Hay varias formas de ocultar un proceso o al menos el objetivo es, hacer funcionar tu programa correctamente sin que
sea visto por algún vizor de procesos. Lo mejor es cargar un driver con técnicas de rootkit para ocultar el proceso
el problema es, en versión de Windows de 64-bits esta el patchGuard pero también es posible saltarlo ( 2012 ). y cargar tu driver
de 64-bits.
El otro es hookear la API encargada de obtener la información del vizor de procesos, el problema es, si hookeas la API NtQuerySysteminformation de taskmgr el proceso se podra mirar con alguna otra herramienta de vizor, a menos que establescas un hook en la API encargada de todo visualizador de procesos, esto no funcionara con un visualizador de procesos que carguen un driver para obtener esa información porque la informacion que queremos obtener no pasara por tu hook, lo que tendrás que hacer es, analizar la aplicación que quieres saltarte, saber como funciona, y hookear las APIs que usa para esa información, si carga un driver, la aplicación siempre copia el buffer desde modo nucleo a modo usuario ( dependiendo del metodo que utiliza ), y al final siempre usa funciones de USER32.dll, KERNEL32.dll, para mostrarla
en los controles. eso sin tomar en cuenta si tiene protección.
Las otras maneras son, inyectar tu proceso en un otro proceso y de esa manera podrás hacer trabajar tu programa sin que se muestre en ningun visualizador, el problema es, en Windows x64, algunos metodos comunes de inyeccion no funcionan debido a que en entorno de emulacíon incluyendo algunas transiciones de APIs solo funcionan con procesos de 32-bits. pero se puede buscar alternativas de inyeccion o hacks.
De qué método les gustaría hablar?
sea visto por algún vizor de procesos. Lo mejor es cargar un driver con técnicas de rootkit para ocultar el proceso
el problema es, en versión de Windows de 64-bits esta el patchGuard pero también es posible saltarlo ( 2012 ). y cargar tu driver
de 64-bits.
El otro es hookear la API encargada de obtener la información del vizor de procesos, el problema es, si hookeas la API NtQuerySysteminformation de taskmgr el proceso se podra mirar con alguna otra herramienta de vizor, a menos que establescas un hook en la API encargada de todo visualizador de procesos, esto no funcionara con un visualizador de procesos que carguen un driver para obtener esa información porque la informacion que queremos obtener no pasara por tu hook, lo que tendrás que hacer es, analizar la aplicación que quieres saltarte, saber como funciona, y hookear las APIs que usa para esa información, si carga un driver, la aplicación siempre copia el buffer desde modo nucleo a modo usuario ( dependiendo del metodo que utiliza ), y al final siempre usa funciones de USER32.dll, KERNEL32.dll, para mostrarla
en los controles. eso sin tomar en cuenta si tiene protección.
Las otras maneras son, inyectar tu proceso en un otro proceso y de esa manera podrás hacer trabajar tu programa sin que se muestre en ningun visualizador, el problema es, en Windows x64, algunos metodos comunes de inyeccion no funcionan debido a que en entorno de emulacíon incluyendo algunas transiciones de APIs solo funcionan con procesos de 32-bits. pero se puede buscar alternativas de inyeccion o hacks.
De qué método les gustaría hablar?
![:) :)](https://forum.elhacker.net/Smileys/navidad/smiley.gif)