 à 19:17
10 avril 2006 à 23:33
10 avril 2006 à 22:52
comment peut on compiler le .sys ?
merco
7 avril 2006 à 17:24
Mais c'est quand même fort étonnant que le système puisse ainsi cacher n'importe quel processus. Cacher un processus sensible, fort bien, mais logiquement ces processus sont par défaut cachés par Windows, puisque logiquement ces même processus font partie intégrante de Windows (en espérant être clair...).
Enfin bref, c'est vrai que ça peut être fort utile dans beaucoup de cas.
7 avril 2006 à 17:10
7 avril 2006 à 17:05
Il est clair que ceci est à titre uniquement pédagogique, tout pourrait être détourné et mal employé par quelque malfaisant mais ce n'est pas le but ici.
7 avril 2006 à 16:25
Une autre question : Est-ce que le processus caché apparait dans les tâches en cours listées par l'utilitaire "Informations système" ?
7 avril 2006 à 13:41
7 avril 2006 à 09:45
7 avril 2006 à 08:51