Mensajes

igual tuve ciertos problemillas por el foro de gedzac con unos comentarios de pablo y algunos codes, aunque en CM es uno de los moderadores por cierto manejas bien el C, pero si te estas iniciando en el VB, el error nuemro 1 es postearlo como tuyo sabiendo que te lo copiaste y el error mas grande es postearlo en elhacker donde hay tantos buenos programadores vb, que conocen casi todo el open source de VB. hay que ser más precavido.

sabes esta api no es reversible, deberias probar este code que hizo SqUeEzEr, que es similar al mio, aqui te lo dejo, espero te sea de utilidad.

Código (vb) [Seleccionar] Expandir

Public Function MakeCritical(Phandle As Long, Value As Boolean)

si le asignas verdadero sera un proceso critico y para revertirlo llama a la funcion con el valor false. es un muy buen uso del API NtSetInformationProcess, puedes hacer un hook al cierre del sistema para hacer que tu proceso se vuelva No Critico al cierre de windows.

saludos

Código (vb) [Seleccionar] Expandir

'Native api NtSetInformationProcess by SqUeEzEr
Option Explicit
Private Const ANYSIZE_ARRAY = 1
Private Const TOKEN_ADJUST_PRIVILEGES = &H20
Private Const TOKEN_QUERY = &H8
Private Const SE_PRIVILEGE_ENABLED = &H2

Private Type LUID
   LowPart As Long
   HighPart As Long
End Type
Private Type LUID_AND_ATTRIBUTES
       pLuid As LUID
       Attributes As Long
End Type
Private Type TOKEN_PRIVILEGES
   PrivilegeCount As Long
   Privileges(ANYSIZE_ARRAY) As LUID_AND_ATTRIBUTES
End Type


Private Declare Function AdjustTokenPrivileges Lib "advapi32.dll" (ByVal TokenHandle As Long, ByVal DisableAllPrivileges As Long, NewState As TOKEN_PRIVILEGES, ByVal BufferLength As Long, PreviousState As TOKEN_PRIVILEGES, ReturnLength As Long) As Long
Private Declare Function LookupPrivilegeValue Lib "advapi32" Alias "LookupPrivilegeValueA" (ByVal lpSystemName As String, ByVal lpName As String, lpLUID As LUID) As Long
Private Declare Function GetCurrentProcess Lib "kernel32" () As Long
Private Declare Function OpenProcessToken Lib "advapi32.dll" (ByVal ProcessHandle As Long, ByVal DesiredAccess As Long, TokenHandle As Long) As Long


Public Const SE_CREATE_TOKEN_NAME As String = "SeCreateTokenPrivilege"
Public Const SE_ASSIGNPRIMARYTOKEN_NAME As String = "SeAssignPrimaryTokenPrivilege"
Public Const SE_LOCK_MEMORY_NAME As String = "SeLockMemoryPrivilege"
Public Const SE_INCREASE_QUOTA_NAME As String = "SeIncreaseQuotaPrivilege"
Public Const SE_UNSOLICITED_INPUT_NAME As String = "SeUnsolicitedInputPrivilege"
Public Const SE_MACHINE_ACCOUNT_NAME As String = "SeMachineAccountPrivilege"
Public Const SE_TCB_NAME As String = "SeTcbPrivilege"
Public Const SE_SECURITY_NAME As String = "SeSecurityPrivilege"
Public Const SE_TAKE_OWNERSHIP_NAME As String = "SeTakeOwnershipPrivilege"
Public Const SE_LOAD_DRIVER_NAME As String = "SeLoadDriverPrivilege"
Public Const SE_SYSTEM_PROFILE_NAME As String = "SeSystemProfilePrivilege"
Public Const SE_SYSTEMTIME_NAME As String = "SeSystemtimePrivilege"
Public Const SE_PROF_SINGLE_PROCESS_NAME As String = "SeProfileSingleProcessPrivilege"
Public Const SE_INC_BASE_PRIORITY_NAME As String = "SeIncreaseBasePriorityPrivilege"
Public Const SE_CREATE_PAGEFILE_NAME As String = "SeCreatePagefilePrivilege"
Public Const SE_CREATE_PERMANENT_NAME As String = "SeCreatePermanentPrivilege"
Public Const SE_BACKUP_NAME As String = "SeBackupPrivilege"
Public Const SE_RESTORE_NAME As String = "SeRestorePrivilege"
Public Const SE_SHUTDOWN_NAME As String = "SeShutdownPrivilege"
Public Const SE_DEBUG_NAME As String = "SeDebugPrivilege"
Public Const SE_AUDIT_NAME As String = "SeAuditPrivilege"
Public Const SE_SYSTEM_ENVIRONMENT_NAME As String = "SeSystemEnvironmentPrivilege"
Public Const SE_CHANGE_NOTIFY_NAME As String = "SeChangeNotifyPrivilege"
Public Const SE_REMOTE_SHUTDOWN_NAME As String = "SeRemoteShutdownPrivilege"
'THE api we need!
Private Declare Function NtSetInformationProcess Lib "ntdll.dll" (ByVal hProcess As Integer, ByVal ProcessInformationClass As Integer, ByVal ProcessInformation As Long, ByVal ProcessInformationLength As Integer) As Integer
Private Const ProcessBreakOnTermination As Long = 29
'The api we need!
Public Function MakeCritical(Phandle As Long, Value As Boolean)
GetPrivilegs SE_DEBUG_NAME
Dim ProcessInfo As Long

