Ascunderea proceselor în toate activitățile preferate de Windows este destul de interesantă, ceea ce, poate fi spus, uneori devine un hobby. 🙂 În acest sistem de operare există o mulțime de lucruri bune, dar, din păcate, nu a fost adus în minte,
examinarea mai aprofundată oferă oportunități interesante "nedocumentate". Acum considerăm existența unor procese și module fără încărcarea fișierelor executabile. Această temă a fost de fapt uitată de la MS-Dos și mulți oameni au avut impresia că este imposibil (sau foarte dificil) să se facă în Win2K / XP.
Calea lui nober uno
Toată lumea știe că prietenii Little și Soft își împing drumul spre mase
Sistemul de fișiere "remarcabil" (dar departe de cel complet) - NTFS. Este, desigur, foarte util pe servere și în centre științifice unde trebuie să criptați fișierele și spațiul pentru cote
utilizatori / grupuri, însă BG o recomandă pentru utilizare la domiciliu. 🙂 Deși 99% din viruși, troieni și altele
spiritele rele trăiesc în casele utilizatorilor (animalele de companie sunt niște :)). Aici aruncam acum
experimenters un alt mic truc de reședință.
Deci, puteți utiliza consola pentru a scrie un fișier în flux:
tastați some_file> some_file: some_stream
mai mult 0 apoi începeți // dacă firul are un nume, atunci îl recunoaștem
BackupRead (h, pointer (integer (@wszStreamName) + sizeof (sid)), sid.dwStreamNameSize, temp, FALSE, TRUE, p);
dacă temperatura <> sid.dwStreamNameSize apoi rupe;
<для простоты всё выводиться в TMemo>
memo1.Lines.Add (PwideChar (@ sid.cStreamName));
se încheie;
memo1.Lines.Add ('Dimensiune flux:' + IntToStr (sid.Size));
s: = 'Tip de date:';
cazul sid.dwStreamId din // determina tipul de fir
BACKUP_DATA: s: = s + 'date';
BACKUP_EA_DATA: s: = s + 'atributele extinse';
BACKUP_SECURITY_DATA: s: = s + 'securitate';
BACKUP_ALTERNATE_DATA: s: = s + "alte fluxuri";
BACKUP_LINK: s: = s + 'link';
altfel s: = s + 'necunoscut';
se încheie;
memo1.Lines.Add (e);
dacă sid.Size> 0 atunci
<я не думаю, что у кого-то есть потоки больше 4ГБ, поэтому второй параметр поиска = 0>
BackupSeekA (h, sid.Size, 0, @ dw1, @ dw2, p);
se încheie;
BackupCitește (h, @sid, 0, temp, TRUE, FALSE, p);
CloseHandle (h);
se încheie;
Acum știm despre fluxurile "aproape totul". 🙂 rămâne cel mai interesant -
posibilitatea promisa de a executa un program fara exe de baza sau exe de auto-distrugere. Acest cip a fost descoperit de X [ei] NOmorph, pentru care mulți îi mulțumesc.
După cum mulți bănuiesc deja, o dată în fluxuri puteți scrie ceva ce vă place, înseamnă că puteți exe, de asemenea. Deci, cu ... În primul rând, am scrie câteva fire dintr-un program într-un fișier text și a alerga (pentru a începe adecvat WinExec ( „un_fișier: somestream“, SW_SHOWDEFAULT)). Așa vedem
Windows Task Manager:
Deci, puteți rula nu numai exe. 🙂 Utilizatorul nepregătit nu este puțin surprins să vadă acest lucru. Dar este un fleac, va fi acum mai distractiv - eliminarea 2.txt ... fișiere nu mai este, iar programul de lucrări, și funcționează destul de încrezător (principalul lucru care a fost totul încărcat, adică nu conțin cantități mari de date). Acest lucru sugerează că, în SM, testează slab software-ul lor ... Dacă ascundeți, de asemenea, procesul de la ochi
"Task Manager", atunci această gaură vă permite să faceți din toată lumea un fost iubit rezident al Ring3. Puteți crea
"Fereastră invizibilă" și când închideți Windows scrieți-vă pe disc și când începeți să vă ștergeți. Iată un mic exemplu
"Samoudaleniya":
Așa puteți trăi fără corp. Și încă un lucru - fluxurile nu afectează
indicatorul volumului ocupat al partiției. 🙂 Se pare că unul
Un fișier "mic" de dimensiune 0 poate lăsa șurubul întreg (și găsiți
"Dirty" de mână este foarte dificil).
Calea de a face jeu este
funcția DeleteModuleA (ModuleName: PChar): longbool; stdcall; extern 'DeleteModule.dll';
funcția DeleteModuleW (ModuleName: PWideChar): longbool; stdcall; extern 'DeleteModule.dll';
și asigurați-vă că funcționează. 🙂
Distribuiți acest articol cu prietenii dvs.: