Một công cụ giấu Process

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Một công cụ giấu Process

[Question] Một công cụ giấu Process	04/03/2008 00:51:50 (+0700) \| #1 \| 117724

hongtham
Member

Joined: 31/01/2007 15:29:12
Messages: 104
Offline

Tools này có khả năng làm ẩn Process của trojan, không nhìn thấy trong Task Manager và tasklist - command, WMIC - command, cũng như những tools khác thay thế cho Task Manager như : Task Manager XP, Hijack this...
Và nhất là nó còn qua mặt cả một chương trình chuyên nghiệp về quản lý process như Process Explorer, gần như vô hình.
http://hideprocess.googlepages.com/hide.zip
Khi nào link này die thì tìm trên google vậy!
http://hackersnews.org/hn/main.cgi/Process_Hider.zip?down_num=1125759993&board=hn_hack&command=down_load&d=&filename=Process_Hider.zip
http://hackersnews.org/hn/read.cgi?board=hn_hack&command=window&x_number=1125759993&ssha=1&r_search=????&nnew=1

[Question] Re: Một công cụ giấu Process	06/03/2008 22:22:54 (+0700) \| #2 \| 118159

thephatcompany
Member

Joined: 27/02/2008 15:13:47
Messages: 453
Offline

Làm ẩn để làm chi vậy bạn?

[Question] Re: Một công cụ giấu Process	10/03/2008 07:42:29 (+0700) \| #3 \| 118745

hongtham
Member

Joined: 31/01/2007 15:29:12
Messages: 104
Offline

Tui đưa ra thủ thuật của hacker để mọi người biết mà đề phòng
Theo cách hide process này thì không thể diệt virus bằng tay và dùng VNav0.5 của dungcoi_vb
Chưa thử kiểm tra với các loại av khác.

Để lại có thể xem process đã ẩn ta dùng knlps10.exe chạy trên cmd
http://dondie.de/dbdats/tools/knlps10.exe

Ngữ pháp knlps10 -l
Process ẩn sẽ được đánh dấu *

Tuy nhiên khi end process hay kill bằng taskkill hay knlps10 -k pid thì máy sẽ có vấn đề!

[Question] Re: Một công cụ giấu Process	11/03/2008 01:40:10 (+0700) \| #4 \| 118817

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

không thấy qua mặt được mấy đồng chí anti rookit như icesword ...

[Question] Re: Một công cụ giấu Process	11/03/2008 07:19:02 (+0700) \| #5 \| 118866

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Và một số đồng chí av khác, như BIT defender,kaspersky..

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Re: Một công cụ giấu Process	11/03/2008 09:55:06 (+0700) \| #6 \| 118875

dungcoi_vb
Member

Joined: 29/06/2006 17:17:06
Messages: 100
Offline

mới test
vnAV vẫn nhận dạng được process khi bạn dùng phần mềm này ẩn process ấy đi smilie

Thậm chí nếu bạn dùng vnAV để quét hệ thống thì nó còn nhận ra file để HideProcess của chương trình này tạo trong thư mục hệ thống smilie

[Question] Re: Một công cụ giấu Process	17/03/2008 10:46:44 (+0700) \| #7 \| 119710

hongtham
Member

Joined: 31/01/2007 15:29:12
Messages: 104
Offline

dungcoi_vb wrote:

mới test
vnAV vẫn nhận dạng được process khi bạn dùng phần mềm này ẩn process ấy đi

Thậm chí nếu bạn dùng vnAV để quét hệ thống thì nó còn nhận ra file để HideProcess của chương trình này tạo trong thư mục hệ thống

Thử test với công cụ này nữa xem
http://dondie.de/dbdats/tools/procmagic.exe
nó cũng có khả năng ẩn process
Mà nếu đúng vậy thì sorry, bởi vi nghe cậu kể vnAV của cậu lấy ý tưởng từ hijack this smilie

[Question] Re: Một công cụ giấu Process	18/03/2008 00:18:32 (+0700) \| #8 \| 119779

nhatminh1209
Member

Joined: 25/01/2005 08:55:11
Messages: 102
Offline

hongtham wrote:

Tui đưa ra thủ thuật của hacker để mọi người biết mà đề phòng
Theo cách hide process này thì không thể diệt virus bằng tay và dùng VNav0.5 của dungcoi_vb
Chưa thử kiểm tra với các loại av khác.

Để lại có thể xem process đã ẩn ta dùng knlps10.exe chạy trên cmd
http://dondie.de/dbdats/tools/knlps10.exe

Ngữ pháp knlps10 -l
Process ẩn sẽ được đánh dấu *

Tuy nhiên khi end process hay kill bằng taskkill hay knlps10 -k pid thì máy sẽ có vấn đề!

C:\Documents and Settings\Administrator.HSBC\Desktop>knlps10.exe -l

PID Name Path
--- ---- ----
0
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919186
*29919187
*29919189
*29919189
*29919189
*29919191
*29919192
*29919193
*29919203
*29919204
*29919204
36 Hidden Process(es) be Found.

<---- Tớ cần mấy cái con số này làm j`? Kill thằng nào đây? smilie

[Question] Re: Một công cụ giấu Process	19/03/2008 08:27:35 (+0700) \| #9 \| 120056

hongtham
Member

Joined: 31/01/2007 15:29:12
Messages: 104
Offline

Tớ cũng nhận thấy là một vài dòng máy hoặc hệ điều hành knlps10.exe không chạy bình thường được!
Thử tìm các soft process trên mạng kể cả các tools hack khác không tìm thấy tools nào có thể xem được process ẩn cả.Duy nhất chỉ có IceSword http://www.antirootkit.com/software/IceSword.htm mới thấy process được.
Do vậy nếu knlps10.exe không chạy được thì dùng IceSword để terminate process của nó.
nếu kill bằng knlps10.exe thì dùng ngữ pháp knlps10 -k processid
Ví dụ : knlps10 -k 1234

Go to:

Users currently in here
1 Anonymous