я решил написать статью как скрыть процесс, для этого используем visual c +asm:
#include <windows.h>
#include <winuser.h>
int main()
{
HMODULE krn = LoadLibrary(«kernel32.dll»);
void* rsp = (void*)GetProcAddress(krn, «RegisterServiceProcess»);
DWORD pid = GetCurrentProcessId();
if(rsp) {
__asm {
push pid
xor eax, eax
push eax
call rsp
pop eax
pop eax
}
}
}
некоторые обьяснения:
загружаем библиотеку kernell32.dll, берем адресс, получаем собсвенный pid,
дальше небольшой трюк на asm :
push pid
xor eax, eax
push eax
call rsp
pop eax
pop eax
в результате в task manager не видно нашего pid
данная наработка может использоваться для разработки rootkit
1 комментарий