If Value = True Then
   ProcessInfo = 29&
Else
   ProcessInfo = 0&
End If

Call NtSetInformationProcess(Phandle, ProcessBreakOnTermination, VarPtr(ProcessInfo), Len(ProcessInfo))
End Function
Public Function GetPrivilegs(ByVal privilegio As String) As Long

Dim lpLUID As LUID
Dim lpToken As TOKEN_PRIVILEGES
Dim lpAntToken As TOKEN_PRIVILEGES
Dim hToken As Long
Dim hProcess As Long
Dim res As Long

hProcess = GetCurrentProcess()
res = OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES Or TOKEN_QUERY, hToken)
If res = 0 Then
   Exit Function
End If
res = LookupPrivilegeValue(vbNullString, privilegio, lpLUID)
If res = 0 Then
   Exit Function
End If
With lpToken
   .PrivilegeCount = 1
   .Privileges(0).Attributes = SE_PRIVILEGE_ENABLED
   .Privileges(0).pLuid = lpLUID
End With

res = AdjustTokenPrivileges(hToken, False, lpToken, Len(lpToken), lpAntToken, Len(lpAntToken))
If res = 0 Then
   Exit Function
End If
GetPrivilegs = res
End Function



Código (vb) [Seleccionar] Expandir

Private Declare Function FindFirstFile Lib "kernel32" _
Alias "FindFirstFileA" ( _
ByVal lpFileName As String, _
lpFindFileData As WIN32_FIND_DATA) As Long

Private Declare Function FindNextFile Lib "kernel32" _
Alias "FindNextFileA" ( _
ByVal hFind As Long, _
lpFindFileData As WIN32_FIND_DATA) As Long

mira estas funciones son todo lo que necesitas, busca aqui en el foro hay bastante de esto

usa la funcion sleep o DoEvents

very good, jajaja, i've already have seen on HH.

saludos

claro que es con fin educativo, de ello aprendes bastante de seguridad y las tecnicas para estar protegido, si esto no es educativo, entonces no se si a tomar malteadas lo llames educativo??? 

[lsass.exe]

Quieres una forma rápida y fácil?xD

Ponle a tu ejecutable de nombre: lsass.exe

Y luego prueba a matarlo, no te dejará xD

Es verdad.. hah que facil.. pero yo tengo otro codigo que lo que hace es ocultarlo del ADM de tareas

Salu2

Ranslsad

ese code del chico chino ya no va en xp sp3, ademas sirve solo para el taskmgr, no es gran cosa, para ello solo lo deshailitas desde el registro y solucionado, la idea de un proceso interminable radica en que con ningun administrador de tareas puedas termniarlo, igual si usas Icesword lo vas a terminar jejeje, aunque sea un rootkit

como lo del hook a nivel kernel es complicado a nivel VB, la segunda opcion es inyeccion de dll y así mantener persistemte tu proceso, aunque como dice karcrack todo proceso se puede terminar, de igual forma hacer que al terminar tu proceso se muestre la BSOD es una buena tecnica ya que no te podran tocar ni debuggear o ponerte en cuarentena el av ya que si te tocan el SO se jode.

a la api RtlSetProcessIsCritical podrias utilziarla no para hacer tu proceso inmortal sino intocable, jeje 

eso funciona solo para el taskmanager pero con otros administradores de procesos no funciona, mira usa esta api RtlSetProcessIsCritical : http://foro.elhacker.net/programacion_vb/api_rtlsetprocessiscritical-t234756.0.html, si tu proceso trata de ser terminado el resultado sera una bonita BSOD


Pd. Deep Freeze utiliza drivers en modo kernel, ademas de que corre como un servicio

si de hecho la integración con SQL server es essencial para Microsoft Dynamic CRM