ntaryl Δημοσ. 24 Σεπτεμβρίου 2008 Δημοσ. 24 Σεπτεμβρίου 2008 καλησπερα Παιδια μετα απο πολυ κοπο εκανα inject ενα dll και κατορθωσα να κανω Hook την Process32Next Αυτο που ψαχνω ειναι το πως να υλοποιησω την Callback Function ετσι ωστε να μπορεσω να κρυψω ενα αρχειο με ονομα "test.exe" απο τον task manager > Public Function Process32Next_Callback(ByVal hSnapshot As Long, ByRef lppe As PROCESSENTRY32) As Long Dim Ret_val As Long If ippe.szExeFile = "test.exe" Then Ret_val = Process32Next(hSnapshot, lppe) End If Process32Next_Callback = Ret_val End Function Υ.γ Directx Δωσε τα φωτα σου
Directx Δημοσ. 24 Σεπτεμβρίου 2008 Δημοσ. 24 Σεπτεμβρίου 2008 Τεχνικά όσον αφορά το Process32Next της ToolHelp32 είσαι σωστός, καθώς το PROCESSENTRY32 περιέχει πράγματι την διαδρομή προς το PE image που μας ενδιαφέρει οπότε απλά κάνουμε skip αυτό το entry και συνεχίζουμε (ας καλέσουμε εκ νέου την αυθεντική Process32Next για παράδειγμα). Αυτό που με ανησυχεί όμως είναι κατά πόσον ο Task Manager (taskmgr.exe) χρησιμοποιεί την βιβλιοθήκη ToolHelp32 και τις ανάλογες ρουτίνες αυτής της βιβλιοθήκης η οποία προέρχεται από τον κόσμο των Windows ʽ9x και υπάρχει στα 2000+ για λόγους συμβατότητας. Στα NT+ υπάρχει η PSAPI.DLL η οποία παρέχει μια πολύ διαφορετική ρουτίνα την EnumProcesses η οποία επιστρέφει ένα DWORD array με όλα τα PID του συστήματος. Τέλος όσον αφορά τον Task Manager διατηρώ τις αμφιβολίες μου σχετικά με το κατά πόσο βασίζεται ακόμα και στην PSAPI.DLL για αυτές τις δουλείες και όχι στην native και πολύ λιγότερο documented NTLIB.DLL και τις πανίσχυρες system-level ρουτίνες της ενώ διά του OllyDbg δεν βρήκα εκ πρώτης όψεως κάποιο import τόσο για την Process32Next όσο και για την EnumProcesses. Η πιθανότητα δυναμικής κλήσης μέσο GetProcAddress είναι αμφίβολη αφού φαίνεται πως χρησιμοποιείται για έλεγχο του System Power State (κλήση προς το SETUPAPI) παρά για κλήση αυτών των hi-level functions (ToolHelp32 & PSAPI). Βέβαια αυτά τα γράφω εν τάχει και μπορεί να μου έχει ξεφύγει κάτι!!
ntaryl Δημοσ. 24 Σεπτεμβρίου 2008 Μέλος Δημοσ. 24 Σεπτεμβρίου 2008 Ευχαριστω πολυ Φιλε Παντως Hook υλοποιειται χωρις κανενα προβλημα Αφου μπορω να το δω στον Hook explorer thanks
Aesmade Δημοσ. 24 Σεπτεμβρίου 2008 Δημοσ. 24 Σεπτεμβρίου 2008 Το task manager νομίζω χρησιμοποιεί την ZwQuerySystemInformation για να πάρει τη λίστα των λειτουργιών. Της έβαλα και ένα breakpoint και σπάει συνέχεια.
ntaryl Δημοσ. 28 Σεπτεμβρίου 2008 Μέλος Δημοσ. 28 Σεπτεμβρίου 2008 πολυ σωστα φιλε μου ο task manager χρησιμοποιει την ZwQuerySystemInformation και την ΝτQuerySystemInformation ψαχνω να βρω τροπο να υλοποιησω την callback καλο βραδυ
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.