¿Ocultar proceso?

shaggikpo · 25 Noviembre 2010, 17:01 PM

Bueno este tema es algo que me intriga mucho y me gustaria saber si alguien puede hecharme una mano, detallo mi expreriencia.
Utilizando el programa llamdo HideToolz he podido ocultar el proceso de muchos programas incluyendo el mismo hide que por defecto se incia oculto, ete programa tiene la habilidad de desaparecer el proceso no solo del taskmangenr sino de la lista del manipulador de procesos del sistema tanto asi que ningun visor de procesos lo detecta, ahora por lo que he experimetado al hacer un bucle utilizando la API openproccess el proceso no aparece sin embargo al ocultar el programa que hace el escaneo el proceso si es encontrado lo que me lleva a pensar que se utiliza algun metodo para manipular la memoria de forma que el proceso es llevado a un area protegida y no aparece en la lista de procesos pero si aparece si el programa que lista proceso tambien esta oculto. Aclarado esto pregunto, alguien tien conosimiento de alguna pi que pueda hacer esto?

Karcrack · 25 Noviembre 2010, 21:40 PM

No existe ningun API llamada HideMyProcess() ni nada similar

, si no que lo que ha de hacerse es interceptar el API que abre los procesos y evitar que se abran los que tu proteges...

Esta tecnica se llama hooking y tienes bastante informacion en el foro

shaggikpo · 28 Noviembre 2010, 00:55 AM

Disuclpa Karcrack no se si el tema deba ir aqui pues no es par ningun malware ni nada por el estilo, en realidad es para poder detectar unprograma que se oculta con este metodo.
Ahora volviendo al tema, se que no existe una api espefifica para hacer esto y tambien se que la manera es hookear la api openprocess para que cuando lo programas intete ver el proceso no puedan yo ya he expermintado con este metodo pero me resulto interesante el hecho de que este sitema utliza al gun metodo mas espefico desde el kernel mode para lograrlo y el hecho de que al estar dos aplicaciones ocultas ambas puedan vizulaizarse mutuamente me hizo pensar que quizas compartan un estado en comun despues de todo en todo caso un programa mas avaznado que el administrador de treas deberia poder ver el proceso en cuestion porque esta listado en el manipuladore de procesos del sistema, sin embargo no es asi.

[Zero] · 28 Noviembre 2010, 01:01 AM

Lo más probable es que sea ésto:

Código [Seleccionar]

http://foro.elhacker.net/analisis_y_diseno_de_malware/introduccion_a_la_programacion_de_drivers_en_windows-t231193.0.html;msg1109157#msg1109157

Saludos

shaggikpo · 28 Noviembre 2010, 01:06 AM

Efectivamente es lo que busco, Gracias por iluminarme

[Zero] · 28 Noviembre 2010, 01:16 AM

Nada, para eso estamos

Saludos

sabeeee · 23 Enero 2011, 17:23 PM

Fácil si es lo que buscas, bueno acá te digo los pasos mas simples de tu vida:

1°:Agarra a tu EXE y cámbiale la extensión por DLL.

2°:En un VBScript pone este código:

Citarset cmd = createobject("wscript.shell" )
cmd.run "cmd /c start tuexepasadoadll.dll ", vbHide

Estoy es muy bueno si quered saltarte la UAC y ejecutarlo que el proceso no aparezca, esta tecnica podes agregarle a tu exe pasado a dll para que ejecute a otros exes parasados a dll.

Chau...