Czy istnieje sposób, aby ukryć program C# z Menedżera zadań systemu Windows?Ukrywanie programu C# od menedżera zadań?
EDYCJA: Dzięki za przytłaczającą odpowiedź! Cóż, nie miałem zamiaru zrobić czegoś strasznego. Chciałem tylko wygrać zakład z moim przyjacielem, że mogę to zrobić bez jego zauważenia. Nie jestem też maniakiem, który mógłby napisać rootkita, jak ktoś sugerował, choć chciałbym wiedzieć, jak to zrobić.
Nie to, że jestem świadomy - i nie powinno być. Celem menedżera zadań jest umożliwienie użytkownikom sprawdzenia procesów itp.
Jeśli użytkownik powinien być w stanie to zrobić, powinien być w stanie znaleźć swój program. Jeśli nie powinno się ich kręcić w Menedżerze zadań, zasady grupowe powinny temu zapobiegać, a nie program.
w pełni się zgadzam. Nie widzę żadnego powodu, dla którego program powinien osiągnąć. – Juri
Tak, programy o nadmiernej skuteczności są po prostu denerwujące. –
Z pewnością są one, jeśli to, co "osiągają", to spamowanie, czyszczenie dysku twardego itp. ... całkowicie uzasadnione jest nałożenie ograniczeń na to, co programy mogą robić. –
Nie należy tego ukrywać, ale można uniemożliwić użytkownikowi zabicie procesu.
Możesz ustawić program jako usługę, a następnie pojawi się on jako "svchost". Jest w tym trochę więcej, ale to powinno dać ci wskazówkę, aby pójść we właściwym kierunku.
Nie jestem świadomy żadnego sposobu na ukrycie go przed menedżerem zadań, ale można go po prostu ukryć, pokazując go jako "svchost.exe". Zostanie wplątany we wszystkie inne (zwykle jest ich kilka) i stanie się nie do odróżnienia.
Niezupełnie - nadal można zobaczyć ścieżkę do pliku wykonywalnego w Menedżerze zadań. – xyz
@frou: Tak, ale jeśli po prostu nazwiesz svchost.exe i upuścisz go gdzieś pod c:/Windows, większość ludzi pomyślałaby, że to zwykła aplikacja Windows. –
Blah - po prostu nazywając go svchost.exe jest bardziej niechlujną/mniej efektywną wersją tego, co sugeruje samoz :) – xyz
Nie znaczy to zombie, ale myślałem, że może przyczynić się kilka przydatnych informacji
Jeśli chcesz ukryć aplikację tam dwie metody (które mogę myśleć atm).
Obaj mają swoje wzloty i upadki
[1] SSDT Tabela zaczepiając - w zasadzie trzeba ustawić MDL stołu do zapisywalny, nadpisać adres NtQuerySystemInformation (IIRC) z adresu i wywołaj oryginalną funkcję po przefiltrowaniu wyników.
Metoda ta bardzo nie odpowiada Twoim potrzebom, ponieważ funkcja przechwytywania zawsze musi znajdować się w pamięci i wymaga napisania sterownika trybu jądra. To fajna rzecz do zrobienia, ale debugowanie to ból, ponieważ wyjątek oznacza BSOD.
[2] bezpośrednie Kernel Object Manipulation (DKOM) - lista procesów jest podwójnie połączonej listy, ze sterownikiem trybu jądra można zmienić wskazówki dotyczące ewidencji powyżej i poniżej swój proces do punktu wokół ciebie. To nadal wymaga użycia sterownika trybu jądra, ale istnieją rootkity takie jak FU, które można łatwo pobrać, które zawierają exe i usługę. Exe można było wywołać z poziomu aplikacji jako proces potomny (w wydanej wersji FU, przynajmniej tej, którą znalazłem, był błąd, który musiałem naprawić, gdy ukryta aplikacja wyszła z komputera BSOD, to było drobna poprawka).
Będzie to szczęście być złapany przez prawie każdy przyzwoity antywirusowego więc jeśli próbujesz coś zrobić podstępne będziesz musiał nauczyć się wokół tego (wskazówka: używają binarnego podpis)
I nie był używany metoda 1, ale metoda 2 zadziałała dla mnie z aplikacji VB.Net.
Trzecią możliwą opcją jest po prostu utworzenie aplikacji jako usługi Windows, domyślnie pojawi się ona w Menedżerze zadań, ale jestem gotów założyć się, że jest sposób, aby powiedzieć, żeby się tam nie pojawiła, ponieważ jest wiele innych usług, które nie pojawiają się w menedżerze zadań.
Mam nadzieję, że pomogłem trochę, moja rada jest taka, że jeśli jesteś zainteresowany tego rodzaju materiałem do nauki w C++.
Dlaczego chcesz zrobić coś takiego? –
Nie znam odpowiedzi, ale gdybym to zrobił, byłbym skłonny zapytać o twoje powody, aby to zrobić, zanim wyjaśnisz, jak to zrobić. –
tak, jest: nie zaczynaj tego – RaYell