Prozess verstecken unter XP

XenonQ · Okt 29, 2007

nein, klappt nicht. selbe fehlermeldung.

hier einmal die ganze Meldung:

1>.\hideprocess.cpp(12) : error C2664: 'LoadLibraryW': Konvertierung des Parameters 1 von 'TCHAR (*)[8]' in 'LPCWSTR' nicht möglich
1> Die Typen, auf die verwiesen wird, sind nicht verknüpft; die Konvertierung erfordert einen reinterpret_cast-Operator oder eine Typumwandlung im C- oder Funktionsformat.

ich kann doch sicher sein, das der fehler nicht in dem Fehlen einer funktion/header datei liegt, die ich hätte includen müssen, oder?

danke schonma

Lubbie · Okt 30, 2007

Du könntest den Variablennamen zu ASCII konvertieren und dann LoadLibraryA aufrufen. Wie das konvertieren genau geht in C++.net2 - keine ahnung, frag mich was besseres.

XenonQ · Okt 30, 2007

hm, ich frag ma google ;O

danke für die hilfe

wolli02 · Dez 20, 2007

Hi Leute,

bin gerade im Forum neu eingestiegen, weil ich nach langer Suche endlich gefunden habe, was ich lange schon suchte.
Ich habe die Aufgabe ein Tool zu erstellen, das den Screen mit Vorwarnug sperren soll (wie [WIN]+ L). Ist 'ne Sicherheitsforderung in der Firma.
User (vorwiegend DAU's) schiessen das Tool aber gern per Taskmanager ab.
Deshalb ist das Verstecken eine erste gute Lösung.

@ATH0:
Coole Sache mit dem Hook.
Funktioniert auch mit der DLL ganz toll.
Ich wollte sie aber gern direkt in's Programm einbinden, damit es keine Probleme beim Finden der DLLl gibt.
Ich hab schon probiert die DLL per 'DLLLoader' einzubinden, funtioniert aber leider nicht.
Besser finde ich auch, die Funktion über eine separate UNIT einzubinden.
Der Umbau in eine Unit scheitert leider bei: "hmap:=OpenFileMapping(FILE_MAP_READ,false,'NtHideFileMapping');"

Kannst Du mir da helfen??
Danke im Voraus

.garfield · Jun 6, 2008

Falls du auch Delphi programmierst, hilft dir evtl das:
Hab ich selber gemacht *stolz*
Damit kannst du die DLL einfach als Ressource einbinden und dann direkt im Memory laden: http://pastebin.com/f77175c5

//huch uralt der Post..hab ich jetzt gar nicht gesehen

Jam00 · Dez 18, 2008

Weiß jemand wie das mit AutoIt3 geht?

90nop · Dez 18, 2008

Original von Jam00
Weiß jemand wie das mit AutoIt3 geht?

Ein simpler Dllcall. Wo ist das Problem?

Jam00 · Dez 18, 2008

Ja Ich schreib das dllcoll und dann?
Ich komm dann nit wieter, hab noch nie was mit dll's gemacht

xrayn · Dez 18, 2008

Generell gilt was man nicht versteht, sollte man auch nicht verwenden, zu mindest beim Programmieren

Außerdem ist Userlandhooking eh out, genauso wie Prozesse verstecken, weil diese einfach nicht dazu designt sind um versteckt zu werden. Die aktuell coolste Methode um Prozesse zu verstecken ist sich einen eigenen Threadscheduler zu bauen: https://www.rootkit.com/newsread.php?newsid=235 , aber das ist auch schon paar Jahre her. Das einfachste ist einfach keine eigenen Prozesse zu verwenden.

Jam00 · Dez 19, 2008

Kann mir mal jemand ein Beispiel geben?

xrayn · Dez 20, 2008

http://letmegooglethatforyou.com/?q=autoit+dll+einbinden

Jam00 · Dez 21, 2008

Toll, da is aber nix brauchbares, jedenfalls nicht für mich!

90nop · Dez 21, 2008

Original von Jam00
Kann mir mal jemand ein Beispiel geben?

Weist du, genau das ist das Problem mit euch Kiddys - hier geht es um Eigeninitiative, aber das scheint es bei euch nicht zu geben.

Schau dir die Hilfe von Autoit an, dann versuche dich erst an ein paar Beispielen um Dlls zu callen, und dann versuchst du es mit dieser hier. Und wenn du es nicht schafst, dann postets du den Source-Code, der bisweilen nicht funktioniert. Dann hilft man dir auch.

xrayn · Dez 21, 2008

Ok ihc geb dir mal die Loesung: http://www.autoit.de/index.php?page=Thread&postID=15301 kommt man per Googlesuche drauf oder wenn man einfach in dem Forum von AutoIt nachguckt. Aber wahrscheinlich checkste das eh nicht und heulst hier solange weiter rum, bis dir jemand die komplette Loesung gibt

. Und wenn du es doch kapierst, kannste damit deine anderen Kiddiefreunde beeindrucken, viel Spaß damit, wen ernsthaft schaden wirst du damit nicht koennen, da jedes zweitklassige Av diese Technik mittlerweile blocken kann.

Jam00 · Jan 14, 2009

Oh leute, es geht nicht darum, eine DLL einzubinden, sondern wie ich genau diese dll nutzen muss!

Hier hab ich mal was gemacht!

Code:

DllCall ("D:\HideProcess.dll",167,"HideNtProcess(pid:DWORD)") 
HideNTProcess (2532)

Das ist ein AutoIt3-Script. Was mache ich falsch?

Greek · Jun 27, 2009

Hallo,

Wer es mit AutoIt benutzen will muss es so Aufrufen:

Code:

HotKeySet ( "{ESC}","_ende" )

$PID=ProcessExists ( "notepad.exe" )
_HideNtProcess($PID)

While 1
	Sleep  ( 200 )
WEnd

Func _ende()
	Exit
EndFunc


Func _HideNtProcess($PID)
	DllCall("HideProcessNT.dll","long","HideNtProcess","dword",$PID)
EndFunc

Taskmanager darf nicht offen sein beim Starten des Programms. ( Außer er ist minimiert )

Mfg Greek

Jam00 · Jul 9, 2009

Reaper14 · Jul 19, 2009

Hallo,
ich bekomme leider immer bei Ausführen vom Programm diese Fehlermeldung:

Run-Time Check Failure #0 - The value of ESP was not properly saved across a function call.
This is usually a result of calling a function declared with one calling convention with a function pointer declared with a different calling convention.
Mein Code:

Code:

 typedef BOOL (*HIDENTPROCESSFUNC)(DWORD);
HIDENTPROCESSFUNC HideNtProcess = (HIDENTPROCESSFUNC)GetProcAddress(LoadLibrary("HideProcessNT.dll"), "HideNtProcess");

int main(int argc, char* argv[])
{
int ID;
ID=GetCurrentProcessId();

HideNtProcess(ID);

HWND hwnd = FindWindow("ConsoleWindowClass",NULL);
    ShowWindow(hwnd,SW_HIDE); 
return(0);
}

Ich verwende Visual C++ von Microsoft.
Kann mir jemand helfen?

mauralix · Jul 19, 2009

Vermutlich musst du bei der Deklaration des Functionpointers die nötige Callingconvention angeben.