Скриването процеси в любимото си Windows сесия много интересно, което може да се каже, че понякога се превърне в хоби. 🙂 В тази операционна система много добре, но за съжаление това не се отразява луди неща, когато
по-внимателно вглеждане, предложи интересни "без документи" функции. Сега ние ще разгледа темата за наличието на процеси и модули, без изтегляне на изпълними файлове. Тази тема всъщност е незаслужено забравени от времето на MS-DOS, и много хора остават с впечатлението, че е невъзможно (или много трудно), за да се направи в Win2K / XP.

Метод номер Uno

Всеки знае, че малките и меки друзи в пълен насърчаване на масите им
"Отличен" (но не е завършена) файлова система - NTFS. Тя, разбира се, е много полезно за сървъри и в изследователските центрове, където е необходимо, за да кодира файловете и място за kvotirovat
потребители / групи, но БГ препоръчва за домашна употреба. 🙂 Въпреки че 99% от вируси, троянци и други
зли живота е в домовете на потребителите (пряко домашни любимци някои :)). Тук и сега ние ще се хвърлят
Експериментаторите друг малък трик пребиваване.

Така че можете да използвате конзолата да пише на поток файл:

въведете some_file> some_file: some_stream

повече 0 след това да започне // ако потокът има име, ти го знаеш
BackupRead (з, показалеца (число (@wszStreamName) + sizeof (SID)), sid.dwStreamNameSize, температура, фалшиви, вярно, п);
ако температурата <> sid.dwStreamNameSize след прекъсване;
<для простоты всё выводиться в TMemo>
memo1.Lines.Add (PwideChar (@ sid.cStreamName));
приключи;
memo1.Lines.Add ( "размер поток: '+ IntToStr (sid.Size));
ите: = "Вид на данни:";
случай sid.dwStreamId на // определи вида на потока
BACKUP_DATA: S: = S + "данни";
BACKUP_EA_DATA: S: = S + "разширени атрибути;
BACKUP_SECURITY_DATA: а: = S + "сигурност";
BACKUP_ALTERNATE_DATA: S: = S + "други потоци;
BACKUP_LINK: S: = S + "връзка";
друг е: = а + "неизвестни";
приключи;
memo1.Lines.Add (и);
ако sid.Size> 0, тогава
<я не думаю, что у кого-то есть потоки больше 4ГБ, поэтому второй параметр поиска = 0>
BackupSeekA (з, sid.Size, 0, @ DW1, @ DW2, п);
приключи;
BackupRead (з, @sid, 0, температура, вярно, фалшиви, п);
CloseHandle (Н);
приключи;

Сега знаем за потоците "почти всичко." 🙂 остава най-интересното -
Той обещава възможност за изпълнение на програмата, без основно или самоунищожение Търсейки Търсейки. Намерени този чип X [EI] NOmorph, за които много благодарение на него.
Както вече широко подозира всеки нишки могат да пишат нищо, и по този начин могат да бъдат Търсейки. Така че с ... Първо, ние пиша някакъв конец на програма в текстов файл и бягай (да се започне подходяща WinExec ( "some_file: somestream", SW_SHOWDEFAULT)). Това е, което виждаме в
"Диспечера на задачите на Windows":

Така че не може просто да стартирате EXE. 🙂 необучен потребител не виждам такова малко изненадан. Но това е дреболия, сега ще бъде по-забавно - премахване 2.txt ... файла не е нищо повече, а програмата работи, и работи доста уверен (най-важното, че всичко е било натоварено, т.е. не съдържат големи количества данни). Това предполага, че в MS лошо тества техния софтуер и още ... Ако скриете процеса от очите
"Task Manager", а след това дупка ви позволява да направите всичко за любимата последния жител Ring3. Можете да създадете
"Unseen от потребителя" прозорец, а при затваряне на самия запис Windows на диск и се изтрива, когато стартира. Ето един малък пример
"Samoudaleniya":

Ето как можете да живеете "без тяло." И още един - потоци не се отразяват на
раздел дисплей заема обем. 🙂 Оказва се, че един
"Small" файл с размер от 0 до тоалетните на целия винт може (и да намерят
"Dirt" на ръка е много трудно).

Номерът на процес

функция DeleteModuleA (ModuleName: PChar): longbool; stdcall; външен "DeleteModule.dll;
функция DeleteModuleW (ModuleName: PWideChar): longbool; stdcall; външен "DeleteModule.dll;

и ще се уверите, че тя работи. 🙂

Покажете тази статия на приятел:

Сценарии, по които kriptodzhekinga криещи джаджи LiveHelpNow и отбеляза повече от 1500 места

Изнудвач qkG криптира само Word документи и независимо разпределени с макроси

Firefox ще предупреждава потребителите за посещение преди хакнат сайт

"Код за сигурност информация" за първи път ще се проведе в Астана

Пресни уязвимости в Intel ME опасни за Acer устройства, Dell, Fujitsu, HP, Lenovo, Panasonic и т.н.